网友发来中毒症状:

呃....昨天登了一个网站,点太快不小心点到了貌似是广告的东西,然后开始的时候还没什么反应....然后忽然我的QQ来了个系统公告说是什么中奖,一看就知道是骗人的,然后我把QQ退掉,结果任务栏图标还是有在.....就是那个喇叭不停的闪啊闪的,然后发现瑞星和卡卡全都不知道怎么的退掉了,然后我又重新开起来去杀毒,结果一杀杀出来44个病毒,而且能清楚成功或者删除成功的只有很少的几个,大部分都是删除失败,杀毒失败的,失败的文件里面扩展名大多是DLL或者FON的.....我真的不知道怎么办好了,请你帮帮好吗....

杀此病毒时请务必断开网络，请先准备好以下所需要的软件工具。

经过分析，方法如下：。

1、用Unlocker 1.8.5(http://hi.baidu.com/kongie/blog/item/8975d639d4bb7bf13b87ce00.html)删除以下文件，若有些文件没有则跳过：

C:\WINDOWS\system32\EN7hzSreCat8.dll
C:\WINDOWS\system32\kSVHjMeWr5ZZY47.dll
C:\WINDOWS\fonts\wQ7KbaNZKMe5G4qZ.fon
C:\WINDOWS\system32\76B9BA7A.dll
C:\WINDOWS\fonts\CtZ8uc499k.fon
C:\WINDOWS\system32\JPccCJnKygDdp3.dll
C:\WINDOWS\system32\A0C86020.dll
C:\WINDOWS\system32\122B901E.dll
C:\WINDOWS\fonts\bQgc5yHMSD4yd.fon
C:\WINDOWS\system32\08223B03.dll
C:\WINDOWS\system32\JBn2ypqY23vWX.dll
C:\WINDOWS\system32\xg4hAPNygs29.dll
C:\WINDOWS\system32\GsfMwDWD3.dll
C:\WINDOWS\fonts\fyrwJf5Qfhh.fon
C:\WINDOWS\fonts\h2GgU3YdE3Fx.fon
C:\WINDOWS\system32\2EF0D734.dll
C:\WINDOWS\system32\E4814792.dll
C:\WINDOWS\system32\A1A6BC2E.dll
C:\WINDOWS\system32\taNjsFa2tT2Dh.dll
C:\WINDOWS\system32\GU6f5sW42mdc.dll
C:\WINDOWS\system32\cRsAQd4hw.dll
C:\WINDOWS\system32\dhDhwS7fFW.dll
C:\WINDOWS\system32\wadSSw5k.dll
C:\WINDOWS\system32\ndxq9awMc.dll
C:\WINDOWS\fonts\MbsV2QQJe.fon
C:\WINDOWS\system32\CDuAUVkGy9.dll
C:\WINDOWS\fonts\VBw9ZHsJt3M8tVgF.fon
C:\WINDOWS\system32\ed78ab9.dll
C:\WINDOWS\system32\yZBe42ZrDxZA.dll
C:\WINDOWS\system32\aEUzzDyN4fVnJ.dll
C:\WINDOWS\system32\ybM7kf9heVHDx.dll
C:\WINDOWS\system32\fgimpfkp.dll
C:\WINDOWS\system32\gofibpen.dll
C:\WINDOWS\system32\PnkBstrA.exe
System32\mswmdmsrv.dll
C:\WINDOWS\system32\drivers\ds1410d.sys
C:\WINDOWS\system32\drivers\EagleNT.sys
\system32\DRIVERS\quakedrv.sys
\System32\Drivers\sptd.sys
C:\WINDOWS\system32\COMRes.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\elementcb.dll
C:\WINDOWS\System32\SGCQ.dll

2、请使用Autorun病毒防御者 正式版进行全盘查杀AUTO病毒。一定要运行工具"

http://hi.baidu.com/kongie/blog/item/39be357a69cce9ed2f73b344.html

3、用SREng删除以下启动项目中【注册表】项：
SRENG2.5
http://hi.baidu.com/kongie/blog/item/626252da653804d9b7fd48f8.html

    <Knight V>
    <{FCA4D3BE-C6C7-4F4D-9CBD-CB2666647ACA}
    <{480F828B-3E98-426A-AEBC-B4307DF4771D}
    <{AC933D46-96A7-4670-9292-E7C4126C071E}
    <{76B9BA7A-81D0-4979-8598-8471F2AB5186}
    <{C2EE4B05-6467-40E1-8638-C8B895AE335A}
    <{9726072A-8039-4958-B609-565CF7A16B38}
    <{A0C86020-5935-4B87-B20E-0B656D450264}
    <{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}
    <{1055CA44-51F8-486B-8CBD-DC7AD4213F1E}
    <{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}
    <{A23CA53C-731F-4033-92E8-C1DFB4E71D34}
    <{AB900155-F1F0-4165-9E73-67BC13BBCE89}
    <{F1C149F4-380C-4F8A-B87E-7393732B27C1}
    <{15882A2F-A06D-486E-8958-E84C86CBF273}
    <{2544D8B8-2877-4F72-B3D5-A1C090DE9DFB}
    <{2EF0D734-21FD-4225-A1A2-BCD296182AAF}
    <{E4814792-EFA3-4C20-93D0-8B130A59F9A8}
    <{A1A6BC2E-C6A1-43C1-8884-A31D772F42B8}
    <{37C5D66A-8B1B-4545-8112-3751194F6A4A}
    <{50EBD6A5-0CF6-4E59-AE08-CCD991AA0596}
    <{93F33500-527E-4E33-AECA-69B15243A90E}
    <{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}
    <{9D3E893F-55DA-42BF-94EF-B634AB358A24}
    <{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}
    <{91F5C9DB-ACD1-4812-BAB9-6F5AE433930A}
    <{93DA1E7D-7C46-4F90-8674-EC90511FCA72}
    <{6B8FB03D-D56C-4D2A-A11A-5A28B9F3DE06}
    <{A5CA6C70-7185-4466-AB45-B1C34E7A37CA}
    <{CC48391C-3696-49B9-9293-9F69C28AB3C7}
    <{25BC5491-68B6-4416-BC69-6E8442312604}
    <{E45C0FF6-B170-43B2-B897-6D02C43A2E18}
    <F0269F49>
    <08F2B9E7>

4、
[1]使用SRENG，启动项目，服务，【WIN32服务应用程序】，禁用以下项（选中后,在启动类型中选择Disabled,修改启动类型,最后点击设置即

可。）
[PnkBstrA / PnkBstrA]
[Portable Media Serial Number Service / WmdmPmSN]
[2]使用SRENG，启动项目，服务，【驱动程序】，禁用以下项（选中后,在启动类型中选择Disabled,修改启动类型,最后点击设置即可。）
[DS1410D / DS1410D]
EagleNT / EagleNT]
[QuakeDRV / QuakeDRV]
[sptd / sptd]
[pcidump / pcidump]

5、用SREng工具,找到系统修复,浏览器加载项,删除以下:
[返回主页]
{320AF880-6646-11D3-ABEE-C5DBF3571F49} <http://www.8687.cn, N/A>
[网址大全]
{6096E38F-5AC1-1200-8EC4-75DFA92FB32F} <http://wz.8687.cn, N/A>
[百度一下，你就知道]
{6096E38F-5AC1-4391-8EC4-75DFA92FB32F} <http://s.8687.cn, N/A>

6、用SREng重置【HOSTS 文件】因为文件已被修改为以下内容：
127.0.0.1       v.onondown.com.cn
127.0.0.2       ymsdasdw1.cn
127.0.0.3       h96b.info
127.0.0.0       fuck.zttwp.cn
127.0.0.0       www.hackerbf.cn
127.0.0.0       geekbyfeng.cn
127.0.0.0       121.14.101.68
127.0.0.0       ppp.etimes888.com
127.0.0.0       www.bypk.com
127.0.0.0       CSC3-2004-crl.verisign.com
127.0.0.1       va9sdhun23.cn
127.0.0.0       udp.hjob123.com
127.0.0.2       bnasnd83nd.cn
127.0.0.0       www.gamehacker.com.cn
127.0.0.0       gamehacker.com.cn
127.0.0.3       adlaji.cn
127.0.0.1       858656.com
127.1.1.1       bnasnd83nd.cn
127.0.0.1       my123.com
127.0.0.0       user1.12-27.net
127.0.0.1       8749.com
127.0.0.0       fengent.cn
127.0.0.1       4199.com
127.0.0.1       user1.16-22.net
127.0.0.1       7379.com
127.0.0.1       2be37c5f.3f6e2cc5f0b.com
127.0.0.1       7255.com
127.0.0.1       user1.23-12.net
127.0.0.1       3448.com
127.0.0.1       www.guccia.net
127.0.0.1       7939.com
127.0.0.1       a.o1o1o1.nEt
127.0.0.1       8009.com
127.0.0.1       user1.12-73.cn
127.0.0.1       piaoxue.com
127.0.0.1       3n8nlasd.cn
127.0.0.1       kzdh.com
127.0.0.0       www.sony888.cn
127.0.0.1       about.blank.la
127.0.0.0       user1.asp-33.cn
127.0.0.1       6781.com
127.0.0.0       www.netkwek.cn
127.0.0.1       7322.com
127.0.0.0       ymsdkad6.cn
127.0.0.1       localhost
127.0.0.0       www.lkwueir.cn
127.0.0.1       06.jacai.com
127.0.1.1       user1.23-17.net
127.0.0.1       1.jopenkk.com
127.0.0.0       upa.luzhiai.net
127.0.0.1       1.jopenqc.com
127.0.0.0       www.guccia.net
127.0.0.1       1.joppnqq.com
127.0.0.0       4m9mnlmi.cn
127.0.0.1       1.xqhgm.com
127.0.0.0       mm119mkssd.cn
127.0.0.1       100.332233.com
127.0.0.0       61.128.171.115:8080
127.0.0.1       121.11.90.79
127.0.0.0       www.1119111.com
127.0.0.1       121565.net
127.0.0.0       win.nihao69.cn
127.0.0.1       125.90.88.38
127.0.0.1       16888.6to23.com
127.0.0.1       2.joppnqq.com
127.0.0.0       puc.lianxiac.net
127.0.0.1       204.177.92.68
127.0.0.0       pud.lianxiac.net
127.0.0.1       210.74.145.236
127.0.0.0       210.76.0.133
127.0.0.1       219.129.239.220
127.0.0.0       61.166.32.2
127.0.0.1       219.153.40.221
127.0.0.0       218.92.186.27
127.0.0.1       219.153.46.27
127.0.0.0       www.fsfsfag.cn
127.0.0.1       219.153.52.123
127.0.0.0       ovo.ovovov.cn
127.0.0.1       221.195.42.71
127.0.0.0       dw.com.com
127.0.0.1       222.73.218.115
127.0.0.1       203.110.168.233:80
127.0.0.1       3.joppnqq.com
127.0.0.1       203.110.168.221:80
127.0.0.1       363xx.com
127.0.0.1       www1.ip10086.com.cm
127.0.0.1       4199.com
127.0.0.1       blog.ip10086.com.cn
127.0.0.1       43242.com
127.0.0.1       www.ccji68.cn
127.0.0.1       5.xqhgm.com
127.0.0.0       t.myblank.cn
127.0.0.1       520.mm5208.com
127.0.0.0       x.myblank.cn
127.0.0.1       59.34.131.54
127.0.0.1       210.51.45.5
127.0.0.1       59.34.198.228
127.0.0.1       www.ew1q.cn
127.0.0.1       59.34.198.88
127.0.0.1       59.34.198.97
127.0.0.1       60.190.114.101
127.0.0.1       60.190.218.34
127.0.0.0       qq-xing.com.cn
127.0.0.1       60.191.124.252
127.0.0.1       61.145.117.212
127.0.0.1       61.157.109.222
127.0.0.1       75.126.3.216
127.0.0.1       75.126.3.217
127.0.0.1       75.126.3.218
127.0.0.0       59.125.231.177:17777
127.0.0.1       75.126.3.220
127.0.0.1       75.126.3.221
127.0.0.1       75.126.3.222
127.0.0.1       772630.com
127.0.0.1       832823.cn
127.0.0.1       8749.com
127.0.0.1       888.jopenqc.com
127.0.0.1       89382.cn
127.0.0.1       8v8.biz
127.0.0.1       97725.com
127.0.0.1       9gg.biz
127.0.0.1       www.9000music.com
127.0.0.1       test.591jx.com
127.0.0.1       a.topxxxx.cn
127.0.0.1       picon.chinaren.com
127.0.0.1       www.5566.net
127.0.0.1       p.qqkx.com
127.0.0.1       news.netandtv.com
127.0.0.1       z.neter888.cn
127.0.0.1       b.myblank.cn
127.0.0.1       wvw.wokutu.com
127.0.0.1       unionch.qyule.com
127.0.0.1       www.qyule.com
127.0.0.1       it.itjc.cn
127.0.0.1       www.linkwww.com
127.0.0.1       vod.kaicn.com
127.0.0.1       www.tx8688.com
127.0.0.1       b.neter888.cn
127.0.0.1       promote.huanqiu.com
127.0.0.1       www.huanqiu.com
127.0.0.1       www.haokanla.com
127.0.0.1       play.unionsky.cn
127.0.0.1       www.52v.com
127.0.0.1       www.gghka.cn
127.0.0.1       icon.ajiang.net
127.0.0.1       new.ete.cn
127.0.0.1       www.stiae.cn
127.0.0.1       o.neter888.cn
127.0.0.1       comm.jinti.com
127.0.0.1       www.google-analytics.com
127.0.0.1       hz.mmstat.com
127.0.0.1       www.game175.cn
127.0.0.1       x.neter888.cn
127.0.0.1       z.neter888.cn
127.0.0.1       p.etimes888.com
127.0.0.1       hx.etimes888.com
127.0.0.1       abc.qqkx.com
127.0.0.1       dm.popdm.cn
127.0.0.1       www.yl9999.com
127.0.0.1       www.dajiadoushe.cn
127.0.0.1       v.onondown.com.cn
127.0.0.1       www.interoo.net
127.0.0.1       bally1.bally-bally.net
127.0.0.1       www.bao5605509.cn
127.0.0.1       www.rty456.cn
127.0.0.1       www.werqwer.cn
127.0.0.1       1.360-1.cn
127.0.0.1       user1.23-16.net
127.0.0.1       www.guccia.net
127.0.0.1       www.interoo.net
127.0.0.1       upa.netsool.net
127.0.0.1       js.users.51.la
127.0.0.1       vip2.51.la
127.0.0.1       web.51.la
127.0.0.1       qq.gong2008.com
127.0.0.1       2008tl.copyip.com
127.0.0.1       tla.laozihuolaile.cn
127.0.0.1       www.tx6868.cn
127.0.0.1       p001.tiloaiai.com
127.0.0.1       s1.tl8tl.com
127.0.0.1       s1.gong2008.com
127.0.0.1       4b3ce56f9g.3f6e2cc5f0b.com
127.0.0.1       2be37c5f.3f6e2cc5f0b.com

7、重启系统。

======================================================
本人再次声明：
（A）本人发布的杀毒方法免费提供给被病毒感染的朋友们，如果要转载本帖文章，请你保留本文章中下载软件的链接。请尊重作者的原创劳动

成果！
（B）注明“此文章为Kongie原创，如需转载请注明由 Http://hi.baidu.com/kongie 提供!”