首先进入安全模式(进不了就算了),然后:
一、找到C:\WINDOWS\system32\ztlpri.dll、C:\WINDOWS\system32\mydpri.dll并分别改名为1.DLL、2.DLL,重启;
二、按照以下步骤操作
启动项目/注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<RAV00B2><C:\WINDOWS\system32\RAV00B2.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{90BC520C-9175-470E-94B8-10FD869D170B}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo.yer> []
<{4562452F-FA36-BA4F-892A-FF5FBBAC5314}><C:\WINDOWS\system32\mydpri.dll> []
灭以上注册表值项。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><ztlpri.dll> []
编辑为<AppInit_DLLs><>
==================================
服务
[LiveUpdate / LiveUpdate][Stopped/Manual Start]
<"C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE"><Symantec Corporation>
这个服务不是很清楚,是诺顿的么?如果是,想办法把诺顿给彻底清除掉,杀软多并不意味着安全…………
==================================
驱动程序
[fcdabus / fcdabus][Stopped/Boot Start]
<\SystemRoot\system32\DRIVERS\fcdabus.sys><N/A>
奇怪驱动,请百度后选择是否删除该服务
==================================
删除以下文件
C:\WINDOWS\system32\RAV00B2.exe
C:\WINDOWS\system32\ztlpri.dll] [N/A, ]
C:\WINDOWS\system32\RAV009B.DAT] [N/A, ]
C:\WINDOWS\system32\RAV00B2.DAT] [N/A, ]
C:\WINDOWS\system32\mydpri.dll] [N/A, ]
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo.yer
C:\WINDOWS\system32\DRIVERS\fcdabus.sys(确认是不正常的驱动程序后再删除)
D:\SysAuto.exe
D:\Autorun.inf
==================================
文件关联
.TXT Error. [C:\WINDOWS\notepad.exe %1]
.CHM Error. ["hh.exe" %1]
.INI Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
修复文件关联
==================================
疑问:
进程特权扫描
特殊特权被允许: SeLoadDriverPrivilege [PID = 3192, C:\PROGRAM FILES\ITUDOU\ITUDOU.EXE]
以上这个进程不太熟悉。