修改方法如下:
1.进入带引导符的安全模式下,输入
assoc<空格>.exe=exefile
然后退出重起。(也可以用System Repair Engineer名字是SREng.exe 的软件修改关联,记得把软件后缀改为.com)
(以下可以在安全模式下进行)
结束病毒进程csrss.exe exerout.exe(不要结束system32下的)
2.通过“搜索”找到它们,删除它们:
C:\autorun.inf(注意不要用双击的方式进入C盘,否则又会激活)
%Programfiles%\Internet Explorer\iexplore.com
%Programfiles%\Common Files\iexplore.pif
%Windows%\1.com
%Windows%\csrss.exe
%Windows%\ExERoute.exe
%Windows%\explorer1.com
%Windows%\finder.com
%Windows%\MSWINSCK.OCX
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\msconfig.com
%System%\regedit.com
%System%\rundll32.com
“开始”>>“程序”\安全测试.lnk
“开始”>>“程序”\计算机安全中心.lnk
“开始”>>“程序”\系统信息管理器.ink
3.HKEY_Classes_root\.exe
默认值 winfiles 改为exefile
分别查找“finder.com”、“rundll32.com”、“command.pif”的信息,把找到值中的“finder.com”、“rundll32.com”、“command.pif”改为“rundll32.exe”
查找“iexplore.com”的信息,把找到值中的“iexplore.com”改为“iexplore.exe”;
查找“iexplore.pif”的信息,把找到值中类似“%ProgramFiles%\Common Files\iexplore.pif”的信息改为类似“%ProgramFiles%\Internet Explorer\iexplore.exe”
查找“explorer1.com”的信息,把找到值中的“explorer1.com”改为“explorer.exe”
4.最后删除病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\CSRSS.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\CSRSS.exe"
在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
删除[HKEY_CLASSES_ROOT\winfiles]项
重启!
注意:记得在修改的过程中,不要随便打开别的文件,因为这个病毒会修改许多格式文件的关联,而且记得在删除修改前,一定要结束csrss.exe exerout.exe进程,删除C:\autorun.inf时,最好打开资料管理器,从列表中进入C盘。
搜索文件时,要取消“隐藏受系统保护的文件”选项!
