您的位置：程序门 -> 硬件使用 -> 网络设计与维护

中毒后遗症，注册表被改，高手求救啊！

[收藏此页] [打印本页]选择字色：背景色：字体：[大][中][小]

中毒后遗症，注册表被改，高手求救啊！

发表于：2007-04-04 12:39:52 楼主

我的电脑中过木马病毒，杀毒之后一开机就出现 ‘加载c:\windows\system32\fnewq.dll时出错,内存分配访问无效 ', 点确定后电脑正常运行，但这个文件怎么都删除不了，杀毒也没用，后来我把注册表里相关键值删掉，开机却出现另外两个框‘fnewq.dll为无效的windows映象.请再检测一遍您的安装盘'和‘加载c:\windows\system32\fnewq.dll时出错，1%不是有效的win32应用程序 ', 安全模式下杀毒，优化，清理都试过，还是不行，昨天我跑了一下hijackthis,导出日志，大家帮我分析一下是怎么回事？

//以下是hijackthis.log

logfile of hijackthis v1.99.1
scan saved at 21:31:31, on 2007-4-3
platform: windows xp sp2 （winnt 5.01.2600)
msie: internet explorer v6.00 sp2 （6.00.2900.2180)

running processes:
c:\windows\system32\smss.exe
c:\windows\system32\winlogon.exe
c:\windows\system32\services.exe
c:\windows\system32\lsass.exe
c:\windows\system32\svchost.exe
c:\windows\system32\svchost.exe
c:\windows\system32\spoolsv.exe
c:\windows\explorer.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\ctfmon.exe
c:\program files\internet explorer\iexplore.exe
c:\program files\qq2006\qq.exe
c:\program files\thunder\program\thunder5.exe
d:\soft\ha_hijackthis_1991\hijackthis.exe

r3 - default urlsearchhook is missing
o2 - bho: 超级兔子上网精灵 - {7369d35a-5b70-4a5b-b789-b25fe09b4af3} - d:\progra~1\superr~1\magicset\haokanbar.dll
o3 - toolbar: &google - {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program files\google\googletoolbar1.dll
o3 - toolbar: 超级兔子上网精灵 - {43869bb3-22fd-4f15-9b46-238106ba2f4e} - d:\progra~1\superr~1\magicset\haokanbar.dll
o4 - hklm\..\run: [thunder] "c:\program files\thunder\thunder.exe " /s
o4 - hklm\..\run: [switch] c:\windows\system32\壁纸自动换.exe
o4 - hklm\..\run: [super rabbit srrestore] d:\program files\super rabbit\magicset\srrest.exe /autosave
o4 - hklm\..\run: [soundman] ; soundman.exe
o4 - hklm\..\run: [skynet personal firewall] d:\progra~1\skynet\firewall\pfw.exe
o4 - hklm\..\run: [kavpersonal50] "d:\program files\kaspersky lab\kaspersky anti-virus personal pro\kav.exe " /minimize
o4 - hklm\..\run: [nvcpldaemon] ; rundll32.exe c:\windows\system32\nvcpl.dll,nvstartup
o4 - hkcu\..\run: [super rabbit iepro] ; d:\program files\super rabbit\magicset\sriecli.exe /load
o4 - hkcu\..\run: [ctfmon.exe] c:\windows\system32\ctfmon.exe
o4 - global startup: 千千静听.lnk = c:\program files\ttplayer\ttplayer.exe
o8 - extra context menu item: 使用迅雷下载 - c:\program files\thunder\program\geturl.htm
o8 - extra context menu item: 使用迅雷下载全部链接 - c:\program files\thunder\program\getallurl.htm
o8 - extra context menu item: 导出到 microsoft office excel（&x) - res://c:\progra~1\micros~2\office11\excel.exe/3000
o18 - protocol: msnim - {828030a1-22c1-4009-854f-8e305202313f} - "c:\progra~1\msnmes~1\msgrapp.dll " （file missing)
o23 - service: google updater service （gusvc) - google - c:\program files\google\common\google updater\googleupdaterservice.exe
o23 - service: kavsvc - kaspersky lab - d:\program files\kaspersky lab\kaspersky anti-virus personal pro\kavsvc.exe
o23 - service: nvidia display driver service （nvsvc) - nvidia corporation - c:\windows\system32\nvsvc32.exe

发表于：2007-04-04 15:46:091楼得分:0

高手都哪里去了啊？

发表于：2007-04-11 12:37:312楼得分:0

其实你最开始的问题并不原重,是因为木马在你的系统里加载成了服务.并设置为自动启动,当你杀毒后,c:\windows\system32\fnewq.dll这个文件就没有了,在启动的时候就会有这个错误,加载失败.你所要做的就是注册表里边找到这个服务（hkey_local_machine\system\controlset001\services下面搜索fnewq.dll.然后将主键和支键都删除,或在服务里直接找到加载这个文件的服务,改为禁用就行了.