請到下面網址下載 WsysCheck 來修復:
http://sites.google.com/site/gwebhd168/files/WsysCheck16833.rar
(1).執行 WsysCheck.exe
(2).勾選你要結束的處理程序,請注意「映像路徑」要正確 (語法裡面才是惡意程式的路徑),圖片內是我舉例隨便勾選的
(3).反白標示選取,按住 [Ctrl] 不放,再用滑鼠左鍵選取
(4).選取好後,再按滑鼠右鍵 -> 選擇 [結束處理序並刪除檔案]
語法:
C:\Documents and Settings\RC3D\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\RC3D\Local Settings\Application Data\services.exe
C:\Documents and Settings\RC3D\Local Settings\Application Data\lsass.exe
(5).點選 [安全檢查] -> [重啟刪除檔案] -> 按 [加入待刪檔案] -> 選擇要待刪的檔案
(6).選擇完畢後,按 [執行重啟刪除]
語法:
C:\Documents and Settings\RC3D\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\RC3D\Local Settings\Application Data\services.exe
C:\Documents and Settings\RC3D\Local Settings\Application Data\lsass.exe
C:\WINDOWS\eksplorasi.exe
C:\WINDOWS\ShellNew\bronstab.exe
C:\Documents and Settings\RC3D\Local Settings\Application Data\smss.exe
(7).修復完畢後,用記事本編輯 C:\WINDOWS\system32\drivers\etc\HOSTS 這個檔案,
將裡面內容全部清空,只留下面那一行即可:
127.0.0.1 localhost
(8).再用 HijackThis 清除殘餘的文件。
語法:
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\eksplorasi.exe"
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\bronstab.exe"
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\RC3D\Local Settings\Application Data\smss.exe"
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
(9).最後用我上面說的方法,修復資料夾選項和啟用登錄檔編輯程式
http://forum.slime.com.tw/thread240975.html#post2076579
不過...我是有點懷疑你其他的磁碟機或USB隨身碟可能有殘餘病毒,才會不斷地重複感染,
如果那些病毒不清除的話,永遠沒完沒了的解毒...