1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑->属性->系统还原->在"所有驱动器上关闭系统还原"上打勾即可。
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将"删除所有脱机内容"打勾,点确定删除。
双击打开"我的电脑"->工具->文件夹选项->查看->点选"显示所有文件和文件夹",同时把"隐藏受保护的系统文件"和"隐藏已知文件的扩展名"的勾去掉.
2.用SREng将下面启动项删除:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{4ED6E0B5-F47A-4609-A940-11CF60FDC3C3}><C:\WINDOWS\system32\mctet.dll>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptimg]
<WinlogonNotify: cryptimg><cryptimg.dll>
3.用SREng删除下面驱动程序
[ehcang4 / ehcang42][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\ehcang42.sys>
[ffpbek / ffpbek][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\drivers\ffpbek.sys>
[lhfszq1 / lhfszq10][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\lhfszq10.sys>
[rvgyhy7 / rvgyhy76][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\rvgyhy76.sys>
4.用PowerRMV(勾选杀灭文件再生成)或KillBox删除下面文件:
C:\WINDOWS\system32\cryptimg.dll
C:\WINDOWS\system32\mctet.dll
C:\WINDOWS\system32\lhfszq10.dll
C:\WINDOWS\system32\ehcang42.dll
C:\WINDOWS\system32\4009ntos.dll
C:\WINDOWS\system32\4b4ecfsb.dll
C:\WINDOWS\system32\winszq10.dll
C:\WINDOWS\System32\DRIVERS\ehcang42.sys
C:\WINDOWS\system32\drivers\ffpbek.sys
C:\WINDOWS\System32\DRIVERS\lhfszq10.sys
C:\WINDOWS\System32\DRIVERS\rvgyhy76.sys
有关服务和驱动删除的部分看不懂的话,可以先看一下"UFO不幸外人"写的"SREng的使用方法"
http://forum.ikaka.com/topic.asp?board=28&artid=8270267
