F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Program Files\Windows Media Player\svchost.exe,C:\WINDOWS\rundl132.exe,
O4 - HKCU\..\Run: [kava] C:\WINDOWS\system32\kavo.exe
O4 - HKCU\..\Run: [tava] C:\WINDOWS\system32\tavo.exe
O4 - HKCU\..\Run: [jvsoft] C:\WINDOWS\system32\jvvo.exe
O4 - HKCU\..\Run: [tasoft] C:\WINDOWS\system32\kxvo.exe
勾選並修復上述項目
執行 Wsyscheck
http://mafia.myweb.hinet.net/file/Wsyscheck.zip
進入 "Tools", 分別執行下列功能:
"Fix Hide File Show"
"Clear Autorun.inf"
重新開機, 搜尋下列檔案, 若有就刪除
C:\Program Files\Windows Media Player\svchost.exe
C:\WINDOWS\rundl132.exe (注意檔名, 不是 rundll32.exe)
C:\WINDOWS\system32\kavo.exe
C:\WINDOWS\system32\tavo.exe
C:\WINDOWS\system32\jvvo.exe
C:\WINDOWS\system32\kxvo.exe
圖片顯示的是 windows 檔案保護的訊息, 表示某個系統檔被其他同名檔案取代了, winndows 要求放入安裝光碟以還原原始檔案
放入XP安裝光碟後, 將目錄指向 x:\I386 就會自動複製還原