[讨论] 我在开机时出现了这样一个错误窗口

stqb

我在开机时出现了这样一个错误窗口
我在开机时出现了这样一个错误窗口,我按这个错误窗口上提示的目录,把这个目录上所有文件都删除了,结果问题仍旧.

我以前也遇到过这个问题
注册表里去搜索包括这个文件名的键，删掉就行

rundll应该是一个病毒，WinXP下只有Rundll32.exe，rundll.exe只在Win98或Winme下存在，好多病毒将自己变换为Rundll.exe的样子，迷惑用户，实际上它是一个木马，要查一下这个文件在什么地方，文件的属性是什么，如果是微软的，在文件属性中会看到有关微软的描述，如果是病毒，则没有相关内容，而且文件图标也被更改了。如果查到是病毒的话，不能简单删除，因为注册表中Exe文件关联了Rundll.exe。如果删除，所有的exe文件将都打不开了，具体处理忘记了，好象先将Exe文件关联更改，然后在安全模式下删除这个文件，具体操作建议上网查一下。



[ 本帖最后由 franklzn 于 2006-5-31 02:27 编辑 ]

网上找到一偏介绍相关内容的文章，希望有帮助，我以前也中过，要杀这个病毒还是比较麻烦，不过现在的杀毒软件应该可以杀掉。
转：最近各大论坛中出现了rundll的讨论，现在我希望通过我的实践，给大家说说如何防止附加于rundll.exe中的病毒
一、rundll.exe和rundll32.exe文件的区别
我们知道rundll.exe文件和rundll32.exe文件是windows操作系统下的两个重要文件，用来调用动态链接库文件，它们的区别在于rundll.exe用于16位操作系统，如win9x和winme，存放在windows\system中，而rundll32用于32位操作系统，如win2000和winxp中，存放于windows\system32文件夹中。
但问题是，win9x中不使用rundll32.exe，同样地，win2000和winxp中不使用rundll.exe文件。
因此，基本可以肯定地说，如果winxp等32位操作系统中出现了rundll.exe文件，或win9x等16位操作系统中出现了rundll32.exe，可以说，恭喜你，你已中招了。

那么，有些人问，我的winxp系统中只有rundll32.exe，或我的win9x系统中只有rundll文件，我的机器是否中招？这样，就需要知道——

二、如何甄别中毒，杀毒和防毒
看看我是如何中招和恢复的，就知道如何甄别了。
1、如何删除rundll.exe
最近，我的系统在运行，会常态突然象自动改变屏幕主题似的，屏幕一下子变黑，但瞬间就恢复了，也是我大意，因为我刚替换了破解的uxtheme.dll文件，用于桌面主题的随意更换。以为是系统侦测到uxtheme.dll文件有变化，自动恢复的。所以，也没在意。同时，我多年来，一直使用的是NORTON杀毒和internet个人防火墙，从未中招，因此，根本未想到是病毒或木马什么的。
前天，看了网上的帖子，赶紧到自己的系统文件夹中一看，果不其然，确实有这个问题，我使用的是winxp pro，已更新到最新，但windows\system32文件夹中多出了个rundll.exe文件，而且，这个文件的的图标明显是另一个可执行文件winrar.exe文件的图标，因此，先使用文本编辑器输入如下内容：
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

保存在桌面上，文件名为“恢复.reg”，然后，果断删除这个rundll.exe文件，再双击刚才建立的reg文件，导入注册表，这样，所有exe文件都可以正常运行。

2、病毒特征
同时，我复制了这个文件的备份，用ultraedit32编辑器打开，查看有什么可疑之处，好在种木马的人在文件尾部留下了蛛丝马迹，我查找到：“史莱姆病毒 http://peephost2.3322.org:1024/iexplorer.exe”等文字信息。

很清楚，这个病毒被其作者称为“史莱姆病毒”，但后面那行文字的意思就值得猜测了，是将我的桌面信息发送到 http://peephost2.3322.org:1024/iexplorer.exe中，还是这个病毒首先感染了 “http://peephost2.3322.org:1024/iexplorer.exe”，不过，我更倾向于前者，即该病毒是“史莱姆病毒”，可能是个木马程序，作者就是“http://peephost2.3322.org:1024/”的站长。
这个病毒将中招者的信息发送到 “http://peephost2.3322.org:1024/iexplorer.exe”中，等于是开了个后门，将中木马人电脑中的信息，发送到http://peephost2.3322.org网站，并通过1024端口入站，这样种植木马的人，就可以在他的浏览器中（ieplorer.exe），打开中招者的电脑上的任意文件。多么恶毒！

但奇怪的是，我用NORTON扫描这个rundll.exe文件，没有发现任何病毒或木马，同时，用木马克星扫描，也没有发现木马，但norton的internet防火墙曾经提示过我，“是否允许rundll.exe访问internet”，我选择了“总是禁止”。

我还试验过，卸载了winrar程序，并删除了rundll.exe文件后，系统启动后，又出现了这个rundll.exe文件，这次，这个rundll.exe的图标是我安装不久的easycd&dvd creator 6.0 软件中的引擎文件的图标，因为它是加载在系统自动启动项中，这说明我的引擎文件也已中毒，系统启动后，启动了这个引擎文件，这样，自动生成了rundll.exe文件，只好卸载这个软件，等查杀完病毒再安装了。然后，我又逐一查找系统启动项中的文件是否中毒，还好，没有其它的文件中毒。

3、甄别是否中毒，及杀毒
这样，我们就知道，如何甄别中招了。也很简单，
3－1
对win9x用户，就是用我上述方式，用ultraeditor软件，打开rundll.exe文件，查找里面是否有“http://***”等文字，注意，查找时，要选中“查找 ASCII”，看看是否会出现那些字样，也有可能是其它网站的链接，如果你的rundll.exe文件中毒了，也不要紧张，因为是win9x，rundll.exe文件必不可少，有时在染毒程序运行时，或rundll文件已调用了其它系统重要的库文件时，直接删除不了，可以这样解决：
（1）停止系统中所有运行的程序，包括后台运行的程序，下载并安装破解中文版ultraexitor（到www.ttdown.com中下载）
（2）用ultraeditor的批量查找（选中“查找ASCII”），查找硬盘中所有含有病毒特征文字的文件（放心，速度很快，比杀毒软件要快）
（3）反安装或删除所有那些含有病毒特征文字的软件或文件，注意，对某些软件，要注意资料的备份。用“1”中所说方法恢复系统注册表。
（4）从系统安装盘中提取rundll.exe文件，并准备一张干净的win9x启动盘到dos下恢复rundll.exe文件，或直接用win9x系统文件恢复器，恢复rundll.exe。
（5）在norton的internet防火墙中，在禁止站点中，输入“peephost2.3322.org”，严禁系统对这个网站的访问，或这个网站试图与你建立连接。

重启看看吧，你的机器干净了！

3－2
对winxp或win2000用户，查找方式一样，但对rundll.exe文件，直接删除就可以了，因为winxp或win2000根本不需要rundll.exe文件，如果你的系统中有rundll.exe文件，毫无疑问，你的系统已经中招。

4、如何防毒
我还是要推荐大家安装norton的杀毒和internet个人防火墙，有条件的话，再加装一个金山毒霸，它对国内病毒查杀能力要好一些，这次的rundll病毒就是国产的:）。
虽然norton杀毒防火墙不能查杀这个病毒，但对大多数病毒来说，都可以查杀，我一直使用这个杀毒软件，除这次外，从未中毒。更重要的是要安装它的病毒防火墙，可以控制所有程序的出、入站，其实，虽然我的电脑已中招，但我的信息并未发送出去，因为我在防火墙中禁止了这个文件的所有出入站。
对winxp用户（好象越来越多了）来说，保留系统还原的功能，万一系统死机或其它原因，完全可以用还原来恢复。
上网前，一定要打开所有防火墙，避免不必要的染毒，同时，推荐使用Gosurf或MYIE2（虽然我不喜欢这个bugs很多的软件）之类的可防止弹出广告或另外链接窗口的网络浏览器。

经常清空你的浏览器缓存和cookies之类的东西，保护好你的个人信息，如加密等，在我的文档之类的文件夹、tem、temp和个人登录帐号文件夹中不要放置重要的文件信息等。

总之，有了网络，我们的快乐多了，但我们忧患更多。

三、http://peephost2.3322.org 查疑
这个网址是著名的系网动态域名的下的一个站点，但奇怪的是，不管如何采用正常手段，我进入不了这个站点，但可以ping通，可能是这个木马传播者或始作俑者禁止了所有端口的入站，除了1024吧，但明显的是，这个网站开通了http和ftp服务，且现在他还在网上，你们可以ping一下。我不想攻击他，也许他是冤枉的，也许我还比较正直，知道攻击个人的机器是一种低劣者的偷窃行为，是想模仿黑客，却又缺乏黑客精神，这种人缺乏人类应有的道德和从事计算机行业的素质和水平。
====================================================
如果他还能看到我的这个帖子的话，请他自重，如果我发现有不少论坛朋友反应重要帐号或资料遗失的话，我先会向希网列举他的恶劣行为，希望希网能禁用他的帐号，如果还不行，我将组织人手，对他的不光彩的、恶毒的站点采取行动。