首先下载软件http://download.pchome.net/utility/antivirus/trojan/20621.html
费尔木马强力助手
然后重启计算机进入
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开费尔木马强力助手 在文件名处输入如下文字
C:\WINDOWS\System32\DRIVERS\cfjkgh97.sys
C:\WINDOWS\System32\DRIVERS\dvjezj78.sys
C:\WINDOWS\System32\DRIVERS\hbjsh.sys
C:\WINDOWS\System32\DRIVERS\ilresa60.sys
C:\WINDOWS\System32\DRIVERS\loklnb29.sys
C:\WINDOWS\\C:\WINDOWS\System32\drivers\ognck.sys
C:\WINDOWS\System32\DRIVERS\pdfkgn48.sys
C:\WINDOWS\System32\DRIVERS\pjdwaz07.sys
C:\WINDOWS\System32\DRIVERS\qunfgu23.sys
C:\WINDOWS\System32\DRIVERS\shshvq73.sys
C:\WINDOWS\System32\DRIVERS\spjapb46.sys
C:\WINDOWS\System32\DRIVERS\ttkaur30.sys
C:\WINDOWS\System32\DRIVERS\xfafuq25.sys
C:\WINDOWS\System32\DRIVERS\xzpobk34.sys
C:\WINDOWS\System32\DRIVERS\yasxio82.sys
C:\WINDOWS\System32\DRIVERS\yfuaxb64.sys
C:\WINDOWS\System32\DRIVERS\zrfjrn66.sys
C:\WINDOWS\System32\DRIVERS\zsavtx94.sys
然后选中清除 并抑制文件再次生成 开始
打开sreng (就是你扫日志的软件)
启动项目 注册表 删除如下项目 (如果有哪项你认识或者确认不是病毒 请不要删除)
<Internet><"C:\WINDOWS\system32\internet.exe"> [Microsoft Corporation]
<tgffgkf><C:\Program Files\AskTao\tgffgkf.exe> []
<ndmn><C:\PROGRA~1\mclm\ndmn.dll> []
<awxyjq30><%C:\WINDOWS%\system32\Rundll32.exe "%C:\WINDOWS%\system32\awxyjq30.dll",Start> []
双击AppInit_DLLs把其键值改为空
启动文件夹中 删除
[WanSo]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\WanSo.lnk --> C:\WINDOWS\system32\rundll32.exe [Microsoft Corporation]><N>
[yjdlkd]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\yjdlkd.lnk --> C:\PROGRA~1\Tencent\yjdlkdg.exe [N/A]><N>
[ruango]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ruango.lnk --> C:\WINDOWS\system32\MSRundll.exe [Microsoft Corporation]><N>
[sys101]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys101.lnk --> C:\DOCUME~1\汪金凤\LOCALS~1\TEMPOR~1\J16669.exe [N/A]><N>
[sys102]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys102.lnk --> C:\DOCUME~1\汪金凤\APPLIC~1\J13650.exe [N/A]><N>
[sys61]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys61.lnk --> C:\DOCUME~1\junqiang\MYDOCU~1\F6444.exe [N/A]><N>
[sys62]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys62.lnk --> C:\DOCUME~1\ALLUSE~1\「开始~1\程序\管理工具\F15701.exe [N/A]><N>
[sys81]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys81.lnk --> C:\DOCUME~1\junqiang\「开始~1\程序\管理工具\H27940.exe [N/A]><N>
[sys82]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys82.lnk --> C:\DOCUME~1\ALLUSE~1\「开始~1\程序\管理工具\H31059.exe [N/A]><N>
[sys21]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys21.lnk --> C:\DOCUME~1\汪金凤\Cookies\b12487.exe [N/A]><N>
[sys22]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys22.lnk --> C:\DOCUME~1\汪金凤\LOCALS~1\History\b1345.exe [N/A]><N>
[sys31]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys31.lnk --> C:\DOCUME~1\junqiang\LOCALS~1\APPLIC~1\c23235.exe [N/A]><N>
[sys32]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\sys32.lnk --> C:\WINDOWS\c25409.exe [N/A]><N>
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
9233859A / 9233859A
DNS CL1ENT / DNSCL1ENT
edfscv / edfscv
Internet Connection Manager / Internet Connection Manager
Navoct / Navoct
Std pcop Service / pcop
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
cfjkgh9 / cfjkgh97
dvjezj7 / dvjezj78
hbjs / hbjsh
ilresa6 / ilresa60
loklnb2 / loklnb29
ognck / ognck
pdfkgn4 / pdfkgn48
pjdwaz0 / pjdwaz07
qunfgu2 / qunfgu23
shshvq7 / shshvq73
spjapb4 / spjapb46
ttkaur3 / ttkaur30
xfafuq2 / xfafuq25
xrumqv5 / xrumqv50
xzpobk3 / xzpobk34
yasxio8 / yasxio82
yfuaxb6 / yfuaxb64
zrfjrn6 / zrfjrn66
zsavtx9 / zsavtx94
双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
然后删除C:\PROGRA~1\COMMON~1\hxgh文件夹
c:\PROGRA~1\iesnap文件夹
C:\WINDOWS\system32\zsavtx94.dll
C:\WINDOWS\system32\xzpobk34.dll
C:\WINDOWS\system32\cfjkgh97.dll
C:\WINDOWS\system32\awxyjq30.dll
C:\WINDOWS\system32\MyFavor32.dll
C:\WINDOWS\system32\MSRundll.exe
C:\WINDOWS\system32\winfuq25.dll
C:\WINDOWS\system32\9233859A.EXE
:\WINDOWS\system32\NETW0R~1.EXE
C:\WINDOWS\system32\fgdfsdf.exe
C:\WINDOWS\system32\internet.exe
C:\WINDOWS\system32\awxyjq30.dll
C:\PROGRA~1\mclm文件夹
