我找到的和六楼基本一样(中国互联中心要不要去掉看楼主的决定了……)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svchost><C:\WINDOWS\system32\svchost.com> [NOBODY]
服务
[Remote Procedure Call (RPC) / RpcSs][Running/Auto Start]
<C:\WINDOWS\system32\svchost -k rpcss-->%SystemRoot%\system32\rpcss.dll><>
[Terminal Services / TermService][Running/Manual Start]
<C:\WINDOWS\System32\svchost -k DComLaunch-->%SystemRoot%\System32\termsrv.dll><Microsoft Corporation>
驱动程序
[mxdispdr / mxdispdr][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\mxdispdr.sys><N/A>
正在运行的进程
[PID: 640 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\msplrct.dll] [N/A, ]
隐藏进程
[312] C:\WINDOWS\system32\svchost.com
看进程,Winlogon似乎被进程注入了
1、用冰刃设置“禁止进线程创建”,终止svchost.com,并卸载Winlogon中的msplrct.dll,完成后删除注册表中的自启项[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<svchost><C:\WINDOWS\system32\svchost.com> [NOBODY]
2、照六楼说的,把有问题的驱动和服务删除即可
npkycryp.sys
这个是QQ的一部分,应该不要去掉……
