【回复“tjm11”的帖子】
可以先删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
我玩儿过的几个变种都没有这个注册表项的守护。
删除此键后,那些被劫持的SRENG、ICESWORD、AUTORUANS都能运行。
然后,就手工杀吧!
杀净后,如果没有杀软、防火墙的注册表备份,可能要重新安装杀软、防火墙(服务已经被病毒删除)。
另:有的变种还破坏WINSOCK。可以用LSPWINSOCK修复。
