一、进入安全模式,双击“我的电脑”--工具--文件夹选项--查看--勾选“显示系统文件和文件夹”,取消勾选“隐藏受保护的操作系统文件(推荐)”,之后勾选“显示所有的文件和文件夹”--确定--找到以下文件,分别改名为1.dll、2.dll、3.dll、4.sys:
C:\WINDOWS\system32\rsjzapm.dll
C:\WINDOWS\system32\ratbbpi.dll
C:\WINDOWS\system32\rsztapm.dll
C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys
二、重启电脑进入安全模式;
三、用SRENG扫描工具删除如下注册表项目:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IdnSvr><C:\Program Files\OCINS\idnsvr.exe> [(Verified)China Internet Network Information Center]
<ravcqmon><C:\Program Files\NetMeeting\ravcqmon.exe> []
<ravmsmon><C:\Program Files\NetMeeting\ravmsmon.exe> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<ravzxmon><C:\Program Files\NetMeeting\ravzxmon.exe> []
<WinForm><C:\WINDOWS\WinForm.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<p1n32a><rundll32 "C:\WINDOWS\Downlo~1\p1n32a.dll",Run> [Microsoft Corporation]
<compmgmt><C:\WINDOWS\system32\Ravm0nd.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}><C:\WINDOWS\system32\rsjzapm.dll> []
<{26650011-3344-6688-4899-345FABCD1562}><C:\WINDOWS\system32\ratbbpi.dll> []
<{134345F1-DACF-3452-CB7D-4620F34A1531}><C:\WINDOWS\system32\rsztapm.dll> []
<{40117B96-998D-4D80-8F89-5E9DBD9F3460}><C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Sys> []
四、用SRENG扫描工具将[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]<AppInit_DLLs>这个值项的值由rsjzapm.dll改为空(即删除rsjzapm.dll这个字符串)
五、用SRENG扫描工具删除如下服务:
[Wireless Service / WZCSRVC][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe netsrvcs.dll,input><Microsoft Corporation>
六、用SRENG扫描工具删除如下驱动程序
[ADProt / ADProt][Stopped/System Start]
<\SystemRoot\system32\drivers\ADProt.sys><N/A>
[cnprov / cnprov][Running/Boot Start]
<\SystemRoot\system32\drivers\cnprov.sys><中国互联网络信息中心(CNNIC)>
[idnaux / idnaux][Running/Auto Start]
<system32\drivers\idnaux.sys><中国互联网络信息中心(CNNIC)>
[Netgroup Packet Filter / NPF][Stopped/Manual Start]
<system32\drivers\npf.sys><CACE Technologies>
[v5hwi8n / v5hwi8n4][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\v5hwi8n4.sys><N/A>
七、重启电脑进入安全模式,开始--WINRAR--WINRAR,用WINRAR压缩工具删除以下文件:
C:\Program Files\NetMeeting\ravcqmon.exe
C:\Program Files\NetMeeting\ravmsmon.exe
C:\WINDOWS\DbgHlp32.exe
C:\Program Files\NetMeeting\ravzxmon.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\Downloads\p1n32a.dll
C:\WINDOWS\system32\Ravm0nd.exe(注意是与瑞星程序Ravmond.exe的区分)
C:\WINDOWS\system32\netsrvcs.dll
C:\WINDOWS\system32\drivers\ADProt.sys
C:\WINDOWS\system32\drivers\cnprov.sys
C:\WINDOWS\system32\drivers\idnaux.sys
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\System32\DRIVERS\v5hwi8n4.sys
C:\WINDOWS\system32\rundll32.exe netsrvcs.dll
C:\Program Files\OCINS\idnsvr.exe
C:\Program Files\OCINS\idnsvr.dll
C:\WINDOWS\system32\rsztasp.exe
C:\WINDOWS\system32\ratbbtl.exe
C:\WINDOWS\system32\rsjzasp.exe
C:\Program Files\NetMeeting\ravzxmon.dat
C:\Program Files\NetMeeting\ravmsmon.dat
C:\Program Files\NetMeeting\ravcqmon.dat
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\usamcl.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\1.dll
C:\WINDOWS\system32\2.dll
C:\WINDOWS\system32\3.dll
C:\Program Files\Internet Explorer\PLUGINS\4.Sys
E:\Autorun.inf
E:\AutoRun.exe
八、安全模式下全盘杀毒。
说明:以上操作期间不要直接访问E盘,否则会功亏一篑。
