杀掉两个互相保护的进程
如今的病毒或者木马已经不仅仅是单个进程,任人宰割了。许多情况下是两个互相保护的进程。杀掉A,B又把A打开;杀掉B,A又把B打开;在任务管理器里面一个一个点杀不大可能比进程启动得还快。
只要他们存在,八成就已经把杀毒软件攻破了。若能进安全模式还好。可惜今天遇到个木马Trojan-Downloader/Win32.Agent.bpp, 自动运行两个互相保护的进程 pxpfern.exe 和 tnmgncd.exe ,不仅干掉了杀毒软件和安全卫士,把安全模式也弄得进不去了。全无办法。
这时就需要尽快的把两个可恶的进程一次性杀掉。
编写批处理程序 kill.bat 内容如下:
pskill pxpfern
pskill tnmgncd
保存在pskill所在目录后,直接运行――两个进程双双归西。
然后再去删除这两个文件,并把注册表里面涉及到他们的项通通删除就行了。
重启后,杀毒软件又回来了。操起家伙完全扫描一遍吧!
注意以后一定要禁止U盘插入自动运行。一种简单的方法就是插入U盘时按住shift键,过一会确认没有窗口弹出再放开。
-----------------------再附上一个清除办法---------------------------
该病毒的具体表现为拦截已知的很多杀毒软件和相关清理工具的执行程序(.exe)并且感染系统,在除C盘外所有可用盘中写入autorun.inf和htocusa.exe两个文件,并在C:\Program Files\Common Files\Microsoft Shared文件夹中写入pxpfern.exe和C:\Program Files\Common Files\System文件夹中写入tnmgncd.exe两个文件,并隐藏这两个文件和不可以显示隐藏分件。目前的瑞星版本还无法查杀该病毒( 版本号19.30.50),如果系统感染该病毒,则瑞星,KV等多种杀毒软件和辅助工具的执行程序被封闭,一旦运行这类程序,病毒会将程序调试口转接到pxpfern.exe文件,也就是病毒文件上。
偶在网上没有找到专杀工具,只有自己动手了。大概清理过程。
首先,在运行里面输入regedit打开注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]中把CheckedValue的值改为1,这样就可以看到隐藏文件和系统文件了。(注意CheckedValue的类型DWORD) 这样可以删除磁盘根目录下的autorun.inf和htocusa.exe两个文件。
二、重起进入DOS (怎么进自己想办法了,有好多种)删除C:\Program Files\Common Files\Microsoft Shared\pxpfern.exe和C:\Program Files\Common Files\System\tnmgncd.exe两个文件。
(删除前要把文件属性去掉)
删除pxpfern.exe
c:
cd C:\Progra~1\Common~1\Micros~1
attrib pxpfern.exe -s -h
del pxpfern.exe
删除tnmgncd.exe
cd\
cd C:\Progra~1\Common~1\system
attrib tnmgncd.exe -s -h
del tnmgncd.exe
重起
删除注册表中的自起项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]中 的tnmgncd.exe和pxpfern.exe
现在你会发现你的瑞星启动不了,系统总会提示找不到文件,可文件就在那。进行最后一步,清理掉病毒垃圾。
打开注册表编辑器
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
注意,左边的树型结构并不完全是病毒写入的,也有很多是正常的注册信息,怎么分辨?容易!
点一下左边树型的一个支,比如360rpt.exe然后看看窗口右边是不是有一个字串键叫"debugger"的?
双击看一下里面是不是写的"C:\Program Files\Common Files\Microsoft Shared\pxpfern.exe"?咋那么眼熟?废话呀,这就是病毒体啊!这就是刚才为什么要一定先删除了那俩文件才重新启动的原因。
所有右边写着debugger并且值是pxpfern.exe的主键, 全部从左边主键树中删除掉!
删除完后.OK了!
偶在网上没有找到专杀工具,只有自己动手了。大概清理过程。
首先,在运行里面输入regedit打开注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]中把CheckedValue的值改为1,这样就可以看到隐藏文件和系统文件了。(注意CheckedValue的类型DWORD) 这样可以删除磁盘根目录下的autorun.inf和htocusa.exe两个文件。
二、重起进入DOS (怎么进自己想办法了,有好多种)删除C:\Program Files\Common Files\Microsoft Shared\pxpfern.exe和C:\Program Files\Common Files\System\tnmgncd.exe两个文件。
(删除前要把文件属性去掉)
删除pxpfern.exe
c:
cd C:\Progra~1\Common~1\Micros~1
attrib pxpfern.exe -s -h
del pxpfern.exe
删除tnmgncd.exe
cd\
cd C:\Progra~1\Common~1\system
attrib tnmgncd.exe -s -h
del tnmgncd.exe
重起
删除注册表中的自起项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]中 的tnmgncd.exe和pxpfern.exe
现在你会发现你的瑞星启动不了,系统总会提示找不到文件,可文件就在那。进行最后一步,清理掉病毒垃圾。
打开注册表编辑器
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
注意,左边的树型结构并不完全是病毒写入的,也有很多是正常的注册信息,怎么分辨?容易!
点一下左边树型的一个支,比如360rpt.exe然后看看窗口右边是不是有一个字串键叫"debugger"的?
双击看一下里面是不是写的"C:\Program Files\Common Files\Microsoft Shared\pxpfern.exe"?咋那么眼熟?废话呀,这就是病毒体啊!这就是刚才为什么要一定先删除了那俩文件才重新启动的原因。
所有右边写着debugger并且值是pxpfern.exe的主键, 全部从左边主键树中删除掉!
删除完后.OK了!
