马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?注册
x
感谢NOD32官方论坛的解决方法!
下面说说解决方法:
由于那个插入Explorer的dll是元凶 所以我们应该首先干掉那个dll
常见的小工具都被他弄掉了 找个没被屏蔽的吧
Xdelbox1.2 这个可以删除Windows下无法删除的文件 具体使用方法参考http://hi.baidu.com/teyqiu/blog/ ... f3b5eece1b3e5a.html(里面有下载地址)
首先用Xdelbox 删除C:\Program Files\Common Files\Microsoft Shared\MSInfo\41115BDD.dll
重启
下载autoruns 由于IFEO也劫持了autoruns 所以我们将其改名
打开后 找到Image hijacks 里面除了+ Your Image File Name Here without a path Symbolic Debugger for Windows 2000 Microsoft Corporation c:\windows\system32\ntsd.exe这项以外 全部删除
删除后 sreng就可以运行咯
打开他
系统修复 高级修复 修复安全模式
好了 成功后 重启 F8进入安全模式
打开sreng
启动项目 注册表 删除如下项目
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys> []
<{15BD4111-4111-5BDD-115B-111BD1115BDD}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\41115BDD.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ctl3d32]
<WinlogonNotify: ctl3d32><cewrndm.dll> []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[IEAgent service / IEAgent][Stopped/Auto Start]
<"C:\WINDOWS\system32\ieagent.exe"><>
[Fax Client / ms_fax][Running/Auto Start]
<C:\WINDOWS\system32\60e4.exe><N/A>
添加删除程序中卸载adpush software 和disk free
再次请出Xdelbox
强制删除如下文件
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\System32\DRIVERS\bpjlgv91.sys
C:\WINDOWS\System32\DRIVERS\tolnfo47.sys
C:\WINDOWS\System32\DRIVERS\vilpew30.sys
C:\WINDOWS\System32\DRIVERS\ykagjt85.sys
C:\WINDOWS\system32\cewrndm.dll
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\ykagjt85.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\system32\ieagent.exe
C:\WINDOWS\system32\1b.dll
重启
安全模式下 打开sreng
在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[acpidisk / acpidisk][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[bpjlgv9 / bpjlgv91][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\bpjlgv91.sys><N/A>
[tolnfo4 / tolnfo47][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\tolnfo47.sys><N/A>
[vilpew3 / vilpew30][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\vilpew30.sys><Microsoft Corporation>
[ykagjt8 / ykagjt85][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\ykagjt85.sys><Microsoft Corporation>
浏览器加载项中删除
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, >
[Abho Class]
{1238F6B9-C123-4049-B07E-7A71AF320032} <C:\WINDOWS\system32\b60.dll, TODO: <公司名>>
[Info cache]
{385AB8C6-FB22-4D17-8834-064E2BA0A6F0} <C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll, 金泰丰(广州)科技有限公司>
删除上述
把下面的 代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
双击1.reg把这个注册表项导入
双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
右击点击 菜单上的打开 打开除系统分区外的其他分区 删除autorun.inf和8668122F.exe(文件名随机)
删除如下文件
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\WINDOWS\system32\1b.dll
C:\WINDOWS\system32\48a69
C:\WINDOWS\system32\60e4.exe
C:\WINDOWS\system32\7df9.dll
C:\WINDOWS\system32\91b6.dll
C:\WINDOWS\system32\b60.dll
C:\WINDOWS\system32\bpjlgv91.dll
C:\WINDOWS\system32\df91.dll
C:\WINDOWS\system32\f91b.exe
C:\WINDOWS\system32\ieagent.exe
C:\WINDOWS\system32\mprmsgse.axz
C:\WINDOWS\system32\mscpx32r.det
C:\WINDOWS\system32\MSRundll.exe
C:\WINDOWS\system32\ntprint.dIl
C:\WINDOWS\system32\tolnfo47.dll
C:\WINDOWS\system32\tolnfo47.ini
C:\WINDOWS\system32\vilpew30.dll
C:\WINDOWS\system32\wingjt85.bin
C:\WINDOWS\system32\wingjt85.dll
C:\WINDOWS\system32\winkx.dll
C:\WINDOWS\system32\winlgv91.bin
C:\WINDOWS\system32\winpew30.bin
C:\WINDOWS\system32\winpew30.dll
C:\WINDOWS\03.bmp
C:\WINDOWS\3fa.exe
C:\WINDOWS\41115BDD.hlp
C:\WINDOWS\fa7c.txt |
发表于 2007-6-7 21:23:09
发表于 2007-6-7 21:25:16
