将SRENG扫描工具的可执行文件发个快捷方式到桌面上,然后下载工具:
XDelBox下载:
http://www.dodudou.com/down/ 打开后选择【原创软件】,下载XDelBox1.7支持奥运版。
windows清理助手下载:
http://www.arswp.com/download.html临时文件清理工具下载:见附件
以上工具均下载到c:\windows目录下。
———————————————————————————————————————
务必断开网络连接后再进行以下操作(个人推荐直接把网线拔掉);
———————————————————————————————————————
使用XDelBox删除以下文件:
使用前一定拔掉所有移动存储设备,将下面文件列表内容完整复制,然后打开XDelBox,在“待删除文件列表”下方空白框处右键,选择“剪贴板导入不检查路径”,勾选上方的“抑制再生”、“驱动安全删除模式”、“备份文件”,最后选择右键菜单的“立刻重启删除”。
C:\WINDOWS\TEMP\tmp1.tmp
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\drivers\msosmsfpfis64.sys
C:\WINDOWS\18.exe
C:\WINDOWS\system32\EPL0RE.EXE
C:\WINDOWS\system32\jkhxaklo.dll
C:\WINDOWS\system32\msosmnsf01.dll
C:\Autorun.inf
c:\MSDS.pif
d:\Autorun.inf
d:\MSDS.pif
e:\Autorun.inf
e:\MSDS.pif
f:\Autorun.inf
f:\MSDS.pif
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示,倒计时5秒,
第一个选项是你自己的Windows系统,
第二个选项是XDelBox的Go XDelBox To Del Files,
默认自动选择第二项,会进入类似DOS的界面,这期间什么操作都不用做,等待它自动运行即可,
待病毒文件删除后会自动重启进入Windows系统,
然后再按以下步骤操作:
———————————————————————————————————————
进入注册表编辑器,进行如下操作:
1、删除以下注册表子项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ANTIARP.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ast.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRunKiller.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Frameworkservice.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GFUpd.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GuardField.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASARP.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonxp.KXP]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVWSC.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mmsk.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nod32kui.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\QQDOCTOR.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPC32.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPTRAY.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WOPTILITIES.EXE]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Wuauclt.EXE]
2、删除以下注册表值项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{14698742-2059-3025-9058-954023874141}>
3、将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]<AppInit_DLLs>这个值项的数值数据编辑为空。
———————————————————————————————————————
运行SRENG扫描工具,选择【启动项目】-【服务】-【WIN32服务应用程序】,将以下项删除:
[Remote Connection Access Auto Manager / AutoRemote]
———————————————————————————————————————
运行SRENG扫描工具,选择【启动项目】-【服务】-【驱动程序】,将以下项删除:
[msfpfis64 / msfpfis64]
[Netgroup Packet Filter / NPF]
[mnsf / mnsf]
———————————————————————————————————————
运行SRENG扫描工具,选择【系统修复】-【浏览器加载项】,将以下项删除:
[]
{14698742-2059-3025-9058-954023874141}
———————————————————————————————————————
重启电脑,运行“临时文件清理工具”,全选所有项目,点击【立即清理】;
———————————————————————————————————————
卸载杀软,删除杀软安装目录,重装杀软并联网升级到最新版本,全盘杀毒。
———————————————————————————————————————
最后运行WINDOWS清理助手,执行“快速扫描”,对发现的“可清理对象”及“可卸载软件”,根据实际情况进行清理;不能确定的,把图发上来。
注意:由于可能中的是感染型病毒,因此建议严格按照顺序和步骤要求操作,不要以任何方式访问任何驱动器,也不要运行以上步骤以外的任何可执行文件。
