此病毒非常顽固,在安全模式下也删不掉,必须进入DOS环境才能删除(当然,是双系统的朋友,可以在另一个系统中删除)。
下面a、b、c有3点说明:
a,DOS不支持NTFS的磁盘格式,C盘(即系统盘)是NTFS格式的需要起用支持NTFS格式的类DOS环境。
b,对于进入DOS环境(或支持NTFS环境),推荐使用“矮人DOS工具箱(天空软件站下载)”。对不熟悉矮人工具箱的朋友这里,说明一下:安装好后,开机选择“DOS工具箱”,选择“矮人DOS工具”,里面是用“↑”“↓”选择、空格键选定“O”确定。
c,系统盘是NTFS格式的朋友注意了,在支持NTFS环境中,NTFS格式的磁盘是排在FAT32格式的磁盘和光驱之后的。(比如,你的C盘NTFS格式、D盘FAT格式、E盘FAT格式、F盘是光驱。进入“矮人DOS工具”后,C盘是你原来的D盘、D盘是你原来的E盘、E盘是矮人DOS工具虚拟的系统启动盘、F盘是你原来的光驱、G盘才是你的原来的C盘。)
首先对上面提到的病毒文件
C:\WINDOWS\SYSTEM32\arf
C:\WINDOWS\SYSTEM32\CRYPTNET21.DLL
——DOS只支持最多8个字符的文件名,所以“CRYPTNET21.DLL”在DOS下写为“CRYPTN~1.DLL”
C:\WINDOWS\SYSTEM32\IPV6.DLL
C:\WINDOWS\SYSTEM32\NVCPL64.DLL
C:\WINDOWS\SYSTEM32\SD.SYS
C:\WINDOWS\SYSTEM32\WINXP.BMP
X:\AUTORUN.INF——X表示你系统中的各个盘符
X:\THUMBS.LNK
每个都执行下面两个DOS命令
E:>attrib 病毒文件名(请带全路径) -s -h -r
E:>del 病毒文件名(请带全路径)
如:——下面以“C:\WINDOWS\SYSTEM32\CRYPTNET21.DLL”为例
E:>attrib C:\WINDOWS\SYSTEM32\CRYPTN~1.DLL -s -h -r
E:>del C:\WINDOWS\SYSTEM32\CRYPTN~1.DLL
——注:
a,对于上面的“E:>”随便其他的目录也可以,但不要在“C:\WINDOWS\SYSTEM32\>”下使用attrib命令,这样会调用windows的attrib程序,我们需要的是使用DOS的attrib命令。
b,对于病毒文件“X:\某文件夹名.INK”,因为可能是中文名,在DOS下不好操作。我们完成上面的删除工作后,重启计算机,进入XP系统再删除。
——有朋友用IceSword(华军软件园下载)在XP系统中删除病毒文件(IceSword号称任何系统文件都能删除)好象也可以,不过听说是“删除—>重启—>再删除—>再重启”搞了3次才把病毒文件彻底删掉。
2,删除病毒在注册表中的内容
a,删除项:HKEY_CLASSES_ROOT\CLSID\{00000231-1000-0010-8000-00AA006D2EA4}\
b,删除项:HEKY_CURRENT_USED\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{00000231-1000-0010-8000-00AA006D2EA4}\
c,删除项:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{00000231-1000-0010-8000-00AA006D2EA4}\
d,删除项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet21\
e,删除项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{00000231-1000-0010-8000-00AA006D2EA4}\
f,删除键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NvCpl
键值: 字符串: "RunDll32.exe "C:\WINDOWS\system32\NvCpl64.dll",RunDll32.exe"
g,删除键:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
键值: 字符串: "C:\WINDOWS\system32\IPv6.dll"
解决办法
