首先修改注册表:“开始”->“运行”->“regedit”打开注册表编辑器。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]将其中的“CheckedValue”键删除,因为病毒已将其类型改为“SZ”,及时将值改为“1”也无法察看。删除后新建类型为“DWORD”的键,名称改为“CheckedValue”,键值为“1”。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon]将其中的“Userinit”键内容改为“userinit.exe,”(含逗号),这时我们可以发现修改之前该键的内容中有一个“microsoft\*(乱码).exe”,这个文件其实就是病毒文件之一。
将其中的“Shell”键内容改为“EXPLORER.EXE”,这时我们可以发现修改之前该键的内容中有一个“C:\WINDOWS\system32\dllcache\dcache.exe”,没错,这是第二个病毒文件。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]将其中的“System”键删除。该键的内容为“C:\WINDOWS\system32\advanced.exe”,这是第三个病毒文件。
注册表修改完毕后进入C盘Windows文件夹System32文件夹,显示隐藏文件和系统文件以及扩展名,找到隐藏的 “advanced.exe”文件(44.2kb,没有图标),该文件此时无法删除,但可以将其文件名修改,只要下次你能找到并且文件名不是原来的那个就可以。
新建一个文本文档(其实新建什么都行),将其名称改为“advanced.exe”(一定要显示扩展名,不然就变成 “advanced.exe.txt”了),属性改为“只读”(0kb,程序图标)。
找到“dllcache”文件夹,删除隐藏的“dcache.exe”文件(44.2kb,没有图标);回到上级目录,找到“microsoft”文件夹,删除隐藏的“*(乱码).exe”文件(44.2kb,没有图标)。
再回到各根目录下将隐藏的“llm.exe”(44.2kb,没有图标)和“autorun.inf”文件都删掉。这时,即使再次产生,生成的“llm.exe”文件也是与我们之前建立的“advanced.exe”(0kb,程序图标)相同。