一、双击“我的电脑”--工具--文件夹选项--查看--勾选“显示系统文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)”,然后勾选“显示所有文件和文件夹”--点“确定”,定位到C:\WINDOWS\SYSTEM32这个文件夹,双击打开查找是否有C:\WINDOWS\SYSTEM32\ztmpri.dll,如果有的话,重命名为1.dll,然后重启进入安全模式继续下一步骤;如果找不到,直接进入下一步骤。
==================================
二、用SRENG扫描工具将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]<AppInit_DLLs>这个注册表值项值由ztmpri.dll修改为空(即删除ztmpri.dll这个字符串)
==================================
三、用SRENG扫描工具删除以下服务:
[84CA95A / 84CA95A][Stopped/Auto Start]
[DJOVCIOUBGMSYE / INTZG][Running/Auto Start]
[Windows rmhp RunThem / rmhp][Others/Auto Start]
==================================
四、用SRENG扫描工具删除以下驱动程序
[jiddgbab / jiddgbab][Stopped/Boot Start]
[tbxc2i / tbxc2ij][Running/Boot Start]
[xwxvug1 / xwxvug12][Running/Boot Start]
[y5zfme / y5zfme][Running/Auto Start]
==================================
五、重启电脑进入安全模式,删除以下文件
C:\WINDOWS\system32\183E41B.EXE
C:\Windows\system32\wbem\RYEKRWCINS.DLL
C:\WINDOWS\system32\drivers\jiddgbab.sys
C:\WINDOWS\System32\DRIVERS\tbxc2ij.sys
C:\WINDOWS\System32\DRIVERS\xwxvug12.sys
C:\WINDOWS\system32\drivers\y5zfme.sys
C:\PROGRA~1\mhck\wrmu.dll
C:\WINDOWS\system32\skbyaplw.dll
c:\windows\system32\wbem\ryekrwcins.dll
C:\WINDOWS\system32\gf80g.exe
C:\WINDOWS\system32\1.dll(如果之前发现有C:\WINDOWS\SYSTEM32\ztmpri.dll这个文件并将它重命名的话)
==================================
六、全盘杀毒。
==================================
说明:SRENG扫描工具相关操作看这里:http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
