不急,耐心点,首先设法卸了Yahoo!这玩意。好象它不怎么好玩。
——————————————————————————————————————————
这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip删除:
c:\windows\inf\dev04.inf
C:\WINDOWS\system32\614a1.exe
C:\WINDOWS\System32\DRIVERS\dyzg.sys
C:\WINDOWS\System32\drivers\mhkemh.sys
C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\ntptdb.sys
C:\DOCUME~1\core\LOCALS~1\Temp\_temp.dat
C:\DOCUME~1\core\LOCALS~1\Temp\tmpD3.tmp
C:\WINDOWS\system32\0611.dll
不论删除结果如何继续下面操作。
————————————————————————————————————————
去C:\WINDOWS\system32\dllcache文件夹里找CTFMON.EXE文件,复制到C:\WINDOWS\system32文件夹里替换。
或者这贴里找相关文件下载。
http://bbs.ikaka.com/showtopic-8417665.aspx替换前先在任务管理器里结束CTFMON.EXE进程。没进程就直接替换。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<Userinit>项目“编辑”。这必须关闭杀毒软件的监控,否则改不了可能。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sashost.exe> [File is missing]
就是将 <Userinit><C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sashost.exe> [File is missing]
的“值”项编辑修改为:
<Userinit><C:\WINDOWS\system32\userinit.exe,> [File is missing]
记住保留那个英文的逗号
还有愿意的话,象替换CTFMON.EXE一样,替换掉C:\WINDOWS\system32\userinit.exe文件吧,顺带而已,怕它也不是系统文件了。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
<dbhlp32><C:\WINDOWS\dbhlp32.exe> [File is missing]
<ticisms><C:\WINDOWS\ticisms.exe> [File is missing
<IFEO[360safebox.exe]><ntsd -d> [N/A]
<IFEO[AntiArp.exe]><ntsd -d> [N/A]
<IFEO[kissvc.exe]><ntsd -d> [N/A]
<IFEO[KPPMain.exe]><ntsd -d> [N/A]
<IFEO[safeboxTray.exe]><ntsd -d> [N/A]
<IFEO[tqat.exe]><ntsd -d> [N/A]
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除,
==================================
服务
[DCOM Service Process Manager / MSCOManager03][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->c:\windows\inf\dev04.inf><N/A>
[TCPBI0S / TCPBI0S][Running/Auto Start]
<C:\WINDOWS\system32\614a1.exe><Microsoft Corporation>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除,
==================================
驱动程序
[dyz / dyzg][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\dyzg.sys><N/A>
[mhkemh / mhkemh][Running/Boot Start]
<\SystemRoot\\SystemRoot\System32\drivers\mhkemh.sys><N/A>
[System event loader / ntptdb][Stopped/Auto Start]
<\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\ntptdb.sys><N/A>
[trolm / trolm][Stopped/Manual Start]
<\??\C:\DOCUME~1\core\LOCALS~1\Temp\_temp.dat><N/A>
[zftp / zftp][Stopped/Auto Start]
<\??\C:\DOCUME~1\core\LOCALS~1\Temp\tmpD3.tmp><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[Invoke Class]
{1A1F546B-F6D2-40dc-BD54-E2D1DCC3895B} <C:\WINDOWS\system32\0611.dll, >
[Invoke Class]
{1A1F546B-F6D2-40DC-BD54-E2D1DCC3895B} <C:\WINDOWS\system32\0611.dll, >
—————————————————————————————————————
用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:
http://bbs.ikaka.com/attachment.aspx?attachmentid=386491用W i n d o w s 清理助手 ,清理你那系统。
W i n d o w s 清理助手 下载:
http://www.arswp.com/————————————————————————————————————
再重启电脑,反复检查,操作的结果,
杀毒软件如果有异常,可能需要卸载重装,升级至最新版本全盘杀。
其他任何个人软件的异常,都可能需要卸载重装了。
记得打打系统漏洞补丁
这补丁很重要
http://bbs.ikaka.com/showtopic-8509685.aspx部分工具的操作看这贴:
http://bbs.ikaka.com/showtopic-8442813.aspx
