注意:该病毒有感染性,所以在还没全部清理完之前不要运行原计算机硬盘上的所有文件,防止重复感染。所有下面要用到的工具全部重新下载保存到c:\windows\文件夹内解压后运行。这几步要记的先做完以后再删文件:在C:\WINDOWS\system32\文件夹里找到 LPK.DLL、COMRes.dll、appmgmts.dll三个文件,分别重命名为1.dll、2.dll、3.dll,下载附件,解压附件“替换文件.rar”,复制正常的LPK.DLL、COMRes.dll、appmgmts.dll三个文件粘贴到c:\windows\system32\文件夹里;
用XDelBox勾选抑制再生后删除以下文件:(
XDelBox1.8剑盟版下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择
从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。
c:\windows\system32\drivers\txp1atform.exe
c:\windows\system32\dndnotw.dll
c:\windows\system32\sgcqdll.dat
c:\windows\fonts\bqgc5yhmsd4yd.fon
c:\windows\fonts\gxuvhwj5ntrpzmbbbz.fon
c:\windows\fonts\nmgkbjzrcybemu4e.fon
c:\windows\fonts\qvsquwphy6xa.fon
c:\windows\fonts\uxusf2rrqy.fon
c:\windows\fonts\vgugf6vf2e.fon
c:\windows\system32\08223b03.dll
c:\windows\system32\122b901e.dll
c:\windows\system32\704c3595.dll
c:\windows\system32\76b9ba7a.dll
c:\windows\system32\a0c86020.dll
c:\windows\system32\aeuzzdyn4fvnj.dll
c:\windows\system32\bmsg6pdmd4ht.dll
c:\windows\system32\cduauvkgy9.dll
c:\windows\system32\cjptnyj6hwtgwwjdue.dll
c:\windows\system32\crsaqd4hw.dll
c:\windows\system32\dcxb7abe.dll
c:\windows\system32\dhdhws7ffw.dll
c:\windows\system32\e4814792.dll
c:\windows\system32\ed78ab9.dll
c:\windows\system32\en7hzsrecat8.dll
c:\windows\system32\hhnt2pbk.dll
c:\windows\system32\jbn2ypqy23vwx.dll
c:\windows\system32\ndxq9awmc.dll
c:\windows\system32\qb5bkzy7vr5m.dll
c:\windows\system32\qsbvdcwq7umu.dll
c:\windows\system32\t44y9a553nq.dll
c:\windows\system32\tanjsfa2tt2dh.dll
c:\windows\system32\unsra8hec.dll
c:\windows\system32\vntu2waqucza6.dll
c:\windows\system32\wfkhmqm7z.dll
c:\windows\system32\zfbj9awwu.dll
c:\docume~1\admini~1\locals~1\temp\tmp.tmp
c:\windows\system\nb9ming32c090423.dll
c:\windows\java\classes\cliporv.exe
c:\windows\68c377ea.dat
c:\windows\system32\drivers\qwnl.sys
c:\program files\internet explorer\002.tmp
c:\windows\system32\drivers\klan.sys
c:\windows\system32\drivers\sangp.sys
删除重启后使用SREng修复下面各项: 启动项目 -- 注册表之如下项删除:
[Explorer]
[ming9bstart]
[{A5CA6C70-7185-4466-AB45-B1C34E7A37CA}]
[{A23CA53C-731F-4033-92E8-C1DFB4E71D34}]
[{93F33500-527E-4E33-AECA-69B15243A90E}]
[{93DA1E7D-7C46-4F90-8674-EC90511FCA72}]
[{11B10F7F-FB23-466D-BDC3-9591CF02EC17}]
[{E4814792-EFA3-4C20-93D0-8B130A59F9A8}]
[{1055CA44-51F8-486B-8CBD-DC7AD4213F1E}]
[{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}]
[{37C5D66A-8B1B-4545-8112-3751194F6A4A}]
[{737858A9-9AEA-4838-9B49-54DA731F7F37}]
[{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}]
[{704C3595-DB85-40F6-A601-8D6F346907BD}]
[{54DA5754-2475-4B55-8DFA-D0327C8F4A9E}]
[{76B9BA7A-81D0-4979-8598-8471F2AB5186}]
[{AF235511-A3CA-4AF6-BA10-C2D229B8A01B}]
[{6101B532-3E30-49FB-8594-F9B22338FF4A}]
[{A0C86020-5935-4B87-B20E-0B656D450264}]
[{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}]
[{02845FCC-2BF4-4191-888D-18030FAA2074}]
[{268E3013-4815-4150-910B-AD7889B71682}]
[{349F9B06-D92F-4AF9-AE96-6730A16821F9}]
[{CD1779C2-CFD3-46FD-8139-A454565E447D}]
[{02399F02-2C64-439A-88FA-4D8236E6B50B}]
[{25BC5491-68B6-4416-BC69-6E8442312604}]
[{A9BCD26B-9EFB-4718-A9DB-67A61DB76C77}]
[{0D267113-499A-4EEF-998D-C45731C1B313}]
[{EC2B07DD-0051-405D-9C98-C8BBF9F27B9A}]
[{6C9D7D87-F357-42BF-B5EE-84BEA0C94352}]
[{CE7C9F39-8F17-43D2-AAF3-E237A8F96E4E}]
[{71C4F360-FF1E-413E-B17A-0CA267A78E97}]
[{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}]
[{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}]
注意该项[AppInit_DLLs]修改:把<C:\WINDOWS\System32\SGCQdll.dat>修改为<>即清空
启动项目 -- 服务 -- Win32服务应用程序之如下项删除:
[ClipBook / ClipSrv]
启动项目 -- 服务-- 驱动程序之如下项删除:
[SafeMon2 / SafeMon2]
[qwnl / qwnl]
[qq2 / qq2]
[klan / klan]
[kgzgbk / kgzgbk]
解压附件“映像劫持清除工具.rar”,照图示运行工具清除映像劫持;
做完下载以下软件清理一次并重新下载杀毒软件安装再更新杀毒软件至最新进行全盘杀毒一次
清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe 下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip
