一、问题的提出:每次机子开机后,总有个恶意软件要试图安装,而且每次开机总有木马和广告程序,我用的卡巴
二、分析
1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。 清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
关闭QQ等应用程序。进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
2.用强制删除工具 PowerRMV 下载地址: http://post.baidu.com/f?kz=158203765 分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭【如提示文件找不到,忽略错误】 D:\Autorun.inf D:\qfpUt.exe C:\WINDOWS\system32\dsfhw.dll C:\WINDOWS\system32\PvSec.dll C:\WINDOWS\system32\syschunk.dll C:\WINDOWS\system32\BandRes.dll c:\WINDOWS\WCsQZ.exe C:\WINDOWS\SYSTEM32\WBEM\OSKEB.DLL C:\WINDOWS\system32\ntfis.exe C:\WINDOWS\system32\TaskSustem.exe 重启计算机 然后再进入安全模式执行如下的操作 -------------------------------------------------------------- 以下的操作都要求安全模式下进行。 [安全模式?重启电脑时按住F8 选择进入安全模式] -------------------------------------------------------------- 3. 用工具 SREng 删除如下各项 【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略,装杀软后的正常修改。】 ================================== 启动项目 -->注册表 的如下项删除 <{48B783AE-8F87-4046-8154-7D82FBCE42D2}><C:\WINDOWS\system32\dsfhw.dll> [] <WebSecurity><C:\WINDOWS\system32\PvSec.dll> [N/A] <SysChunk><C:\WINDOWS\system32\syschunk.dll> [] <{B63BFF8C-2E25-4CCC-9A01-68807F567AA7}><C:\WINDOWS\system32\BandRes.dll> [N/A]
此项不是删除 是编辑 <Userinit><C:\WINDOWS\system32\userinit.exe,c:\WINDOWS\WCsQZ.exe> [N/A] 编辑为初始 <Userinit><C:\WINDOWS\system32\userinit.exe,>
================================== 启动项目 -->服务-->Win32服务应用程序 的如下项删除 [ClipManage / BKMARKS] <C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\OSKEB.DLL,Export 1087><N/A>
[File Replication / File Replication] <C:\WINDOWS\system32\ntfis.exe><N/A>
[TaskSustem / TaskSustem] <C:\WINDOWS\system32\TaskSustem.exe><N/A>
================================== 启动项目 -->服务-->驱动程序的如下项删除(如果删不掉,就设置类型为disabled!) [20937 / 20937] <\??\C:\WINDOWS\system32\Drivers\20937.sys><Driver> [adpu64 / adpu64] <\??\C:\WINDOWS\system32\drivers\adpu64.sys><N/A> [ast / ast] <\??\C:\WINDOWS\system32\drivers\ast.sys><N/A> [jr / jr] <\??\C:\WINDOWS\system32\drivers\jr.sys><N/A>
[ncio / ncio] <system32\DRIVERS\ncio.sys><N/A>
|