1. 删除病毒创建的服务项
[HKLM\SYSTEM\CurrentControlSet\Services\E34CAE44]
[HKLM\SYSTEM\ControlSet001\Services\E34CAE44]
[HKU\.DEFAULT\SYSTEM]
[HKU\S-1-5-21-776561741-484061587-725345543-1003\SYSTEM]
2. 重新启动,删除病毒文件
X:\auto.exe
X:\autorun.inf
C:\WINNT\system32\9D2978C8.EXE
C:\WINNT\system32\AB75885C.DLL
3. 删除病毒添加的注册表项
[HKLM\SOFTWARE\Microsoft\Windows NT]
"ReportBootOk"
4. 修改病毒修改的注册表项
[HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
"DoReport"=REG_dword:00000001
[HKLM\SOFTWARE\Microsoft\PCHealth\ErrorReporting]
"ShowUI"=REG_dword:00000001
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=REG_dword:00000001
5. 下载附件 ERSvc.rar 解压 导入
用sreng
删除启动项目=>注册表
<Kvsc3><C:\WINNT\Kvsc3.exE> []
<GenProtect><C:\WINNT\GenProtect.exe> []
<AVPSrv><C:\WINNT\AVPSrv.exE> []
<mppds><C:\WINNT\mppds.exe> []
<DbgHlp32><C:\WINNT\DbgHlp32.exe> []
<NVDispDrv><C:\WINNT\NVDispDRV.EXE> []
<MsPrint32D><C:\WINNT\MsPrint32D.exe> []
<cmdbcs><C:\WINNT\cmdbcs.exe> []
<upxdnd><C:\WINNT\upxdnd.exe> []
<msccrt><C:\WINNT\msccrt.exe> []
<MsIMMs32><C:\WINNT\MsIMMs32.exE> []
<svchostzamj><C:\WINNT\system32\svchostzamj.exe> []
<LotusHlp><C:\WINNT\LotusHlp.exe> []
<WinSysM><C:\WINNT\IGM.exe> []
<MSDEG32><LYLoader.exe> []
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> []
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
重启,删除
C:\WINNT\Kvsc3.exE
C:\WINNT\GenProtect.exe
C:\WINNT\AVPSrv.exE
C:\WINNT\mppds.exe
C:\WINNT\DbgHlp32.exe
C:\WINNT\NVDispDRV.EXE
C:\WINNT\MsPrint32D.exe
C:\WINNT\cmdbcs.exe
C:\WINNT\upxdnd.exe
C:\WINNT\msccrt.exe
C:\WINNT\MsIMMs32.exE
C:\WINNT\system32\svchostzamj.exe
C:\WINNT\LotusHlp.exe
C:\WINNT\IGM.exe
C:\WINNT\system32\LYLoader.exe
C:\WINNT\system32\vcamxw.dll
C:\WINNT\system32\gsmdkw.dll
C:\WINNT\system32\ecvlyy.dll
C:\WINNT\system32\bsrswx.dll
C:\WINNT\system32\fxdltq.dll
C:\WINNT\system32\wszycv.dll
