一、双击“我的电脑”--工具--文件夹选项--查看--勾选“显示系统文件和文件夹”,取消勾选“隐藏受保护的操作系统文件(推荐)”,之后勾选“显示所有的文件和文件夹”--确定,找到C:\WINDOWS\system32\kaqhczy.dll、C:\WINDOWS\system32\kvdxbma.dll、c:\windows\system32\kaqhczy.dll、C:\WINDOWS\system32\rsjzapm.dll、C:\WINDOWS\system32\xyupri1.dll并分别重命名为为1.dll、2.dll、3.dll、4.dll、5.dll;
二、重启电脑进入安全模式;
三、用SRENG扫描工具删除以下注册表子项和值项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2C87A354-ABC3-DEDE-FF33-3213FD7447C2}>
<{1E32FA58-3453-FA2D-BC49-F340348ACCE1}>
<{E3F426F6-8634-42A5-A29E-BC694A88FB7D}>
<{1960356A-458E-DE24-BD50-268F589A56A1}>
<{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}>
<{37D81718-1314-5200-2597-587901018073}>
<{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}>
四、将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs>这个注册表值项的数值数据由<kaqhczy.dll>改为空(即删除kaqhczy.dll这个字符串)。
五、用SRENG扫描工具删除以下服务:
[Help and Support / helpsvc][Stopped/Auto Start]
六、用SRENG扫描工具删除以下驱动程序:
[npkycryp / npkycryp][Stopped/Manual Start]
七、重启进入安全模式,删除以下文件:
C:\WINDOWS\system32\1.dll
C:\WINDOWS\system32\2.dll
c:\windows\system32\3.dll
C:\WINDOWS\system32\4.dll
C:\WINDOWS\system32\5.dll
C:\WINDOWS\system32\npkycryp.sys
C:\WINDOWS\system32\inetres.exe
八、安全模式下全盘杀毒。
