下载xDelbox 1.6删除以下文件(下载地址http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0)(XdelBox的使用说明请参阅此帖http://forum.ikaka.com/topic.asp?board=28&artid=8381032)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里(大框)点击右键选择“从剪贴板导入不检查路径”,导入后在要删除文件上点击右键,选择“立刻重启删除”,电脑会重启自动进入DOS界面进行删除操作(不需要你的参与)。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。
特别提醒:1.下载xdelbox压缩包后将所有的文件解压到一个文件夹,再运行xdelbox。2.确认在xdelbox的界面上已经勾选“备份文件”。
C:\WINDOWS\system32\bauhgnem.dll
C:\WINDOWS\system32\sauhad.dll
C:\WINDOWS\system32\sve.dll
C:\WINDOWS\system32\oaijihzeuyouhz.dll
C:\WINDOWS\system32\oqnauhc.dll
C:\WINDOWS\system32\qlihzouhgnfe.dll
C:\WINDOWS\sjpswymg.dll
C:\WINDOWS\mtxdscli.dll
C:\WINDOWS\pyduysmz.dll
C:\WINDOWS\qzmsltyko.exe
C:\WINDOWS\cirhrb.exe
C:\WINDOWS\system32\perfmte.exe
C:\WINDOWS\system32\drivers\pcihdd2.sys
C:\WINDOWS\system32\drivers\msyecp.sys
C:\WINDOWS\system32\drivers\msaclue.sys
重起后打开SREng-在"启动项目->注册表->删除以下启动项目
[qzmsltyko] <qzmsltyko.exe>
[WSockDrv32] <C:\WINDOWS\cirhrb.exe>
打开SREng-在"启动项目->服务->驱动程序"选中"隐藏已认证的微软服务" 然后将下面名称的服务删除(选中有问题的服务后,点“删除服务”,点“设置”按钮即可。 注意弹出的窗口中要点 “NO 否”才是确认删除服务)(不能删除的就禁用:启动类型(下拉选项)改为disabled,点中“修改启动类型”,点设置):
[iCafe Update / iCafe Update] <\??\C:\WINDOWS\system32\drivers\pcihdd2.sys>
[msertk / msertk][Running/Auto Start] <system32\drivers\msyecp.sys><N/A>
[msskye / msskye][Stopped/Auto Start] <system32\drivers\msaclue.sys><N/A>
解决此病毒的关键是关键是把被感染的userinit.exe替换回来
1.首先打开任务管理器(也可以通过IceSword)查看是否有userinit.exe进程,有则结束该进程,如果任务管理器不能使用,可通过IceSword结束userinit.exe进程。
2.从其他相同系统的机器中找一个userinit.exe分别复制到c:\windows\system32\dllcache和c:\windows\system32替换原先的文件(注意,先覆盖c:\windows\system32\dllcache中的)
如果出现文件保护的对话框,点击是即可。
