有一些奇怪的系统自启动项，请问这是什么？

发布时间：2024-05-16 10:49 发布：上海旅游网

问题描述：

我的系统自启动项中有名称为：1mj18yrgf s ywkgcletu734 yv2rcx9x6 cq15rhty7212 的五个奇怪的自启动项，请问这是什么？

都是在路径：c:\DOCUME~1\用户名\LOCALS~1\Temp\... ...
最后的省略号依照上边自启动项的顺序分别代表：winlogOn.exe rundl132.exe cOnime.exe crasos.exe iexp10re.exe

安全级别未知，描述没有.
请高手帮忙解释，谢谢。

问题解答：

全部是病毒:winlogOn.exe rundl132.exe cOnime.exe crasos.exe iexp10re.exe，通过加载到启动项达到系统启动时自动运行的目的。

建议把杀毒软件更新后全面杀毒.

参考资料:
winlogOn.exe:http://baike.baidu.com/view/449981.htm
rundl132.exe:http://baike.baidu.com/view/562260.htm

这几个文件有的人说是落雪病毒的病毒文件,有的人说的是威金病毒的病毒文件
现在已经区别不出来了,所以不建议找专杀工具,最好是用杀毒软件全面杀毒一次.

下面给出其中几个的手动杀毒方法：

cOnime.exe查杀方法:
该病毒位于C:\windows\system\conime.exe（注意不是在system32下，System32下那个是系统的正常程序）。这个文件大小17K，终止后可以被手工删除，但会自动产生。 conime.exe会自动又产生在C:\windows\system\，并被运行。运行时，在任务管理器中可看到两个conime.exe，其中一个就是病毒。另外，conime.exe“复活”时，本地硬盘的每个逻辑盘符的根目录下会产生这两个文件：
ghost.exe
autorun.inf

rundl132.exe，crasos.exe，iexp10re.exe：
首先，清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

用SRE（System Repair Engineer(SERng)是一个用于调整、修复你系统的计算机安全辅助工具，下载地址：http://www4.skycn.com/soft/23312.html）删除以下注册表项：
<cmdbcs><C:\WINDOWS\cmdbcs.exe>
<upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update3.exe>
<mppds><C:\WINDOWS\mppds.exe>
<twin><C:\WINDOWS\system32\twunk32.exe>
<><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk>
<compmgmt><; C:\WINDOWS\system32\compmgmt.exe>
<iz46z07lw><; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\crasos.exe>
<kernelmh><; C:\WINDOWS\Kernelmh.exe>
<ntmsoprq><; C:\WINDOWS\system32\ntmsoprq.exe>
<qt3ii85kvbfc><; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Servere.exe>
<scrnsave><; C:\WINDOWS\system32\prnmngr.exe>
<upxdnd><; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update3.exe>
<viq88><; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe>
<wsttrs><; C:\WINDOWS\wsttrs.exe>
<yi4jgw1ff><; C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe>
其实病毒都是利用浏览器的漏洞进行传播，大家在上网的时候最好用Firefox浏览器浏览网页，这种浏览器最大的好处就是安全！Firefox浏览器下载地址：http://firefox.pkip.cn/index.htm
用SRE修复以下注册表项：
<AppInit_DLLs><608769M.BMP>

用SRE删除以下服务项：
Remote Procedure Call System(RPCS) / RpcS
Windows SystemDown / WindowsDown

用unlocker(Unlocker是一个免费的右键扩充工具,用于解锁无法删除的文件。下载地址：http://ccollomb.free.fr/unlocker/unlocker1.8.5.exe)删除以下文件：
C:\WINDOWS\system32\mppds.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\compmgmt.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\crasos.exe
C:\WINDOWS\608769M.BMP
C:\WINDOWS\system32\servet.exe
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\system32\ntmsoprq.exe
C:\WINDOWS\Kernelmh.exe
C:\WINDOWS\system32\RpcS.exe
C:\WINDOWS\system32\prnmngr.exe
C:\WINDOWS\mppds.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Servere.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update3.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk

——————————————————————————————————————————
最后重新启动电脑。病毒就被搞定了！

经常在网上中木马根本的原因是IE浏览器执行脚本文件才中的.所以根本的问题是换浏览器..这里我可以向你推荐火狐游览器..常在河边走那能不湿鞋. 防弹窗,防木马.看网页速度很快.

把病毒全部清理完后，把下面的代码做成一个批处理文件(.bat),用于清除多余的系统启动项：
@ ECHO OFF
@ ECHO.
@ ECHO. 说明
@ ECHO --------------------------------------------------------------
@ ECHO 本批处理会自动清理所有非必要的启动项目，仅保留输入法(ctfmon)。
@ ECHO 目的是减少不必要的资源占用，使系统运行顺畅。但清理掉的项目不作
@ ECHO 备份，请小心使用。《GhostXP电脑公司特别版》作者编。
@ ECHO --------------------------------------------------------------
PAUSE
reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /va /f
reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /va /f
reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v ctfmon.exe /d C:\WINDOWS\system32\ctfmon.exe
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1" /v command /d ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1" /v hkey /d HKLM
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1" /v inimapping /d 0
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1" /v item /d IMJPMIG
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IMJPMIG8.1" /v key /d SOFTWARE\Microsoft\Windows\CurrentVersion\Run

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A" /v command /d "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A" /v hkey /d HKLM
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A" /v inimapping /d 0
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A" /v item /d TINTSETP
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002A" /v key /d SOFTWARE\Microsoft\Windows\CurrentVersion\Run

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync" /v command /d ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32"
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync" /v hkey /d HKLM
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync" /v inimapping /d 0
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync" /v item /d TINTSETP
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PHIME2002ASync" /v key /d SOFTWARE\Microsoft\Windows\CurrentVersion\Run

del "C:\Documents and Settings\All Users\「开始」菜单\程序\启动\*.*" /q /f
del "C:\Documents and Settings\Default User\「开始」菜单\程序\启动\*.*" /q /f
del "%userprofile%\「开始」菜单\程序\启动\*.*" /q /f
start C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe

;《GhostXP_SP2电脑公司特别版》作者编。

建议全部选中并将其复选框清除，同时将杀毒软件升级到最新病毒库全盘查杀病毒，这些全部是病毒。

怀疑为病毒，杀毒试试

删除这些文件，是病毒，好像是近期流行的通过U盘传播的病毒。每个盘下都有Autorun.inf隐藏文件，打开把Open=后面的文字就是病毒文件名，在根目录下，删除它。可能关闭文件夹选项和注册表导致无法显示隐藏文件，用金山毒霸的文件粉碎机删除。