limilaw - 2007-4-5 18:21:00
虽然说很老了,但是还是贴出来吧。
1. 按ctrl+alt+del打开任务管理器,单击“查看->选择列...",勾上"PID"。可以看到explorer.exe,lsass.exe,winlogon.exe等进程都有两个,两者之一的用户名是当前用户,记录下这些进程的PID。如果任务管理器被禁用了,也可以用“系统信息”或者tasklist /v命令查看。
2. 按win+R,输入以下命令:"ntsd -c q -p [PID]",不包括引号,[PID]用刚才记录下的数字代替。重复步骤2,直到这些进程全部被结束。
3. 搜索文件(包括U盘),大小至少41K(或至多42K),高级选项中,勾上前三个(系统文件、隐藏文件、子文件夹)。搜索后,查看详细信息,按大小排列。大约在41.5K左右,有一个Empty.pif,查看属性,记下准确大小(好像是42,573字节),紧邻的几个相同大小的文件全部删除(不管文件名是什么或者图表是什么,一律删除,注意不要双击)。
4. 将下列等号内的文字保存成一个inf文件,右击,安装。
===
[Version]
signature="$CHICAGO$"
[DefaultInstall]
DelReg=del
[del]
HKCU,Software\Microsoft\Windows\CurrentVersion\Policies\System,Disableregistrytools
1
===
5. 按win+R,输入regedit,回车。在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer下找到NoFileMenu(或直接查找nofilemenu),删除。
6. 如果开机会打开记事本的话,在Windows\system32\下找到以KB开头的一个应用程序,删除。
7. 最后在“我的文档->图片收藏”里,删除那个about.Brontok.A.htm
8. 注册表里还有残余项,可以自己查找清除。
注:
1. 网上方法都需要进入带命令行的安全模式(普通安全模式无效,病毒依然可以启动),以上方法则不需要。
2. 网上有些人说,可以用.reg文件解禁注册表,但是并不可行。
3. 之所以能用ntsd命令而不会引起关机,是因为病毒检查时间间隔较长,而且没有进程互相监护。(当然,如果用ntsd命令时,正好碰到病毒检查,运气就太好了……)
4. 有人建议可以上网求助,但是该病毒会自动发送邮件,占用带宽,该建议可行性不大。
© 2000 - 2026 Rising Corp. Ltd.