前言恕刪 : SRENG : http://sun.cis.scu.edu.tw/~92a39/upload/34219.txt 從上述SRENG報告，你電腦內有中kavo系列 C:\WINDOWS\system32\uret463.exe C:\WINDOWS\system32\kacsde.exe C:\WINDOWS\system32\lhgjyit1.dll C:\WINDOWS\system32\afmain0.dll C:\WINDOWS\system32\godert1.dll C:\y319s.exe D:\y319s.exe E:\y319s.exe 沒有Efix用的話，那就手動刪除吧 先把電腦重開機，最好是到安全模式啦 不會的話，一般模式也行 如果要在一般模式下的話，最好把不必要的程序關一關，千萬不要點擊我的電腦 然後從左下角的開始 → 執行 → 在開啟的欄位輸入cmd (呼叫命令提示字元) 就會出現dos視窗顯示如下： C:\Documents and Settings\你電腦名稱> 接下來操作如下： C:\Documents and Settings\你電腦名稱>cd\ C:\ C:\taskkill /f /im explorer.exe C:\explorer.exe C:\attrib -s -h -r C:\y319s.exe C:\del /f /q C:\y319s.exe C:\attrib -s -h -r D:\y319s.exe C:\del /f /q D:\y319s.exe C:\attrib -s -h -r E:\y319s.exe C:\del /f /q E:\y319s.exe C:\attrib -s -h -r C:\WINDOWS\system32\uret463.exe C:\del /f /q C:\WINDOWS\system32\uret463.exe C:\attrib -s -h -r C:\WINDOWS\system32\kacsde.exe C:\del /f /q C:\WINDOWS\system32\kacsde.exe C:\attrib -s -h -r C:\WINDOWS\system32\lhgjyit1.dll C:\del /f /q C:\WINDOWS\system32\lhgjyit1.dll C:\attrib -s -h -r C:\WINDOWS\system32\godert1.dll C:\del /f /q C:\WINDOWS\system32\godert1.dll C:\attrib -s -h -r C:\WINDOWS\system32\afmain0.dll C:\del /f /q C:\WINDOWS\system32\afmain0.dll 存取被拒←按照我的經驗，這隻通常會這樣，所以用改名重開機的方式 C:\ren C:\WINDOWS\system32\afmain0.dll 123.abc C:\regedit 找機碼 1. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 刪除值 <dorfgwe><C:\WINDOWS\system32\uret463.exe> <anhtaaa><C:\WINDOWS\system32\kacsde.exe> 2. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 刪除值 <{BB4C402F-882A-4526-8C08-51278EA437C1}><C:\WINDOWS\system32\afmain0.dll> 執行到此，把電腦重開，重開回windows之後 一樣的動作開啟命令提示字元 C:\del /f /q C:\windows\system32\123.abc C:\regedit 找機碼 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 把 CheckedValue 的值改成 1 按F5刷新看看，看有沒有被改回0 = = 如果沒有的話，病毒應該都成功清理 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 219.87.151.157 ※ 編輯: faris1003 來自: 219.87.151.157 (01/19 11:15)