O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
O4 - HKLM\..\Run: [upxdnd] C:\WINDOWS\upxdnd.exe
O4 - HKLM\..\Run: [Microsoft Autorun10] C:\WINDOWS\system32\nwizwmgjs.exe
O4 - HKLM\..\Run: [System] C:\Program Files\Common Files\system\Updaterun.exe
O4 - HKLM\..\Run: [Microsoft Autorun9] C:\WINDOWS\system32\Ravasktao.exe
O4 - HKLM\..\Run: [TIMHost] C:\WINDOWS\TIMHost.exe
O4 - HKLM\..\Run: [Microsoft Autorun7] C:\WINDOWS\system32\nwizqjsj.exe
O4 - HKLM\..\Run: [Microsoft Autorun1] C:\WINDOWS\system32\nwizdh.exe
O4 - HKCU\..\Run: [r8dm5fyr8] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexplorer.exe
O4 - HKLM\..\Policies\Explorer\Run: [RavMon] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RavMonD.exe
O4 - HKLM\..\Policies\Explorer\Run: [visin] C:\WINDOWS\system32\ctfnom.exe
O9 - Extra button: 眢劃昜 - {DE607145-AC19-425e-868A-8D70ABDF119A} -
http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - Extra 'Tools' menuitem: 眢劃昜 - {DE607145-AC19-425e-868A-8D70ABDF119A} -
http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - Extra 'Tools' menuitem: 眢劃昜 - {DE607145-AC19-425e-868A-8D70ABDF119A} -
http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
勾選並修復上述項目, 重新開機, 以安全模式登入windows, 刪除下列檔案:
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\system32\nwizwmgjs.exe
C:\Program Files\Common Files\system\Updaterun.exe
C:\WINDOWS\system32\Ravasktao.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\system32\nwizqjsj.exe
C:\WINDOWS\system32\nwizdh.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexplorer.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RavMonD.exe
C:\WINDOWS\system32\ctfnom.exe (ctfmon.exe 是正常檔案, 注意別刪錯)
C:\WINDOWS\system32\9a321.exe
C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\(刪除目錄)
在所有磁碟搜尋 RUNDLLFOROUR.EXE, 找到就全部刪除
在所有磁碟搜尋 Autorun.inf, 找到就全部刪除
P.S
1. 完成上述動作後, 可能還是留有部分衍生檔案及相關的殘餘登錄機碼, 再用防毒軟體掃描一次
2. 建議卸載 Yahoo 助手
3. KAV6 的 proactive 前攝防禦功能可監控可疑的行為, 但若用戶看不懂, 反而容易讓病毒入侵, 若你對proactive 前攝防禦功能不了解, 建議還是換別的防毒軟體吧