莫名奇妙就中了"read_s.exe"的毒

昨天给T60清洗风扇。换导热硅胶，开机再也没有了那个该死的fan error.

上的可是BRAUN剃须刀的机油，性能开到MAX风扇声音也没有了。这下丫爽了巴，谁知道晚上11点多，临睡前来了个微软patch，重启之后，看见还没见到登陆画面，猫就开始狂闪。

当时一想就不对了。大爷我还没进去呢，你连个P的网阿。结果果然，先是指纹登陆无效，进去以后，发现thinkvangtage的东西和lenovo的本本支持程序统统报错，再看硬盘灯狂闪，再看猫也狂闪。这下100%确定中镖了= =！

回想下也没做错事阿，没看黄色网站，没下不良软件。就是在之前点开了个程序进程查看器的东西。应该就是它吧！之前用IE上Y拍拍LeicaR50E60都好好的 .NND老子愤怒了。习惯先开注册表，好家伙，HKLM和HKLU下的software/microsoft/windows/current../run下面3个人渣：
1.system32/17.tmp
2.Rundll32 system32/msqpypzv.dll w
3.system32/read_s.exe
再去HKLM/system/service看，和熊猫烧香一样自己建了个服务:"FCI"

心想先删run的，然后进safemode删文件就搞定了。结果还不止这样

！！！！

 

删完run和service下的键值（注意：需要添加admin权限才能删除那个FCI的服务，有3个）
进入safemode，结果shift+del会失效？！！太强悍了吧？！！
只好进cmd dos del ,那个msqpypzv.dll还有兄弟，得用regsvr32 /u搞掉它
心想这下好了吧？结果重启正常进入XP,还是猫狂闪，至此每招了。

当年的熊猫烧香也不过是每个盘符下的 |System Volume Information|的restore里藏些东西，进安全模式直接就搞掉了。NND这个还搞不掉了？
上网一查：

第一人：

http://liangs.spaces.live.com/blog/cns!FC54C34C3148050B!1629.entry的:

4月15日

小心reader_s.exe病毒

如果不幸感染上了，那么，很不幸，除了完全格式化重装，目前没有更好的办法。

跟这个病毒做了2晚上的斗争了，还没搞定；以前手动杀毒的各种方法都搞不定。更狠的是，各种杀毒软件都查杀不了这个病毒。

这个病毒除了把自己放在启动项，在system32/*.dll，Local Setttings/Temp，Windows/Temp底下隐藏这几个常见病毒藏身之处外，还把自己放在system32/drivers /restore.sys 和 SVCHOST.exe 里面，同时还在其它D盘、E盘等等也隐藏着。所以，安全模式底下，这个病毒跑得照样很欢。

上网一查，发现似乎没有别的好法子。基本上需要对C盘完全格式化，同时清理D盘、E盘等等中的.exe和.html了。

这是第一次看到安全模式下依然跑得很欢的病毒，纪念之。

第二人：
http://blog.sina.com.cn/s/blog_57fed6640100cmfa.html###

 

第三人：
http://baike.baidu.com/view/2606980.htm?fr=ala0

 

貌似antivirus和微软都没搞定？！要我整个HD全格！！？？
what a f..u.c..k!

今晚回去在MBP上先吧移动硬盘检查下慢慢重装吧!!!
等彻底解决了再续写下文。

 

ps：看到过说这个read_s.exe不会替换文件，那就自己在system32和My Document下自己创建个txt.改名字为read_s.exe,  然后属性改为只读。注意其他盘符的可以文件。在没确认删除病毒后，不要轻易点击非rom上的exe文件！切记！

 

PS: 瘟到死上的毒真是多阿！！！