由于该病毒注入了系统进程,在系统下无法删除其病毒文件,所以手工杀毒须自备PE光盘一张:
1、进入PE系统;
2、清空系统IE缓存文件夹、%Windir%\temp文件夹、硬盘用户的临时文件夹,如用户名为user,即路径为:c:\documents and settings\user\local settings\temp;
3、将下列代码保存为Kill.Bat文件,然后执行:
@echo off
echo *****请按任意键开始*****
pause
echo 程序执行中,请稍候……
@echo off
del c:\system.dll
del c:\WINDOWS\system32\w32time.dll /f /q
del c:\WINDOWS\system32\appmgmts.dll /f /q
del c:\WINDOWS\system32\wiaservc.dll /f /q
del c:\WINDOWS\system32\schedsvc.dll /f /q
del c:\WINDOWS\system32\srsvc.dll /f /q
del c:\WINDOWS\system32\test1.exe /f /q
del c:\WINDOWS\system32\000AE.exe /f /q
del c:\WINDOWS\system32\61821.exe /f /q
del c:\WINDOWS\system32\41485.exe /f /q
del c:\WINDOWS\system32\craoe.dll /f /q
del c:\WINDOWS\system32\craoek.exe /f /q
del c:\WINDOWS\system32\batteo.dll /f /q
del c:\WINDOWS\system32\batteok.exe /f /q
del c:\WINDOWS\system32\sh19008.exe /f /q
del c:\WINDOWS\system32\sh17029.exe /f /q
del c:\WINDOWS\system32\kandawf.dll /f /q
del c:\WINDOWS\system32\sh22007.exe /f /q
del c:\WINDOWS\system32\sh21017.exe /f /q
del c:\WINDOWS\system32\lenyuns.dll /f /q
del c:\WINDOWS\system32\xsisco.dll /f /q
del c:\WINDOWS\system32\kodens.dll /f /q
del c:\WINDOWS\system32\NsPass0.sys /f /q
del c:\WINDOWS\system32\NsPass1.sys /f /q
del c:\WINDOWS\system32\NsPass2.sys /f /q
del c:\WINDOWS\system32\NsPass3.sys /f /q
del c:\WINDOWS\system32\NsPass4.sys /f /q
del c:\WINDOWS\system32\Numeric32.exe /f /q
del c:\WINDOWS\system32\drivers\beep.sys /f /q
del c:\WINDOWS\system32\wins\rmlrgtrey.dll
del c:\WINDOWS\system32\wins\7293\svchost.exe /f /q
del c:\WINDOWS\system32\dllcache\beep.sys /f /q
del c:\windows\system32\schedsvc.dll /f /q
del c:\windows\system32\srsvc.dll /f /q
del c:\windows\system32\w32time.dll /f /q
del c:\windows\system32\appwinproc.dll /f /q
del c:\WINDOWS\system32\Nskhelper2.sys /f /q
echo
echo
echo
echo
echo
echo
echo 杀毒完成,请按任意键退出
pause
exit
4、退出PE系统,进入硬盘系统,将%windir%下的regedit.exe改名为regedit.com双击执行,解除对各杀毒软件的映像劫持。关于映像劫持,本人在此不作解释,大家搜搜百度就知道了。
5、更新杀软,扫描残余病毒文件。(建议使用瑞星网站的免费查毒功能检查是否还有病毒残留。本人电脑上扫描的残余病毒文件一般隐藏于系统还原文件夹与系统回收站文件夹,对于回收站文件夹下的病毒,可以采用命令行下删除的方法,也可以做成批处理,这些残留病毒文件名好像会随机生成,在此就不放出本人电脑上扫出的病毒文件名了)。