运行sreng2启动项目,注册表删除
ravshell><C:\WINDOWS\rund1132.exe> [N/A]
<mppd><C:\WINDOWS\mppd.exe> [N/A]
<cmdbc><C:\WINDOWS\cmdbc.exe> [N/A]
<msccrt><C:\WINDOWS\msccrt.exe> [N/A]
<upx><C:\DOCUME~1\new\LOCALS~1\Temp\TIMPLATF0RM.exe> [N/A]
<wsttrs><C:\WINDOWS\wsttrs.exe> [N/A]
<mhs3><C:\WINDOWS\mhs3.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<twin><C:\WINDOWS\system32\twunk32.exe> [N/A]
安全模式下打开我的电脑,工具,文件夹选项,查看,显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉删除
C:\WINDOWS\rund1132.exe
C:\WINDOWS\mppd.exe
C:\WINDOWS\cmdbc.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\wsttrs.exe
C:\WINDOWS\mhs3.exe
C:\WINDOWS\system32\twunk32.exe
这个文件夹所有文件C:\DOCUME~1\new\LOCALS~1\Temp
用冰刃禁止线程创建,制删除插入系统的
[PID: 1476][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys] [N/A, N/A]
结束进程
C:\WINDOWS\Explorer.EXE
C:\Program Files\Rising\Rav\RavTask.exe
c:\program files\rising\rfw\RfwMain.exe
C:\DOCUME~1\new\LOCALS~1\Temp\Rar$EX00.359\SREng.EXE
删除C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
在文件,设置,取消禁止线程创建,重启并监视,重启看看还有没有
打开冰刃先找到自身的进程,右键打开模块信息,检查自身有没有被插,被插的话先强制删除自身的C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
