explorer.exe 自动关掉

cloudet

各位大大，
刚才自己手痒去找 keygen，然后找到了这个site: hxxp://keygen.name/,
dl了keygen,然后因为正在install着游戏，所以没考虑太多就double-click了那个keygen。
那个keygen自行copy 几个 exe 在我的desktop, 然后我的explorer.exe 就自动关掉，剩下光秃秃的wallpaper。
我觉得很奇怪，就开了task manager (alt-ctrl-del)，看到有个rundll32 在跑着，我就知道大事不妙了。
关掉那个rundll32, 然后再开过explorer.exe,就能够了。不过当我click My Computer想打开它时，explorer.exe 又自行关掉了。
我过后restart window, 回到Windows 后， 还是一样，explorer.exe 不能开！！
一run explorer.exe 后它就自己立刻关掉，而且在task manager 里都没有怪东西.
不知哪一位有遇过这样的问题？

题外话：过后我在找回hxxp://keygen.name/,竟然发现无论你找什么游戏的keygen,它都会给你下载 xxx_keygen.exe的文件。。
这次真的是阴沟里翻船了。。。

[ 本帖最后由 cloudet 于 2-7-2007 07:44 PM 编辑 ]

闪灵乐

有可能不是explorer.exe 而是 exp1orer.exe
木马伪装了Explorer.exe
看清楚，是 1 不 是 L
rundll32 也是，是 数字1  并不是英文的 l


删除方式 :
(1).进安全模式，然后删除文件 C:\WINDOWS\system32\stdup.dll
然后运行 regedit ，打开注册表编辑器，然后找到 HKEY_LOCAL_MACHINE\SOFTWARE\STDUP 和 HKEY_CURRENT_USER\Software\STDUP ，如果有这两项，请删除！

再通过注册表查找“stdup”，将所有的这个删除。

然后将 C:\Program Files\STDUP\ 文件夹整体删除！

(2).依次点击打开：开始－设置－控制面板－管理工具－服务

找到一个叫StdService的服务，双击，在启动类型这一栏，选已禁用，再在下面一行点停止，再点确定。就可以了。

如果要彻底一点，就进入windows目录下的system32目录，在里面找到STDSVER.DLL这个文件，删除。也可以通过搜索找到。


步骤。

下载木马专杀 --> 关闭系统还原 -->进入安全模式 -->
手动删除

可使用冰刃软件，来强制阻止rundll32.exe运行

cloudet

谢谢~~~~~不过心急的我已把Window install在另外一个drive了～
现在正在把文件移过来～～


[ 本帖最后由 cloudet 于 2-7-2007 06:27 PM 编辑 ]

闪灵乐

请楼主把h((p://keygen.name/,更名。
此网址下载的每一个文件都是经过加壳的。
如没使用防毒软件扫描的话，自然会中招。
如有使用防毒软件，并下载完后，没提示任何警告的话，
麻烦楼主请更换您的防毒软件。

以下是我本身测试。


下载快完成，卡巴提示红色警告。


下载后，使用卡巴扫描。


此网址的下载包，大部分都是使用UPX加壳
(任何一个防毒软件都可以脱UPX壳，如果搂主的防毒软件没报告的话，是时候换了 )

cloudet

原帖由 闪灵乐 于 2-7-2007 06:28 PM 发表
请楼主把h((p://keygen.name/,更名。
此网址下载的每一个文件都是经过加壳的。
如没使用防毒软件扫描的话，自然会中招。
如有使用防毒软件，并下载完后，没提示任何警告的话，
麻烦楼主请更换您的防毒软件。 ...

嗯，我用着avast已有多年，还很信任它的说。。

无论如何，感谢闪灵乐大大如此详细的回帖。

闪灵乐

原帖由 cloudet 于 2-7-2007 07:33 PM 发表


嗯，我用着avast已有多年，还很信任它的说。。

无论如何，感谢闪灵乐大大如此详细的回帖。

病毒库如果是最新的话，
下载并没报告，可以更换个了
如果对自己电脑配置有信心，可以换上卡巴的


第1楼的连接更改成为 hXXp
吧。免得新手看到有免费的东西就进入下载
我已经贴图警告了 要用免费的东西，需付出代价的