一、下载XDELBOX1.6、windows清理助手并解压到桌面上,把SRENG扫描工具的可执行文件发送个快捷方式到桌面上,然后拔掉网线;
二、用XDELBOX1.6的“立即重启删除”一次性删除以下病毒文件:
C:\WINDOWS\system32\WSockDrv32.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\PTSShell.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\DbgHlp32.dlL
C:\WINDOWS\system32\qiuyjydf.dll
C:\WINDOWS\system32\LotusHlp.dll
C:\WINDOWS\system32\ttEZZEZZ1044.dll
C:\WINDOWS\system32\ttNNBNNB1047.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys
C:\WINDOWS\system32\fmsbbqi.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mfchlp32.dll
C:\WINDOWS\system32\tciocp32.dll
C:\WINDOWS\WSockDrv32.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\PTSShell.exe
C:\WINDOWS\AVPSrv.exE
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\vtycgfnn.exe
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\MsIMMs32.exE
C:\WINDOWS\fmsbbqi.exe
C:\WINDOWS\Kvsc3.exE
C:\WINDOWS\mfchlp32.exe
C:\WINDOWS\tciocp32.exe
C:\WINDOWS\system32\msosmhfp01.dll
C:\WINDOWS\system32\msosdohs02.dll
C:\WINDOWS\system32\msosmnsf00.dll
C:\WINDOWS\system32\ttEZZEZZ1044.dll
C:\WINDOWS\system32\ttNNBNNB1047.dll
C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys
C:\WINDOWS\system32\txWWQWWQ1006.dll
C:\WINDOWS\system32\yahhe.lnu
c:\zzz.sys
C:\WINDOWS\system32\drivers\msosfpids32.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp4.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp8.tmp
C:\WINDOWS\system32\drivers\E.tmp
c:\Autorun.inf
c:\msdos.bat
d:\Autorun.inf
d:\msdos.bat
e:\Autorun.inf
e:\msdos.bat
f:\Autorun.inf
f:\msdos.bat
三、XDELBOX1.6删除病毒文件重启后,用SRENG扫描工具完成以下操作:
1、删除以下注册表值项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<WSockDrv32><C:\WINDOWS\WSockDrv32.exe> []
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<PTSShell><C:\WINDOWS\PTSShell.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exE> []
<DbgHlp32><C:\WINDOWS\DbgHlp32.exe> []
<gvitxyxc><C:\WINDOWS\vtycgfnn.exe> []
<LotusHlp><C:\WINDOWS\LotusHlp.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exE> []
<fmsbbqi><C:\WINDOWS\fmsbbqi.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exE> []
<mfchlp32><C:\WINDOWS\mfchlp32.exe> []
<tciocp32><C:\WINDOWS\tciocp32.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{bfc243d0-a7c9-4ec1-a652-0925f15289f5}><C:\WINDOWS\system32\ttEZZEZZ1044.dll> []
<{c4bf46a2-1c05-427d-992f-4e24f7d57f68}><C:\WINDOWS\system32\ttNNBNNB1047.dll> [N/A]
<{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}><C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys> []
<{734bfbb9-34f7-441c-b064-b3590bbe34ea}><C:\WINDOWS\system32\txWWQWWQ1006.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellService
ObjectDelayLoad]
<dfmmj><C:\WINDOWS\system32\yahhe.lnu> [N/A]
2、修改[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs>的值项值为空;
3、删除以下驱动程序:
[zzz / zzz][Others/Disabled]
<\??\c:\zzz.sys><N/A>
[fpids32 / fpids32][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
[dohs / dohs][Stopped/Auto Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp4.tmp><N/A>
[mhfp / mhfp][Stopped/Auto Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp8.tmp><N/A>
[NPF / NPF][Running/Manual Start]
<\??\C:\WINDOWS\system32\drivers\E.tmp><N/A>
4、删除以下浏览器加载项:
[]
{6167F471-EF2B-41DD-A5E5-C26ACDB5C096} <C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys, N/A>
[]
{6167F471-EF2B-41DD-A5E5-C26ACDB5C096} <C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys, N/A>
四、重启电脑到安全模式,用杀软全盘杀毒,之后再用WINDOWS清理助手辅助清理一下,歼灭漏网之鱼。
注意:以上全过程不得联网,也不得用任何方式直接访问任何驱动器,否则后果自负。
