一、双击“我的电脑”--工具--文件夹选项--查看--勾选“显示系统文件和文件夹”,取消勾选“隐藏受保护的操作系统文件(推荐)”,之后勾选“显示所有的文件和文件夹”--确定--找到以下文件,分别改名为1.dll、2.dll、3.dll;
C:\WINDOWS\system32\UFO.dll
C:\WINDOWS\system32\tlrpri.dll
C:\WINDOWS\system32\rsjzapm.dll
二、重启电脑进入安全模式,用SRENG扫描工具删除以下注册表子项或值项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32>
<MSDWG32>
<MSDCG32 >
<MSDOG32>
<MSDSG32>
<MSDMG32>
<MSDHG32>
<MSDQG32>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{0EA66AD2-CF26-2E23-532B-B292E22F3266}>
<{4562452F-FA36-BA4F-892A-FF5FBBAC5314}>
<{4F12545B-1212-1314-5679-4512ACEF8904}>
<{712BC423-3713-224D-3F55-32B35C62B117}>
<{12FAACDE-34DA-CCD4-AB4D-DA34485A3421}>
<{AEB6717E-7E19-11d0-97EE-00C04FD91973}>
三、用SRENG扫描工具编辑[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]<AppInit_DLLs>这个注册表值项的值由UFO.dll改为空(即删除UFO.dll这个字符串)
四、用SRENG扫描工具删除以下服务:
[Diablo II Close Game Server / D2GS][Stopped/Auto Start]
[DE902CB6 / DE902CB6][Stopped/Auto Start]
[usbcaml / usbcaml][Running/Auto Start]
五、用SRENG扫描工具删除以下驱动程序
[cdspacex / cdspacex][Stopped/Manual Start]
[GMSIPCI / GMSIPCI][Stopped/Manual Start][npkycryp / npkycryp][Stopped/Manual Start]
六、重启电脑进入安全模式,找到和删除以下文件:
C:\WINDOWS\system32\1.dll
C:\WINDOWS\system32\2.dll
C:\WINDOWS\system32\3.dll
C:\WINDOWS\system32\LYLoader.exe
C:\WINDOWS\system32\LYLoadbr.exe
C:\WINDOWS\system32\LYLeador.exe
C:\WINDOWS\system32\LYLoador.exe
C:\WINDOWS\system32\LYLoadar.exe
C:\WINDOWS\system32\LYLoadmr.exe
C:\WINDOWS\system32\LYLoadhr.exe
C:\WINDOWS\system32\LYLoadqr.exe
C:\WINDOWS\system32\usbcamb.exe
C:\WINDOWS\system32\57A944DE.EXE
C:\WINDOWS\system32\npkycryp.sys
C:\WINDOWS\system32\DRIVERS\CDSPACEX.sys
H:\INSTALL\GMSIPCI.SYSC:\WINDOWS\system32\SHQMANGR.DLL
七、安全模式下全盘杀毒。
注意:红项还是不很确定,自己百度确认是恶意程序后,再处理。
