转贴：（希望帮到你）

winStdup、vision文件夹、visver.dll和vision.dll彩信通的清除方法
前天帮一个亲戚整理电脑时，发现了这个流氓软件winStdup，关联网站是www.borlander.cn，注意这个网站很久了，但它始终是禁止访问的，只是在流氓软件上升级时，才用到update这个二级域名，这让我始终没有找到该流氓的样本，所幸在整理这台电脑时，才发现了它的踪迹，很可能是不完全的，但清除掉它，倒不是件难事

卡巴报警visver.dll为Adware.win32.boran.x，但始终无法清除，每开机必存在，貌似部分反流氓软件也无法清除掉它，从它工作方式来看，应该是彩信通MMSAssist的新版本，以下是简单分析

释放文件夹及其它文件
%Program Files%\vision
%System%\almms.dat
%System%\00007c5c.DAT
%System%\drivers\00007c5c.sys

添加BHO
[MMSAssistMenu]
{6671A433-5C3D-463d-A7CF-5587F9B7E191} %Program Files%\vision\vision.dll

添加鼠标右键
彩信发送
res://%Program Files%\vision\vision.dll/mms.htm

修改或添加注册表服务项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\00007c5c
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_00007C5C
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\00007c5c
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\00007c5c

运行特点
1、驱动文件00007c5c.sys始终监视vision文件夹及注册表里的添加项，一旦被删除，则立即自行恢复
2、驱动文件00007c5c.sys名字为随机名，其命名规律为0000+四位随机.sys


解决过程
1、使用冰刃IceSword来删除其添加的注册表信息，还可以通过修改权限来删除
2、使用冰刃IceSword来删除该流氓软件释放的所有文件，主要是0000+四位随机.sys文件
3、使用Sreng的系统修复功能，来删除其添加的BHO以及鼠标右键信息
4、使用CCleaner清理注册表
CCleaner清除第三方软件注册表信息的表现更良好

PS：
1、处理该流氓软件的关键是找到它的驱动文件0000+四位随机.sys，如本次所遇到的
%System%\drivers\00007c5c.sys

2、文中涉及的冰刃IceSword、Sreng等工具，在反病毒常用工具均有下载以及使用方法

3、该流氓软件貌似始终都有更新，部分描述可能与实际情况有所差异，如有差异，请邮件告之