1.删除以下文件:(建议用xdelbox或powerrmv删除)
c:\windows\system32\msosiocp.dll
c:\windows\system32\480a.exe
c:\windows\system32\soundman.exe
c:\program files\bovq\lyfa.dll
c:\windows\inf\pcidevices8.inf
c:\windows\inf\camdrvs.inf
c:\windows\system32\drivers\5wofhph4j.sys
c:\windows\system32\drivers\wmnetmgy.sys
c:\windows\system32\drivers\ugft.sys
c:\windows\system32\drivers\qrav.sys
c:\documents and settings\all users\application data\microsoft\office\system\ntptdb.sys
c:\documents and settings\administrator\local settings\temp\1.sys
c:\documents and settings\administrator\local settings\temp\3a.tmp
c:\documents and settings\administrator\local settings\temp\2.sys
c:\program files\microsoft office\system\apcdli.sys
2.删除重启后使用SREng修复下面各项:
启动项目 -- 注册表之如下项删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SoundMan><SoundMan.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<480a><C:\WINDOWS\system32\480a.exe> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{50632D5C-B71B-4ba0-B012-3DC6F15C011B}><C:\WINDOWS\system32\msosiocp.dll> [N/A]
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[gtav / gtav] <C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\bovq\lyfa.dll,Service -s>
[DCOM Service Process Manager / DCOMManager] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->c:\windows\inf\pcidevices8.inf>
[COM+ Service Process Manager / COMLoader32] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->c:\windows\inf\camdrvs.inf>
启动项目 -- 服务-- 驱动程序之如下项禁用:
[5wofhph4 / 5wofhph4j] <\SystemRoot\System32\DRIVERS\5wofhph4j.sys>
[WMNetMgy / WMNetMgy] <\SystemRoot\system32\drivers\WMNetMgy.sys>
[ugft / ugft] <\??\C:\WINDOWS\system32\drivers\ugft.sys>
[qra / qrav] <\SystemRoot\System32\DRIVERS\qrav.sys>
[ntptdb / ntptdb] <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\ntptdb.sys>
[Net Manager / Net Manager] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.sys>
[MyMapDevice1 / MyMapDevice1] <\??\C:\DOCUME~1\lxt1985\LOCALS~1\Temp\3A.tmp>
[iCafe Service / iCafe Service] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2.sys>
[apcdli / apcdli] <\??\C:\Program Files\Microsoft Office\SYSTEM\apcdli.sys>
似乎最近一些病毒喜欢把自己的驱动、服务或启动项放在临时文件夹中,所以建议经常清理临时文件夹temp。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/75.html
