1、下载、运行IceSword。下载地址:http://www.blogcn.com/user17/pjf/blog/44570897.html
2、用IceSword禁止进/线程创建。
3、在IceSword的进程列表中找到并右击IceSword自身的进程名,点击“模块信息”。仔细查看模块中是否有C:\WINDOWS\system32\windhcp.ocx。如果有,用IceSword强制卸除之(建议不要省略这一步,因为有些病毒见进程就插)。
4、用IceSword结束下列进程(已经被病毒模块插入了):
[PID: 1628][C:\WINDOWS\Explorer.EXE]
[PID: 3376][C:\WINDOWS\system32\ctfmon.exe]
[PID: 3656][C:\Program Files\Internet Explorer\IEXPLORE.EXE]
[PID: 2544][C:\Program Files\Internet Explorer\IEXPLORE.EXE]
[PID: 3572][C:\Program Files\Internet Explorer\IEXPLORE.EXE]
[PID: 2408][C:\Program Files\Ringz Studio\Storm Codec\mplayerc.exe]
[PID: 3704][C:\Program Files\Internet Explorer\IEXPLORE.EXE]
[PID: 216][C:\Program Files\Internet Explorer\IEXPLORE.EXE]
[PID: 2716][C:\Program Files\Internet Explorer\IEXPLORE.EXE]
[PID: 3960][C:\Program Files\Internet Explorer\IEXPLORE.EXE]
[PID: 1548][C:\Program Files\Internet Explorer\iexplore.exe]
[PID: 3612][C:\Program Files\Internet Explorer\IEXPLORE.EXE]
[PID: 2080][C:\Documents and Settings\Vito Coleone\桌面\新建文件夹\SREng.EXE]
5、用IceSword删除上述加载项。
6、用IceSword删除那些加载项、服务项指向的文件。
7、点击IceSword工具栏上的“文件”、“设置”,取消“禁止进程创建”。
8、点击IceSword工具栏上的“文件”、“重启并监视”。此时,系统重启。
9、重启后,再用Sreng扫日志看看————该删除的是否都删了。
10\运行System Repair Engineer注册表,删除
<mhs2><; C:\DOCUME~1\VITOCO~1\LOCALS~1\Temp\mhs2.exe> [N/A]
<scvhosts.exe><; C:\WINDOWS\system32\scvhosts.exe> [N/A]
<windowstime.exe><; C:\WINDOWS\system32\windowstime.exe> [N/A]
<wlzs><; C:\DOCUME~1\VITOCO~1\LOCALS~1\Temp\conime.exe> [N/A]
<twin><C:\WINDOWS\system32\twunk32.exe> [N/A]
启动项目,服务,WIN32服务应用程序,勾选隐藏微软服务后,删除
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
重起,安全模式,查看,显示所有文件夹,把'隐藏受保护的系统文件"的勾去掉,删除
WINDOWS\system32\ windhcp.ocx
清空DOCUME~1\VITOCO~1\LOCALS~1\Temp
C:\WINDOWS\system32\windowstime.exe>
C:\WINDOWS\system32\scvhosts.exe>
