昨天的时候一个学生让我帮他杀毒，我习惯性的那瑞星扫了一遍，习惯性的按右键打开该盘，然后非习惯性的中了病毒！
该病毒的具体表现为拦截已知的很多杀毒软件和相关清理工具的执行程序（.exe）并且感染系统，在除C盘外所有可用盘中写入autorun.inf和htocusa.exe两个文件，并在系统共享文件夹中写入pxpfern.exe和tnmgncd.exe两个文件，并隐藏这两个文件，目前的瑞星版本还无法查杀该病毒(2007年6月20日)，如果系统感染该病毒，则瑞星，KV等多种杀毒软件和辅助工具的执行程序被封闭，一旦运行这类程序，病毒会将程序调试口转接到pxpfern.exe文件，也就是病毒文件上。
我在网上查了一下，没查到相关处理办法，于是只要自己动手了。下面说一下大概清理过程。
首先，我们先用深山红叶光盘把PE启动起来，然后在工具里面指定并编辑C盘注册表，依次打开：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
会发现里面写着两个启动项，分别是pxpfern.exe和tnmgncd.exe，删除之，这样你的系统就可以正常启动了，但是先不要重启动，还有两个需要删除的东西。它们在：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
删除这里的lyload??.exe可能会有很多，也可能只有1个，但是一定要删除掉。
现在依然不要重新启动，一定要再进行一步操作，去
C:\Program Files\Common Files\Microsoft Shared\
中找刚才我说的那两个文件，记得先要从选项中把查看隐藏文件和系统文件打开。
pxpfern.exe和tnmgncd.exe没错，就是这俩斯，把他们删除掉。
然后可以放心重启了。
这个病毒目前已知不会在启动服务中驻留。万幸，不然可就又麻烦了。
重新启动后你会发现你的瑞星了，卡卡了，360安全卫士了，QQ了，都启动不了，系统总会提示找不到文件，可是那东西分明就摆在那呢。我们来进行最后一步，清理掉病毒垃圾。
放心的打开注册表编辑器吧，打开如下项：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
在左边的树型结构中会看到很多熟悉的身影，比如rav.exe，再比如kav32.exe和syssafe.exe哈哈，这病毒真够流氓的。竟然收集了这么多杀毒软件的名字，果然下了一翻工夫。
注意，左边的树型结构并不完全是病毒写入的，也有很多是正常的注册信息，怎么分辨？容易！
点一下左边树型的一个支，比如360rpt.exe然后看看窗口右边是不是有一个字串键叫"debugger"的？
双击看一下里面是不是写的“C:\Program Files\Common Files\Microsoft Shared\pxpfern.exe”？咋那么眼熟？废话呀，这就是病毒体啊！这就是刚才为什么要一定先删除了那俩文件才重新启动的原因。
所有右边写着debugger并且值是pxpfern.exe的主键，全部从左边主键树中删除掉！
删除完后重新启动电脑吧，OK了！
这个病毒看起来挺猛，跟熊猫烧香一样把所有已知杀毒软件全部封锁住，但是毕竟只是个纸老虎，只要不感染EXE文件，那就好办！
如果有看不明白的请留言，真的有很多人需要帮助的话我会搞点图片来帮助学习的！
对了对了，差点忘了，这个病毒还留在其他盘里呢。
开始->运行->cmd.exe
在命令行里输入：
c:\
cd\
attrib autorun.* -h -r -s
attrib htocusa.exe -h -r -s
del autorun.inf
del htocusa.exe
d:\
cd\
attri…………
千万不要在我的电脑中用右键打开，资源管理器那项也被控制了，乖乖用命令行吧！
有几个盘清理几个盘，包括你的U盘，活动硬盘！直到你的杀毒软件可以查杀该病毒为止。

转载请注明如下出处:
doki1979.yculblog.com
doki1979的博客
多谢