在安全模式下
备份以下各注册表项和对应文件。
用冰刃禁止进程创建,用SRENG删除注册表项,用冰刃删除对应的文件。
启动项目
注册表
<svc><C:\DOCUME~1\CHUNQI~1.607\LOCALS~1\Temp\ie777.exe> [N/A]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<333><C:\Syswm1i\svchost.exe> []
<4><C:\SysWsj7\svchost.exe> [N/A]
<mppds><C:\WINDOWS2\mppds.exe> []
<winform><C:\WINDOWS2\winform.exe> []
<msccrt><C:\WINDOWS2\msccrt.exe> []
<cmdbcs><C:\WINDOWS2\cmdbcs.exe> []
<SVCHOST><C:\WINDOWS2\MDM.EXE> []
<upxdnd><C:\DOCUME~1\CHUNQI~1.607\LOCALS~1\Temp\upxdnd.exe> []
<cmdbc><C:\WINDOWS2\cmdbc.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<GrpConv><grpconv -o> [N/A]
<nortonp><C:\WINDOWS2\nortonp.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<GrpConv><grpconv -o> [N/A]
<nortonp><C:\WINDOWS2\nortonp.exe> []
服务
[AF849484 / AF849484][Stopped/Auto Start]
<C:\WINDOWS2\system32\AF849484.EXE -service><Microsoft Corporation>
[Vedio Adapter / VGADown][Running/Auto Start]
<C:\WINDOWS2\lsass.exe><N/A>
[Windows SystemDown / WindowsDown][Stopped/Auto Start]
<C:\WINDOWS2\system32\servet.exe><N/A>
驱动程序
[squell / squell][Running/]
<2 - 系统找不到指定的文件。
><N/A>
------------------------------------------------------------------
用冰刃或SRENG停止以下进程。
正在运行的进程
[C:\WINDOWS2\system32\AF849484.DLL] [Microsoft Corporation, ]
[C:\WINDOWS2\G_Server.DLL] [N/A, ]
[C:\WINDOWS2\system32\mppds.dll] [N/A, ]
[C:\WINDOWS2\system32\winform.dll] [N/A, ]
[C:\Syswm1i\Ghook.dll] [N/A, ]
[C:\WINDOWS2\system32\cmdbcs.dll] [N/A, ]
[C:\WINDOWS2\system32\cmdbc.dll] [N/A, ]
[C:\DOCUME~1\CHUNQI~1.607\LOCALS~1\Temp\upxdnd.dll] [N/A, ]
[C:\WINDOWS2\system32\msccrt.dll] [N/A, ]
[C:\WINDOWS2\system32\nortonp.dll] [N/A, ]
[PID: 1128][C:\WINDOWS2\nortonp.exe] [N/A, ]
---------------------------------------------------------------------
用SRENG删除下面。
HOSTS 文件
61.188.38.107 www.9605899.com
61.188.38.107 hyap98.com
61.188.38.107 www.hyap98.com
61.188.38.107 82087871.com
61.188.38.107 www.82087871.com
61.188.38.107 47555.cn
61.188.38.107 nc.47555.cn
61.188.38.107 cn.47555.cn
61.188.38.107 crsky.47555.cn
61.188.38.107 www.47555.cn
隐藏进程
[1116] C:\DOCUME~1\CHUNQI~1.607\LOCALS~1\Temp\ie777.exe
[1580] C:\WINDOWS2\G_Server.exe
--------------------------------------------------------------------------
用冰刃打开每个磁盘,删除根目录下的所有这个:
[AutoRun]
open=RavMon.exe
shell\open=打开(&O)
shell\open\Command=RavMon.exe
shell\explore=资源管理器(&X)
shell\explore\Command="RavMon.exe -e"
(Auto.ini RavMon.exe)
用冰刃打开C:\DOCUME~1\CHUNQI~1.607\LOCALS~1\Temp文件夹,删除里面的所有文件和文件夹。
------------------------------------------------------------------------
用冰刃删除与以上所说的文件同名,但是扩展名是 .DLL的文件,删除前得 备份哦。
-----------------------------------------------------------------------
以下不明,自己确认,不能确定,就备份以下各注册表项和对应文件。
用SRENG删除注册表项,用冰刃删除对应的文件。
启动文件夹
[Utility Tray]
<C:\Documents and Settings\All Users.WINDOWS2\「开始」菜单\程序\启动\Utility Tray.lnk --> C:\WINDOWS2\system32\sistray.exe [Silicon Integrated Systems Corporation]><H>
浏览器加载项
[AxInputControl Class]
{73E4740C-08EB-4133-896B-8D0A7C9EE3CD} <C:\WINDOWS2\system32\INPUTC~1.DLL, >
[CCtInf Class]
{6DBB2904-082D-4DB0-944A-21C22BA121F4} <C:\WINDOWS2\system32\BANKCE~1.DLL, >
[Active Desktop Mover]
{72267F6A-A6F9-11D0-BC94-00C04FB67863} <%SystemRoot%\system32\SHELL32.dll, N/A>
[AxSubmitControl Class]
{8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} <C:\WINDOWS2\system32\SUBMIT~1.DLL, >
----------------------------------------------------------------------------
取消冰刃的禁止进程创建。
重启电脑,如还不正常,再扫日志,自己对照,还出以上项目,就全格重装系统吧。
