释放文件 C:\WINDOWS\system32\winasse.exe C:\WINDOWS\vbarun.dll C:\WINDOWS%\system32\GroupPolicy\Machine\Scripts\scripts.ini 添加注册表启动项 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run] "KernelFaultCheck"="C:\WINDOWS\system32\winasse.exe" 正常运行后,关闭部分安全软件,并卸载掉部分安全软件的服务 可能会修改hosts文件 C:\WINDOWS\system32\drivers\etc\hosts
解决过程
1、打开任务管理器,结束winasse.exe进程,并删除 C:\WINDOWS\vbarun.dll C:\WINDOWS\system32\winasse.exe
2、删除其添加的注册表启动项
3、删除其组策略开关机脚本 开始-->运行-->gpedit.msc 组策略-->计算机配置-->管理模板-->系统-->脚本 右边的开关机属性 也可以进入如下路径删除 C:\WINDOWS%\system32\GroupPolicy\Machine\Scripts\scripts.ini
4、修复可能被修改的hosts 找到C:\WINDOWS\system32\drivers\etc\hosts 用记事本打开,将自己未知的IP以及对应的域名删除
如处理以上过程无效,请再用SREng2扫描生成日志发到9769871@QQ.COM,并在电脑门诊留言
|