议题提交：折磨的睡眠
信息来源：邪恶八进制信息安全团队（http://www.eviloctal.com/）

中毒过程：今天在单位下 加密与解密II一书 在原地址
http://www.365base.com/soft/sort7/139/281/2005/2005042811213.html下的，结果下下来，安装是一个什么网络电视类的东西，然后就是机子狂卡、假死、启动不起来机子，可以启动来的时候就出现卡死机，在安全模式下什么毒都查不到。

中毒之后：在系统配置实用程序——启动项发现开机自动启动两个文件RichMedia及Stdserivce，症状：打开任何文件夹之后，鼠标移动速度跟蜗牛一样的慢，任务管理器里多了一个名为Rundll32进程，关闭该进程之后，鼠标就恢复正常了。
操作系统：Windows98

删毒过程：病毒做了简单的隐藏手段，两个病毒文件RichMedia及Stdserivce，同时指向WINDOWS文件下的Rundll32和Rundll文件， 根据系统配置实用程序显示的路径很快就把着两个病毒删掉了。在注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEX]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]
等几项里也没发现病毒，安全模式下用金山杀了毒，没杀到一个，以为解决了，今天来上班感觉机子反映还是不行，就用卡巴查了下，结果还是查到了毒，郁闷。

金州同学的删毒方法如下：
把这个Rundll32后面的dll找出来，删除了。看一下关于这个dll有没有log文件。搜索c盘搜索关键字。看看有什么纪录是关于它的。
注册表找一下相关的牵连。
估计说不定是广告什么的，或者流氓垃圾软件。用rundll32调用的都好删除。注意一般和CLSID有牵连。

一般我中了未知病毒，就会再次把病毒下过来，然后开启文件监控，注册表监控~然后再中次病毒~接下来就好办了，看监控纪录，看到底改了哪些东西

首先说兄弟你太不小心了，你要下的是电子书，可是却下下来一个exe文件，常理上来说，电子书需要那样文件安装的很少。而且明显的大小不对。
简单列举了一些，这个东西可以说是垃圾软件的集大成者
1.个人系统xp2.清空缓存，有些需要安全模式下清除，可以清除掉。
2.主要是垃圾软件，没有明显的木马征兆。有部分病毒，但是我很久都忘记了升级的金山都能自动杀得掉。估计任何杀毒都能搞掉，就略过了。主要是垃圾软件。

大概新建的东西列举如下，不一定全。

C:\Program Files
pcast
KooWo
DTSVC
CNNIC
MMSAssist
HBClient

C:\WINDOWS
hb24065.log
helper.ini
estAlive.dll
lib
setup.tmp
stdie.dll
SYSSKIP.SRG

C:\WINDOWS\system32
STDSVER.DLL （这个东西有守护，安全模式下删除，或者会一直从新建立）
cdnns.dll
hbhsy.ini
hber.ini
distributer.txt
文件夹 spoolsv  PreInstall msicn （这几个文件夹里面的dll和STDSVER.DLL守护，是个垃圾软件）
D:\Temp
IXP000.TMP
setup

注册表
{16A770A0-0E87-4278-B748-2460D64A8386}
{6671A431-5C3D-463d-A7CF-5587F9B7E191}
{6A512BF7-EC78-4e8d-9841-6C02E8FA9838}
{6B280AC7-8B18-46A4-BF70-FC579A1B2F76}
{A2B7A0F0-B697-4A71-8D91-43443F57D7BB}
{A3803141-3CF5-4D66-B7EA-8D2674FE152C}
{AE22AFE5-1EF4-4D25-9E23-D2825FB17DA1}
{65CBAF77-19CA-4B81-86D5-7835D59BEA85}
{6414512B-B978-451D-A0D8-FCFDF33E833C}
{6671A433-5C3D-463d-A7CF-5587F9B7E191}
其他的按着新建立的dll搜索相关吧，一一列举太多了。

启动项目
1.MyIEHelper Class 浏览器扩展对象   C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_1100.dll      2.RichMedia   注册表  ->  Machine Run   C:\WINDOWS\system32\Rundll32.exe  "C:\PROGRA~1\HBClient\hbhelper.dll"   
3.std software   浏览器扩展对象   C:\WINDOWS\SYSTEM32\stdup.dll      4.播霸网络电视   启动文件夹 -> 当前用户   C:\Program Files\pcast\PodcastbarMini\PodcastBarMiniStarter.exe C:\Documents and Settings\user\「开始」菜单\程序\启动   
5.spoolsv 注册表  ->  Machine Run C:\WINDOWS\system\spoolsv\spoolsv.exe -printer   傲讯浏览器辅助工具
6.estAliveObj Class   浏览器扩展对象   C:\WINDOWS\estAlive.dll   
7 。HBObject Class   C:\PROGRA~1\HBClient\hbhelper.dll
8.IEhlprObj Class   浏览器扩展对象   C:\WINDOWS\stdie.dll

右键菜单增加了一个彩信发送。

驱动 guid.vxd 新建的文件夹中也有驱动。所以有些删除掉之后才会从生。

这个东西安装的东西好像没有改动创建时间，可以根据创建时间搜索一下。
因为不是很恶意的东西。没有详细地对照注册表，不过估计改动的不少，慢慢删除着玩吧。以上个人简单看法，不一定全面正确，仅供参考。   
其中 傲讯浏览器辅助工具   这个东西删除的时候有一点麻烦，不过安全模式删除全部相关后，可以清除。

如果出现打不开资源管理器情况或者explorer错误，请先删除注册表中的启动项目。此时可以打开注册表。
最后，我不是同学，：：））

这个 软件 属于 流氓软件了。
没有什么病毒，只不过病毒厂对这种流氓软件加了特征码而已。
软件方式 使用了P2P的网络资源共享方式。
可以在 网络下开80左右个端口，具体方法，请试试，NETSTAT -AN命令。
坛子中有 公布 过 删除流氓软件 的工具

http://www.anetfox.com/soft/cleansetup17.exe
现在许多不知名的小网站常会伴有这种流氓软件。

恩，好了，谢谢各位兄弟，一共删除了5个垃圾文件，确实是流氓软件，大意了。

Stdserivce
标准的专门弹出广告窗口的流氓软件。

对付这种东西我的做法一般都是 安全模式下 超级兔子或者 卸载王去搞 毕竟自己去手杀很麻烦  也不习惯去恢复注册表或者还原什么的`~~~~ 建议楼主试一下 超级兔子 的功效 [s:35]

找到相关的dll关连就好办多了 !~~

知道自己中毒后，用一款监控软件把c盘监控一下，然后再打开那个含有病毒的文件，就可以知道到底生成了哪几个文件。。。。然后直接去找就好了。

Windows Rundll32为了需要调用DLLs的程序。该文件可有被QQ白骨精病毒所感染，应该先结束此进程，然后删除系统目录下的Rundll32.exe文件，再去找一个正常的Rundll32.exe恢复即可。QQ白骨精病毒是一种用VC编写的发送QQ尾巴和盗取信息的木马病毒，它通过在QQ上发送以诱惑性文字为名的EXE文件(如：超级MM，超级FLASH，请您笑纳.EXE)来传播。病毒会搜索QQ好友并自动发送病毒文件，并盗取被感染的电脑中的QQ密码。若中了此病毒请用KavQQ最新版杀毒

这个用XP总管可以清除掉

我也中过类似的
我用
恶意软件清理助手
http://www.onlinedown.net/soft/42382.htm
效果不错.