一、将c:\windows\system32目录下的ztmpri.dll、c:\program files\internet explorer\plugins\目录下的syswin64.sys、c:\program files\internet explorer\目录下的ravcqmon.exe这四个文件改文件名为1.dll、2.sys、3.exe(不能改文件名的就算了,能改的请都改掉);
二、重启电脑进入安全模式(安全模式进不了就进正常模式);
三、开始--运行--输入REGEDIT.EXE--回车,进入注册表编辑器,然后:
1、用注册表编辑器删除以下注册表值项:
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services]
<mchInjDrv>c:\windows\temp\mc24.tmp
<New0>c:\windows\system32\new.sys
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{90BC520C-9175-470E-94B8-10FD869D170B}<c:\program files\common files\microsoft shared\msinfo\sysinfo.yer>
{40117B96-998D-4D80-8F89-5E9DBD9F3460}<c:\program files\internet explorer\plugins\syswin64.sys>
{D1351752-5628-1547-FFAB-BADC13512AFD}<c:\windows\system32\ztmpri.dll>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<RAVCQMON>c:\program files\internet explorer\ravcqmon.exe
<MsIMMs32>c:\windows\msimms32.exe
2、用注册表编辑器对病毒修改的注册表值项值进行编辑:
将[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost>这个值项的值由c:\program files\logonui\royale.exe改为logonui.exe
将[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs>这个值项的值由c:\windows\system32\ztmpri.dll改为空(即删除c:\windows\system32\ztmpri.dll字符串)
四、重启进入安全模式后,删除以下文件:
c:\program files\logonui\royale.exe
c:\windows\system32\1.dll(即改名后的c:\windows\system32\ztmpri.dll)
c:\program files\internet explorer\plugins\2.sys(即改名后的c:\program files\internet explorer\plugins\syswin64.sys)
c:\program files\internet explorer\3.exe(即改名后的c:\program files\internet explorer\ravcqmon.exe)
c:\program files\internet explorer\ravcqmon.dat
c:\program files\common files\microsoft shared\msinfo\sysinfo.yer
c:\windows\system32\msimms32.dll
c:\windows\system32\mskoos.dll
c:\windows\temp\mc24.tmp
c:\windows\system32\new.sys
e:\autorun.inf
e:\autorun.exe
五、全盘杀毒。
注意:
1、以上步骤中不可以访问E盘,要找E盘的文件,可以通过WINRAR查找。
2、关于用注册表编辑器对注册表数据的删除、修改操作看这里:http://forum.ikaka.com/topic.asp?board=3&artid=8345622
