上次发贴是在4月份，一晃已是6月10日，看来时间过得很快，可能这段时间比较忙吧，可是我每天都坚持看朋友们给我的邮件，今天发现一个网友发的日志。感觉此病毒比较顽固，所以就花些时间研究了一下。

网友发来中毒症状：

Messages.exe，如果出现这个进程，电脑就很卡，只要结束这个进程，电脑就又恢复正常了。但是过不久又会弹出来，后来试了一下"结束进程树"，好像就不会再弹出来。请问这个进程是病毒的进程吗?

此病毒会让360安全卫士及其电脑上许多软件被IEFO映象挟持，所以无法正常使用，只要一打开这些软件又会反复感染病毒。如果清除不干净，电脑重启后会再次感染。

杀此病毒时务必断开网络，请先准备好以下所需要的软件工具。

经过分析，方法如下：

1、用Unlocker 1.8.5(http://hi.baidu.com/kongie/blog/item/8975d639d4bb7bf13b87ce00.html)删除以下文件，若有些文件没有则跳过：

C:\WINDOWS\system32\drivers\Messages.exe (若此文件强制删除不了,可先结束进程再删除)

C:\KAV2007\KPFW32.EXE

c:\windows\system32\壁纸自动换.exe

C:\KAV2007\KAVStart.exe

C:\WINDOWS\system32\ZfbJ9AWwU.dll

C:\WINDOWS\system32\DcXb7abe.dll
C:\WINDOWS\system32\bp8wddFqfaagBTyD.dll

C:\WINDOWS\system32\704C3595.dll

C:\WINDOWS\system32\skcfujQ5EDN.dll

C:\WINDOWS\system32\cRsAQd4hw.dll

C:\WINDOWS\f0756c0e.dat

C:\Program Files\Internet Explorer\002.tmp

C:\WINDOWS\java\classes\CLIPORV.DLL

C:\WINDOWS\system32\LZwG.dll

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\elementgj.dll

\system32\drivers\lntnt.sys

C:\WINDOWS\System32\12days.dll

C:\WINDOWS\System32\SGCQdll.dat

C:\WINDOWS\system32\dhDhwS7fFW.dll
C:\WINDOWS\fonts\bwnbtwdv.dll
C:\WINDOWS\system32\ATSpy.sys
C:\WINDOWS\system32\drivers\EagleNT.sys
C:\WINDOWS\system32\drivers\nvlio.sys
c:\k1.tmp
C:\Program Files\Common Files\System\004.tmp
C:\Program Files\Common Files\System\002.tmp
C:\WINDOWS\49926ba0.dat
system32\DRIVERS\secdrv.sys
C:\WINDOWS\system32\COMRes.dll
C:\WINDOWS\java\classes\CLIPORV.DLL
C:\WINDOWS\system32\fgQB.dll
C:\WINDOWS\system\Vch2.tmp
C:\WINDOWS\system\VchCE.tmp
C:\WINDOWS\system\Vch3E.tmp

2、因为你的电脑中很多软件和杀毒工具已被IEFO映象挟持，所以请使用Autorun病毒防御者 正式版进行全盘查杀AUTO病毒。一定要运行工具"内置修复IEFO映象挟持"（也可用IFEO映像挟持修复程序：http://hi.baidu.com/kongie/blog/item/752666389705872296ddd81e.html）（http://hi.baidu.com/kongie/blog/item/39be357a69cce9ed2f73b344.html

3、用SREng删除以下启动项目中【注册表】项：
SRENG2.7
http://hi.baidu.com/kongie/blog/item/626252da653804d9b7fd48f8.html

<Explorer>
{47D449D6-BD89-4E68-AE37-1E8A9A03D5B6}
<C:\WINDOWS\fonts\bwnbtwdv.dll>

{6101B532-3E30-49FB-8594-F9B22338FF4A}

{CD1779C2-CFD3-46FD-8139-A454565E447D}

{78C3AEAA-EA7D-41D0-8AA4-A7B2941D6E36}

{704C3595-DB85-40F6-A601-8D6F346907BD}

{76CBCF38-0583-44C7-A1AE-D463DFE625EC}

{93F33500-527E-4E33-AECA-69B15243A90E}

{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}

<switch>

<KavStart>

4、使用SRENG，启动项目，服务，【驱动程序】，禁用以下项（选中后,在启动类型中选择Disabled,修改启动类型,最后点击设置即可。）
[ATSpy / ATSpy]
[EagleNT / EagleNT]
[jjhgqn / jjhgqn]
[k360 / k360]
[qq2 / qq2]
[qq1 / qq1]
[SafeMon1 / SafeMon1]
[Secdrv / Secdrv]

[dlcfxr / dlcfxr]

[SafeMon2 / SafeMon2]

5、重启系统。不联网，再使用杀毒软件全盘一次。

======================================================
本人再次声明：
（A）本人发布的杀毒方法免费提供给被病毒感染的朋友们，如果要转载本帖文章，请你保留本文章中下载软件的链接。请尊重作者的原创劳动成果！
（B）注明“此文章为Kongie原创，如需转载请注明由 Http://hi.baidu.com/kongie 提供!”