【回复“hkd20051”的帖子】
建议用IceSword手工杀毒。操作流程如下:
1、禁止进程创建。
2、结束下列进程(已经被病毒模块插入):
[PID: 1488 / Administrator][C:\WINDOWS\Explorer.EXE]
[PID: 1216 / Administrator][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\sreng2.zip 的临时目录 1\SREngPS.EXE]
3、删除下列文件:
C:\WINDOWS\system32\wdkqbgmsye.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\Program Files\NetMeeting\ravztmon.dat
C:\Program Files\Media Player Classic\Codecs\mmfinfo.dll
C:\Program Files\Media Player Classic\Codecs\mkunicode.dll
C:\WINDOWS\DbgHlp32.exe
C:\Program Files\NetMeeting\ravztmon.exe
C:\WINDOWS\system32\avzxamn.dll
C:\Program Files\Common Files\SyInfo.bps
C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys
C:\WINDOWS\system32\rsjzapm.dll
4、删除下列启动项:
(1)HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run分支下的:
DbgHlp32
ravztmon
(2)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支下的:
{72204F90-5CD6-41B1-BD69-62CD84C9FB24}
{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}
{1960356A-458E-DE24-BD50-268F589A56A1}
{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}
{1859245F-345D-BC13-AC4F-145D47DA34F1}
5、编辑HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows分支下的:
AppInit_DLLs(将其键值设置为空)
6、取消IceSword的“禁止进程创建”。
7、用SRENG修复文件关联和HOSTS 文件。
