先下载冰刃(1.2版本):http://forum.ikaka.com/topic.asp?board=67&artid=8283060
开机按F8进入安全模式(不能进入安全模式的就在正常模式下操作,正常模式下最好断开网络,并关闭QQ等一切能关闭的东西)后,按照以下步骤进行:
一、在双击打开SRENG扫描工具的窗口,“启动项目”--“注册表”--在列表中选中以下有问题的注册表值项,点下方的删除按钮,删除这些注册表值项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{EC43866E-866E-C43F-6EC4-66E4366EC43F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\866EC43F.dll> []
<{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\WINDOWS\system32\qhbpri.dll> []
<{91B1E846-2BEF-4345-8848-7699C7C9935F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<System><; C:\Program Files\Common Files\system\Updaterun.exe> []<xg3m.exe><; C:\WINDOWS\system32\xg3m.exe C:\WINDOWS\system32\drivers\xgzi.sys Rundll32> [N/A]
然后,依然在这个窗口,找到并编辑<AppInit_DLLs><qhbpri.dll> 为<AppInit_DLLs><>。
红色的注册表值项值先百度确认不是系统进程或正常软件的注册表值项值后再删除!
==================================
二、在双击打开SRENG扫描工具的窗口,“启动项目”--“服务”--“Win32服务应用程序”--在弹出对话框中选中右下角的“隐藏已认证的微软服务”--在服务项目列表找到下面名称的服务项目并单击选中--单击“删除服务”--单击“设置”按钮--在弹出的窗口中选择“NO(否)”,就可以删除这些有问题的服务项目。如果有些服务项目不能删除,单击选中该服务项目,在“启动类型”列表中将其启动方式改为“disabled”,单击“修改启动类型”最后单击“设置”,将此服务项目禁用:
[System Recover Servic / SysreSrv][Stopped/Disabled]
<sysresrv.exe><N/A>
[Clipboard / Tech][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\ngkty.dll><Microsoft Corporation>
[Windows tfpf RunThem / tfpf][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\PROGRA~1\oaka\ykuk.dll>< >
==================================
三、在双击打开SRENG扫描工具的窗口,“启动项目”--“服务”--“驱动程序”--在弹出对话框中选中右下角的“隐藏已认证的微软服务”--在服务项目列表找到下面名称的驱动程序并单击选中--单击“删除服务”--单击“设置”按钮--在弹出的窗口中选择“NO(否)”,就可以删除这些有问题的驱动程序。如果有些驱动程序不能删除,单击选中该驱动程序,在“启动类型”列表中将其启动方式改为“disabled”,单击“修改启动类型”最后单击“设置”,将此驱动程序禁用:
[fhhjcjdf / fhhjcjdf][Stopped/Boot Start]
<\SystemRoot\system32\drivers\fhhjcjdf.sys><N/A>
[npkcrypt / npkcrypt][Stopped/Auto Start]
<\??\D:\QQ\QQ2007\npkcrypt.sys><N/A>
[npkcusb / npkcusb][Stopped/Auto Start]
<\??\D:\QQ\QQ2007\npkcusb.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
<\??\D:\QQ\QQ2007\npkycryp.sys><N/A>
==================================
四、删除以下文件:
C:\Program Files\Common Files\Microsoft Shared\MSINFO\866EC43F.dll
C:\WINDOWS\system32\qhbpri.dll
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll
C:\Program Files\Common Files\system\Updaterun.exe> []
[/C:\WINDOWS\system32\xg3m.exe C:\WINDOWS\system32\drivers\xgzi.sys
sysresrv.exe(奇怪,不知该文件的完整路径)
C:\WINDOWS\system32\ngkty.dll
C:\PROGRA~1\oaka\ykuk.dll
C:\SystemRoot\system32\drivers\fhhjcjdf.sys
[c:\progra~1\oaka\bnxn.dll] [, 5, 0, 0, 4]
[c:\progra~1\oaka\gscs.dll] [ , 5, 0, 0, 4]
[C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll] [N/A, ]
[C:\WINDOWS\system32\winlib0.dll] [N/A, ]彩色的文件请百度一下,确认不是系统文件或者正常的软件进程后,删除。
此外,卸载QQ,然后删除QQ安装目录的所有文件。
==================================
五、按“CTRL”+“ALT”+“DEL”组合键调出任务管理器,“文件”--“新建任务(运行)”--输入“WINRAR.EXE”--回车,在弹出窗口找到各驱动器根目录下的autorun.inf和866EC43F.exe并选中,然后用窗口上方常用工具栏的“删除”按钮一一予以删除。
==================================
六、在双击打开SRENG扫描工具的窗口,“系统修复”--“HOSTS文件”--选择除了“127.0.0.1 localhost”这个内容以外所有的内容,单击下方的“删除”按钮。
==================================
七、用瑞星全盘杀毒,收拾病毒剩余的残留。
==================================
八、重装QQ
==================================
九、去下载个360安全卫士,把机上一些流氓软件给清理下。
提示:
1、不能用常规方法删除的文件可以用冰刃的强制删除。
2、删除C:\WINDOWS\system32\qhbpri.dll和其他文件时,可能要用冰刃先结束被其插入的进程后卸除插入的病毒模块后才能删除。
