TxHMoU.Exe是一种木马盗号下载器病毒，交盗取游戏帐号，TxHMoU.Exe 病毒激活后会在c:\\及c:\\windows\\system32\\目录下释放autorun.inf 文件，禁止任务管理器。系统慢、有可能上网拨号不成功、系统时间被改为2000年等等，TxHMoU.Exe的清除很简单，用一些专杀工具都能清除。

TxHMoU.Exe查杀 前一段时间，电脑突然变看， 发现进程里多了个TxHMoU.Exe！

感觉不对竟，马上用在线杀毒http://www.antidu.cn/board/online，瑞星报毒！！！

马上动手来杀毒！

病毒简要分析

1.病毒运行后，衍生如下副本：

%systemroot%\\system32\\AuToRUN.Inf

%systemroot%\\system32\\TxHMoU.Exe

在每个分区根目录下面生成AuToRUN.Inf和soS.Exe，达到通过U盘等移动存储传播的目的。

2.不断调用reg.exe进行相关的系统破坏，其中包括

(1)添加自身启动项目

(2)禁用Windows自动更新

(3)禁用任务管理器

(4)破坏显示隐藏文件

(5)不显示文件扩展名

3.遍历磁盘分区删除gho文件

4.感染所有磁盘分区的遍历所有磁盘分区的INDEX.ASP，.HTM，INDEX.PHP，DEFAULT.ASP，DEFAULT.PHP，CONN.ASP文件,并在其尾部加入ieframe代码

5.连接网络下载3个txt文本文档，并把它们保存到%systemroot%\\system32下面命名为FSEz.COM，FSEx.COM，FSEc.COM，FSEv.COM，FSEb.COM等

这三个文本文档一般分别为

http://*/url.txt

http://*/IE.txt

http://*/table.txt

其中

IE.txt为锁定的主页的列表

table.txt为关闭指定窗口的关键字列表

url.txt为下载的木马列表

且table.txt，IE.txt会每隔几秒下载一次检查是否有更新..

之后会读取IE.txt的中的内容（里面一般为一个网址）

目前为http://main.94ak.com

之后病毒则会把IE主页锁定为http://main.94ak.com ，且使得Internet选项中主页设定项变灰。

table.txt为病毒试图关闭的窗口关键字列表

之后会读取url.txt下载一系列木马和病毒

其中有目前比较流氓的机器狗病毒（破坏还原卡，替换userinit.exe）

清除办法：

需要下载的工具：

1.sreng http://www.antidu.cn/board/helpst/

强烈建议对病机断网隔离并拔掉机器上的移动存储设备再进行查杀！

一.清除病毒主程序TxHMoU.Exe

1.打开sreng

启动项目 注册表

删除

[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run]

{crsss}{%systemroot%\\system32\\TxHMoU.Exe} []

重启计算机

打开sreng

系统修复 - Windows Shell/IE 全选 点击修复

之后双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定

点击 菜单栏下方的 文件夹按钮（搜索右边的按钮）

在左边的资源管理器中单击打开系统盘（假设在C盘）

删除%systemroot%\\system32\\TxHMoU.Exe

C:\\soS.Exe

C:\\autorun.inf

%systemroot%\\system32\\FSEb.COM

%systemroot%\\system32\\TxHMoU.Exe

同理 从左边的资源管理器中单击打开其它盘

删除soS.Exe，autorun.inf

二.清除病毒下载的木马（由于病毒服务器上的木马群会随时变化，所以此方法仅供参考）

进入安全模式，删除：

%Program Files%\\Internet Explorer\\PLUGINS\\Sy_Win7k.Jmp

%Program Files%\\Internet Explorer\\PLUGINS\\Wn_Sys8x.Sys

%systemroot%\\608769MM.DLL

%systemroot%\\cmdbcs.exe

%systemroot%\\LotusHlp.exe

%systemroot%\\MsPrint32D.exe

%systemroot%\\SSLDyn.exE

%systemroot%\\system32\\avwghmn.dll

%systemroot%\\system32\\avwghst.exe

%systemroot%\\system32\\avwlgmn.dll

%systemroot%\\system32\\avwlgst.exe

%systemroot%\\system32\\avzxkmn.dll

%systemroot%\\system32\\avzxkst.exe

%systemroot%\\system32\\cmdbcs.dll

%systemroot%\\system32\\drivers\\comint32.sys

%systemroot%\\system32\\drivers\\svchost.exe

%systemroot%\\system32\\edxqmewogy.dll

%systemroot%\\system32\\FTCCompress.dll

%systemroot%\\system32\\gdjzi32.dll

%systemroot%\\system32\\kaqhlaz.exe

%systemroot%\\system32\\kaqhlzy.dll

%systemroot%\\system32\\kawdfaz.exe

%systemroot%\\system32\\kawdfzy.dll

%systemroot%\\system32\\kvdxjisa.exe

%systemroot%\\system32\\kvdxjma.dll

%systemroot%\\system32\\kvdxskis.exe

%systemroot%\\system32\\kvdxskma.dll

%systemroot%\\system32\\LotusHlp.dll

%systemroot%\\system32\\LYLOADER.EXE

%systemroot%\\system32\\LYMANGR.DLL

%systemroot%\\system32\\MSDEG32.DLL

%systemroot%\\system32\\MsPrint32D.dll

%systemroot%\\system32\\msqdlsl32.dll

%systemroot%\\system32\\ratbopi.dll

%systemroot%\\system32\\ratbotl.exe

%systemroot%\\system32\\REGKEY.hiv

%systemroot%\\system32\\sidjhaz.exe

%systemroot%\\system32\\sidjhzy.dll

%systemroot%\\system32\\SSLDyn.dll

%systemroot%\\system32\\TxHMoU.Exe

%systemroot%\\system32\\upxdnd.dll

%systemroot%\\system32\\vvneypgwnevm.dll

%systemroot%\\system32\\wszjdax.exe

%systemroot%\\system32\\wszjdzx.dll

%systemroot%\\upxdnd.exe

重启计算机后

打开sreng

删除上述对应的启动项目

三.清理机器狗病毒

1.清理机器狗病毒的驱动程序

本次涉及到的是%systemroot%\\system32\\drivers\\pcihdd.sys

方法使用Xdelbox直接删除该文件即可

2.其次机器狗病毒清理的关键是把被感染的userinit.exe替换回来。

注意：清理该病毒一定不要使用杀毒软件，因为杀毒软件会盲目的将userinit.exe删除而导致重启计算机后登陆就注销，所以一旦杀毒软件报警userinit.exe是病毒，一定要选择忽略!

请按照下面步骤操作将userinit.exe替换回来

首先打开任务管理器 查看是否有userinit.exe进程

有则结束它

从其他相同系统的机器中找一个userinit.exe分别复制到%systemroot%\\system32\\dllcache和%systemroot%\\system32替换原先的文件（注意，先覆盖%systemroot%\\system32\\dllcache中的）

如果出现文件保护的对话框，点击是即可

四.由于病毒感染htm等网页文件