1、下载、运行IceSword。下载地址:http://www.blogcn.com/user17/pjf/blog/44570897.html
2、用IceSword禁止进/线程创建。
3、在IceSword的进程列表中找到并右击IceSword自身的进程名,点击“模块信息”。仔细查看模块中是否有C:\WINDOWS\system32\windhcp.ocx。如果有,用IceSword强制卸除之(建议不要省略这一步,因为有些病毒见进程就插)。
4、用IceSword结束下列进程(已经被病毒模块插入了):
比如:[PID: 3272][C:\Program Files\Windows Media Player\wmplayer.exe] [Microsoft Corporation, 10.00.00.3802]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]等....
结束:[PID: 3272][C:\Program Files\Windows Media Player\wmplayer.exe] [Microsoft Corporation, 10.00.00.3802]
运行SREng2,使用“启动项目”--注册表--删除
<twin><C:\WINDOWS\system32\twunk32.exe> [N/A]
<NiceMSoft><C:\WINDOWS\system32\retemp.exe> [N/A]
运行(双击)SRENG2,点“启动项目,服务,点“Win32服务应用程序”
勾选“隐藏微软服务”选中病毒服务
,选择“删除服务”
点“设置”选择“否”
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>
重启按F8进入安全模式下
显示隐藏文件
删除:C:\WINDOWS\system32\twunk32.exe>
C:\WINDOWS\system32\retemp.exe>
C:\WINDOWS\system32\windhcp.ocx
注册表启动项删除
<load><> [N/A]
<run><> [N/A]
<{D157330A-9EF3-49F8-9A67-4141AC41ADD4}><> [N/A]
<{06A48AD9-FF57-4E73-937B-B493E72F4226}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk> [N/A]
删除驱动服务
<\??\C:\WINDOWS\system32\drivers\oreans32.sys><N/A>
删除文件
WinInfo.rxk
oreans32.sys
