在安全模式下
备份以下各注册表项和对应文件。
用冰刃禁止进程创建,用SRENG删除以下注册表项,用冰刃删除对应文件。
启动项目
注册表
<svc><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ie777.exe> [N/A]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<333><C:\Syswm1i\svchost.exe> []
<upxdnd><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.exe> []
<winform><; C:\WINDOWS\1.exe> []
<mppds><; C:\WINDOWS\2.exe> []
<wsttrs><; C:\WINDOWS\4.exe> []
<msccrt><; C:\WINDOWS\5.exe> []
<cmdbcs><; C:\WINDOWS\6.exe> []
<main><rundll32.exe "C:\program files\internet explorer\use070330.dll" mymain> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<KernelCheck><C:\WINDOWS\system32\winine.exe> []
服务
[Gray_Pigeon_Server1.23 / GrayPigeonServer1.23][Stopped/Auto Start]
<C:\WINDOWS\G_Server1.23.exe><N/A>
——————————————————————————————————
以下文件备份后。
用SRENG或冰刃停止进程。并删除对应文件
正在运行的进程
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\winform.dll] [N/A, ]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\msccrt.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\Syswm1i\Ghook.dll] [N/A, ]
[C:\WINDOWS\system32\winsys32_070330.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[PID: 2164][C:\WINDOWS\4.exe] [N/A, ]
[C:\WINDOWS\system32\wsttrs.dll] [N/A, ]
——————————————————————————————————
以下不明,自己不能确认,可在备份以下各注册表项和对应文件后,用SRENG删除以下注册表项,用冰刃删除对应文件。
驱动程序
[CdaC15BA / CdaC15BA][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\CDAC15BA.SYS><Macrovision Europe Ltd>
————————————————————————————————
用冰刃打开C:\Documents and Settings\Administrator\Local Settings\Temp文件夹,删除里面的所有文件和对应的文件夹。
——————————————————————————————————
取消冰刃的禁止进程创建,重启电脑,再有异常,或再扫日志,还出现以上的东西,就格了重装系统吧。
建议以后不要上异常网页。
