编辑U盘上的一个PPT文件,保存时系统出现很多窗口,其中一个怎么也关不掉。
然后发现系统中多了两个进程:elmiysj.exe和ddtshtk.exe,这两个东西互相监控,结束其中一个,另一个就会马上补上一个。
注册表中的HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 中多了两个项:
mwktwro REG_SZ c:\windows\system32\ddtshtk.exe
ohheopr REG_SZ c:\windows\system32\elmiysj.exe,
但在“显示所有隐藏文件”的情况下,c:\windows\system32目录找不到这两个文件。
上述两个进程不断监控这两个项,如被删除也会马上补上。
另外像瑞星、卡卡、毒霸清理专家、卡巴斯基全部无法运行。
重新启动,安全模式启动间出现蓝屏,无法继续。
正常模式下,进入windows前的瑞星查毒界面已经没有了。
登陆后提示系统日期有误,系统日期回到1980年X月X日。
对瑞星改名,提示“找不到Kav.exe”,无法运行
对毒霸改名,无法运行
对卡卡的可执行文件改名后可以运行,但是查不出任何问题。
通过卡卡和系统的进程管理,同时结束elmiysj.exe和ddtshtk.exe,可成功删除这两个进程,注册表也能够删除两个项。此时启动瑞星,没有反应,打开进程管理器,那两个该死
的进程又出现,表明瑞星自己已经被感染。
按照上面的方法再删除那两个进程,删除注册表中的项,重新启动,问题依旧。
该电脑目前没有联上互联网。
分析大概是一个1980病毒的变种,1980这个东西刚刚看到有人说难缠,网上也有“完整解决方案”的文章。不过解决方案的方法并不复杂,这个变种应该也可以搞定,不用什么专
业的icesword或者tiny,菜鸟都可以解决。
解决方法:
1、首先用卡卡和系统的进程管理器同时结束这两个进程,这个时候手要快,分别在两个窗口选定ddtshtk.exe和elmiysj.exe并点击结束进程,这时两个窗口会弹出对话框询问是否
结束,只要很快点击两个“确定”按钮就行了。如果动作慢了,你会看到两个进程很快又出现在你的眼帘了,不要紧,再来一次。成功之后你就不会看到这两个进程了。
2、,运行regedit,删除注册表HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN 多出的两个项:
mwktwro REG_SZ c:\windows\system32\ddtshtk.exe
ohheopr REG_SZ c:\windows\system32\elmiysj.exe
如果你第1步成功的话,删除这两个项后按F5刷新应该看不到病毒重新生成这两项了。
3、用winrar或者acdsee浏览各硬盘根目录(千万不要再从“我的电脑”进入点击各个盘符了,不然,回到第1步……),这时会看到各个盘的根目录都有一个autorun.inf的文件,
在winrar或者acdsee中直接删除,如果看到还有mwktwro.exe或者ohheopr.exe之类,一并杀之。
4、此时本来准备利用“显示隐藏文件.reg”来结束那两个核心的文件:c:\windows\system32\ddtshtk.exe和c:\windows\system32\elmiysj.exe,居然发现没有用!更怪的是,用winrar也找不到这两个文件!皱眉:《突然想起以前DOS有个命令:attrib,心想死马当活马医吧,于是打开DOS窗口,输入以下命令:
cd\windows\system32
attrib -a -h -s -r ddtshtk.exe
del ddtshtk.exe
attrib -a -h -s -r elmiysj.exe
del elmiysj.exe
5、OK,改正系统的时间,重新启动,一切恢复正常,不过你很快发现那些防病毒软件仍然不能用,看来还有残余。打开注册表,寻找 ddtshtk,你会发现在HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION下,很多应用程序被加上了“Debugger REG_SZ c:\windows\system32\ddtshtk.exe"一项,将能够找到的全部删除(可能会很多,我是菜鸟,慢慢删&*($%^&#%#$...)。
6、如果你继续寻找,你还会发现还有很多残留的“mwktwro REG_SZ c:\windows\system32\ddtshtk.exe”,好像可以不理会了。完事!
希望对各位有用。
