病毒查杀：ttezzezz1046.dll,ttnnbnnb1049.dll,cmdbcs.exe

Simen.Resh@d

(作者：teyqiu)

枯木逢春--SREng/分析助手/通用病毒杀灭机套件修复机器案例一则
同事SYS一早说到，他的机子已经崩溃，开机无桌面，安全模式进不去。让他拿来看看，果然如此。启动到输入密码后，硬盘灯狂闪，但是进不了桌面。按CTRL+ALT+DEL 任务管理器还能调出来，运行中输入cmd可以运行；运行explorer依然无反应。恐怕要一键恢复系统了。
不过我还想做一个最后的尝试
先考虑是explorer.exe损坏或被删除，用U盘考一个好的，cmd进入命令窗口，找到U盘的盘符，例如是f: 将好的explorer.exe拷贝
到问题机器的c:\windows 。命令如下
f:
cd f:\
copy explorer.exe c:\windows
重启问题依旧。中毒较深，祭出 teyqiu_AntVir_Tools.zip
(SREng/分析助手/通用病毒杀灭机/Xdelbox/PowerRMV 套装 )。
下载 >> http://hi.baidu.com/teyqiu/blog/item/de3f5343947c82159313c6fe.html

随便CP到一个硬盘根目录下，并运行。
f:
copy teyqiu_AntVir_Tools.zip d:\
d:
cd \
teyqiu_AntiVir_Tools.zip
还好还好，winRAR正常运行啦 有了winrar就等于有了文件管理器 剩下了就是蹂躏病毒了。
sreng 扫描得到log, 用分析助手分析后，导出一个修复指令文件 sys_fix.dat 最后用通用病毒杀灭机重启删除
（用法？>> http://hi.baidu.com/teyqiu/blog/item/3804738da93d7a16b31bba32.html ）
重启后，枯木逢春，一切OK了，避免了一键恢复以及重装应用软件及系统打补丁、杀软升级等，节约了至少2个小时的时间。
剩下的就是善后了。
分析：<AppInit_DLLs>的严重劫持估计是桌面出不来的主要原因，另外explorer.exe文件本身的损坏也有可能。
bye
=======================附 如果是手动，应该这么做 你用通用病毒杀灭机，是自动完成的。
采用xdelbox删除的文件如下：
c:\windows\system32\ttezzezz1046.dll
c:\windows\system32\ttnnbnnb1049.dll
c:\windows\system32\msosmnsf00.dll
c:\windows\system32\msosdohs01.dll
c:\windows\system32\msosmhfp01.dll
c:\windows\system32\drivers\6uzi22841.sys
c:\windows\system32\drivers\7up0c.sys
c:\docume~1\user\locals~1\temp\tmp3.tmp
c:\windows\system32\drivers\adprot.sys
C:\WINDOWS\cmdbcs.exe
启动项目-->注册表项目的如下项目删除
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{1ce220d3-84bb-446c-8a39-6ed491c8a601}><C:\WINDOWS\system32\ttNNBNNB1049.dll> []
<{05922c2d-da84-48e8-a3e4-e797c58c39cf}><C:\WINDOWS\system32\ttEZZEZZ1046.dll> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<cmdbcs><C:\WINDOWS\cmdbcs.exe> [N/A]
启动项目-->驱动程序的如下项目删除
[6uzi22841 / 6uzi22841][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\drivers\6uzi22841.sys><N/A>
[7up0 / 7up0c][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\7up0c.sys><N/A>
[ADProt / ADProt][Stopped/System Start]
<\SystemRoot\system32\drivers\ADProt.sys><N/A>
[dohs / dohs][Stopped/Auto Start]
<\??\C:\DOCUME~1\user\LOCALS~1\Temp\tmp3.tmp><N/A>
启动项目-->注册表项目的如下项目 编辑为空 <>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><,msosmnsf00.dll,msosdohs01.dll,msosmhfp01.dll> [N/A]