一、将以下文件打包交给瑞星研究:
c:\windows\system32\com\hero.exe
c:\windows\system32\winforma12.dll
c:\windows\system32\xyupri0.dll
c:\windows\system32\ctfnom.dll
iExplOrE.Exe(日志中未标明路径,请自己搜索下)
二、开始--运行--输入regedit.exe--回车;
三、展开注册表编辑器左侧窗格的注册表树形目录,定位到[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services]这个注册表项,单击项目左侧的“+”号,展开其子项,找到并删除其下列子项(右键在子项名称上点一下,选择“删除”)
<NPF>
<npkcrypt>
<npkycryp>
<Windows>三、展开注册表编辑器左侧窗格的注册表树形目录,定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]这个注册表项,单击项目左侧的“+”号,展开其子项,找到并删除其下列子项(右键在子项名称上点一下,选择“删除”)
{122BC123-3113-223D-5645-32B35162B121}
{E3F426F6-8634-42A5-A29E-BC694A88FB7D}
{A361ADBE-1327-415B-90F0-CDF1247C1326}
四、重启进入安全模式,双击“我的电脑”--工具--文件夹选项--查看--勾选“显示系统文件和文件夹”,取消勾选“隐藏受保护的操作系统文件(推荐)”,之后勾选“显示所有的文件和文件夹”--确定--找到以下文件,删除(找不到就算了):
c:\windows\system32\winforma12.dll
c:\windows\system32\xyupri0.dll
c:\windows\system32\ctfnom.dll
iExplOrE.Exe
c:\windows\system32\com\hero.exec:\windows\system32\drivers\npf.sys
c:\windows\system32\npkcrypt.sys
c:\windows\system32\npkycryp.sys
五、安全模式下全盘杀毒。
注意:红色项目等瑞星确认确实是病毒文件后再操作!
