结束进程:
%systemroot%system32gfosdg.exe
%systemroot%system32severe.exe
%systemroot%system32driversconime.exe
没有发现此病毒禁用任务管理器。也可以用其他工具如procexp等
用autoruns删除以下项目(建议用autoruns,一是没被禁,二是一目了然,注意先选Options-Hide Microsoft Entries):(实际上我自己用的是冰刃,改个扩展名就可以用,可以中止进程,阻止进程创建,也可以强行删掉文件,改动注册表,很不错)
+ 360Safe.exe c:windowssystem32driversmpnxyl.exe
+ adam.exe c:windowssystem32driversmpnxyl.exe
+ avp.com c:windowssystem32driversmpnxyl.exe
+ avp.exe c:windowssystem32driversmpnxyl.exe
+ IceSword.exe c:windowssystem32driversmpnxyl.exe
+ iparmo.exe c:windowssystem32driversmpnxyl.exe
+ kabaload.exe c:windowssystem32driversmpnxyl.exe
+ KRegEx.exe c:windowssystem32driversmpnxyl.exe
+ KvDetect.exe c:windowssystem32driversmpnxyl.exe
+ KVMonXP.kxp c:windowssystem32driversmpnxyl.exe
+ KvXP.kxp c:windowssystem32driversmpnxyl.exe
+ MagicSet.exe c:windowssystem32driversmpnxyl.exe
+ mmsk.exe c:windowssystem32driversmpnxyl.exe
+ msconfig.com c:windowssystem32driversmpnxyl.exe
+ msconfig.exe c:windowssystem32driversmpnxyl.exe
+ PFW.exe c:windowssystem32driversmpnxyl.exe
+ PFWLiveUpdate.exe c:windowssystem32driversmpnxyl.exe
+ QQDoctor.exe c:windowssystem32driversmpnxyl.exe
+ Ras.exe c:windowssystem32driversmpnxyl.exe
+ Rav.exe c:windowssystem32driversmpnxyl.exe
+ RavMon.exe c:windowssystem32driversmpnxyl.exe
+ regedit.com c:windowssystem32driversmpnxyl.exe
+ regedit.exe c:windowssystem32driversmpnxyl.exe
+ runiep.exe c:windowssystem32driversmpnxyl.exe
+ SREng.EXE c:windowssystem32driversmpnxyl.exe
+ TrojDie.kxp c:windowssystem32driversmpnxyl.exe
+ WoptiClean.exe c:windowssystem32driversmpnxyl.exe
这样包括IceSword、SREng、注册表编辑器和系统配置实用程序在内的部分程序不再被禁止
删除或修改启动项:
以用SREng为例
在“启动项目”-“注册表”中删除:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<mpnxyl><C:WINDOWSsystem32gfosdg.exe> [N/A]
<gfosdg><C:WINDOWSsystem32severe.exe> [N/A]
双击以下项目,把“值”中Explorer.exe后面的内容删除
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon]
<shell><Explorer.exe C:WINDOWSsystem32driversconime.exe> [N/A]
删除文件:
由于非系统盘即便右键打开也会有危险,应该采用其他方法,推荐用IceSword或WINRAR来做
删除:
%systemroot%system32gfosdg.exe
%systemroot%system32gfosdg.dll
%systemroot%system32severe.exe
%systemroot%system32driversmpnxyl.exe
%systemroot%system32driversconime.exe
%systemroot%system32hx1.bat
%systemroot%system32noruns.reg
X:OSO.exe
X:autorun.inf
系统修复与清理:
在注册表展开
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
建议将原CheckedValue键删除,再新建正常的键值:
CheckedValue=dword:00000001
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
NoDriveTypeAutoRun键的值,是否要改,要改为什么,视乎各人所需,一般默认为91(十六进制的)
此键的含义,请搜索网上资料,在此不再赘述
HOSTS文件的清理
可以用记事本打开%systemroot%system32driversetchosts,清除被病毒加入的内容
也可以用SREng在“系统修复”-“HOSTS文件”中点“重置”,然后点“保存”
最后修复一下服务被破坏的杀毒软件
