关于autorun.inf病毒清理

陈晓晨

病毒是这样开始发作的:

开机~~~~~~~~

一.图标,和任务栏都没有只剩下个桌面背景,鼠标还能用，但你无论左键点，还是右键点都没有什么响应。
此问题要先解决：否者就没下一步情况了，呵呵！，

这里首先要讲一下桌面的概念，也许你已经习惯于把桌面等同与你的显示器平面了，其实严格的讲，桌面是一个特殊的explore程序，是操作系统给用户的一个shell。以上第一点的情况我们自己平时也可以做到，不过今天可是病毒做的，那平时怎么做呢？---我们先打开任务管理器，你可以在任务栏上点右键，或者直接按 CTRL＋ALT＋DEL，然后选择“进程”选项卡。找到explore.exe，然后结束这个进程，系统会给一个警告，告诉你说会有丢失数据的危险，不用管他，然后你会发现你的桌面丢了，你的任务栏没了，你的桌面图标也没了，只剩下你的桌面图片了（实际上桌面图片也没了，但是桌面图片已在你的内存中了，所以你还能看到它），你的鼠标还能用，但你无论左键点，还是右键点都没有什么响应了，ok，good，你的桌面没了。

0 n s2 i; |2 {5 \% f

这时怎么操作呢？－－用任务管理器，其实你运行的所有程序只不过是一个一个的任务，当然你也可以在任务管理器里实现所有任务的管理，windows提供给我们桌面是为了操作方便。

解决方法：(2种方法)

1.同时按下Ctrl＋Alt＋Del 键，在打开的windows任务管理器中，选择“文件”菜单，选择“新建任务（运行）”项，然后在打开的窗口中输入 explorer ,回车之后就又出现了windows的桌面了。

: A$ v) _4 O0 A; b/ V" r# E2 ^

2. 同时按下键盘上的Ctrl、Alt与Del键，打开Windows任务管理器，依次选择“文件新建任务（运行…）”，在弹出的“创建新任务”对话框中选择“浏览”，在打开的“浏览”窗口中用鼠标右键任意点选一个文件夹，在弹出菜单中选择“资源管理器”，这时系统会弹出错误提示窗口，同时你会发现任务栏与桌面图标都奇迹般的恢复正常了。

. d5 v+ @ d$ B: W6 X: {6 |

好！我们继续————-

5 l( ?/ g `/ [, ~* P( [

二.现在任务栏与桌面图标都恢复正常了，但是发现了D盘双击无法打开了,要点右键才能打开,另点右键可以看到"自动播放"，D盘下有个 command.com[隐藏文件]（D盘根目录下有一个Autorun.inf的文件,里面加载了Command.com这个程序）
三.病毒在D驱动器下面写入了一个AutoRun.inf文件,打开内容如下:（我们在双击D盘的时候，病毒自动运行的信息已经加入了注册表里）

[autorun]
OPEN=D:\command.com

3 l! I$ H) A l- ]

解决方法：以上2点情况现在暂时无法清楚干净（AutoRun.inf和command.com现在删除后，刷新下就马上又有了，查找HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\D\后面是正常的,没有发现Shell\command\此键值。）,等下再告诉你清除方法。

% R0 q! T" H/ v

不过我们现在先要把硬盘遭到的“埋伏”给去掉，可以先禁止硬盘AutoRun功能。

, w! o- q4 ?& u! t6 A

(2种方法)------>

6 K J! b' e' K: `

1.在“开始”菜单的“运行”中输入Regedit，打开注册表编辑器，展开到

( Z% |4 ?. F, M+ R/ `* ~

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Exploer主键下，在右侧窗口中找到

0 @: I9 K+ _1 P: L7 ?) j9 G

“NoDriveTypeAutoRun”，就是它决定了是否执行CDROM或硬盘的AutoRun功能。将其键值改为9D,00,00,00就可以关闭硬盘的AutoRun功能，如果改为B5,00,00,00则禁止光盘的AutoRun功能。修改后重新启动计算机，设置就会生效。

8 j* X' K3 _0 E }! _4 |6 l

2.使用组策略一次性全部关闭自动播放功能：
① 点击“开始”选择“运行”，键入“gpedit.msc”，并运行，打开“组策略”窗口；
② 在左栏的“本地计算机策略”下，打开“计算机配置_管理模板_系统”，然后在右栏的“设置”标题下，双击“关闭自动播放”；
③ 选择“设置”选项卡，勾取“已启用”复选钮，然后在“关闭自动播放”框中选择“所有驱动器”，单击“确定”按钮，退出“组策略”窗口。

在“用户配置”中同样也可以定制这个“关闭自动播放”。但“计算机配置”中的设置比“用户配置”中的设置范围更广。有助于多个用户都使用这样的设置。

好！现在双击可以打开D盘，右键没有看到"自动播放"了，不过AutoRun.inf和command.com现在还删除不掉（删除后，刷新下就马上又有了）还是等下再告诉你清除方法。

N' n$ l, s( X2 @( k0 ?

四.在"工具-文件夹选项-查看"中选中"显示所有文件及文件夹",我点确定后,还是无法看见隐藏的文件和文件夹，电脑总是保持不显示隐藏文件和文件夹的状态，就是说，文件夹选项都不让修改。而且在注册表里把
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
"CheckedValue" =1。我把CheckedValue" = 的数值改为1(CheckedValue键值项当时已被病毒改为0),不过也没用。

怎么办呢？？

解决方法：(2种方法)

2 u, I8 G' K' ]

1.把下面的信息（我增加了几条，务求完全修复）保存为*REG文件（2000/XP），然后导入
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="隐藏文件和文件夹"
"Type"="group"
"Bitmap"="C:\\WINNT\\system32\\shell32.dll,4"
"HelpID"="shell.hlp#51131"

. `& S# L# o: H1 T7 _9 a: u5 J

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="不显示隐藏的文件和文件夹"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

4 [; {) x( G' O- x

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="显示所有文件和文件夹"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

$ c* k- z/ r+ F' r3 z$ p9 [0 a7 T+ A

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
"Type"="checkbox"
"Text"="隐藏已知文件类型的扩展名"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="HideFileExt"
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000001
"HelpID"="shell.hlp#51101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="隐藏受保护的操作系统文件(推荐)"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\Do

ntShowSuperHidden]
@=""

2 w( i, N2 L, h, t4 f0 x* C

2.去别的没感染病毒的电脑上把此段注册表的数据导出来，再导入到这台电脑。

( _' a8 @0 V$ ]* e7 p4 j, v

好，现在可以显示所有文件及文件夹了！

五.现在进程里有2个SMSS.exe,(有一个在windows下是病毒)
解决方法:现在暂时无法清楚干净（C:\windows\SMSS.exe现在用工具杀掉，这里刷新下就马上又有了,而且直接在安全模式下就会注入进程）,还是等下再告诉你清除方法。

0 o4 A5 B, S- H1 N2 d7 K1 \

六.在注册表里发现以下---> 不正常的地方(还有别的地方不对,我先不一一去找了):
RUN下面：TProgram C:\WINDOWS\smss.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1

( Z3 ~# p7 `0 X$ J% m( C

七.运行MSCONFIG，在启动里去掉C:\WINDOWS\smss.exe前面的√，不过刷新下就马上又√起来了，晕~~~~~~~
解决方法:现在以上6.7点情况暂时无法清除干净，（删掉，这里刷新下就马上又有了，我把"Shell"="Explorer.exe 1改为"Shell"="Explorer.exe，马上又被改回去 ），病毒的自我保护能力很顽强，安全模式下删除这些文件，异常的注册表项，用HijackThis 扫描了后，修复了异常，可是重启后病症都又回来了。怎么办呢？？

+ x( Z, l. }" K! V3 o+ `

还是等下再告诉你清除方法。呵呵~~~

) ^6 R" ^5 T. b, {% z8 c

八.不过，我们现在得先做以下重要的2步（防止在干掉对方前，先给对方干掉了，嘿嘿！）

1.运行 输入cmd 输入netstat -an 查看下自己的端口是不是正常的，如发现有不正常的情况，先把不正常的端口给关闭了，防患于未燃，先关闭危险的端口。

2.删除XP网络共享（运行cmd-->net share 看看）

7 T- _' e( L' f* w" | a+ L

（有关以上2点的文章，论坛里有很多，偶也传了几贴，可以去参考下）
九.接着来~~~~

) J- u* e8 [+ q

耐心点看下去~~~
想了几天~~~~ 去摆渡，GOOGLE找了多天，那些有点相似的问题，提供的方法都没用，这个时候那些病毒木马的杀手啊、大师啊、杀客啊、专家啊、克星啊、清道夫啊等等，都没用了，帮不了我们，现在只有用我们自己的菜刀（手工）来砍啦~~~~~

, E8 r3 [" R2 G: L0 e

怎么办呢？？

) X) W3 L, a- y, @, w

难道真的没办法了，我都想累了。。。。。。

v9 p' m: W# H

为什么，删除后重启都还在呢？？

0 R9 I" x8 @- p8 i; r) b. K8 X

分析原因：

这个病毒首先是具有很强的复制能力，由于病毒会自动检测进程，如果发现被关闭，就会继续产生病毒进程。 而且会插入线程到EXPLORER.EXE或者TASKMGR.EXE中， 几乎没有办法手动完全关闭病毒进程。而且这个病毒很顽强，它释放了很多病毒文件，还修改了很多注册表信息，而我肯定不止这一个病毒，肯定还有好多个，我还不知道它们躲在哪里？它们
在互相配合和我较量。

: c% K# @8 @' H" X1 \

好多个？？？？？那到底还有几个呢？？？？？哇噻！我怎么没想到呀，我们还有把照妖镜呢————用搜索！
现在我查了下smss.exe,AutoRun.inf,command.com，这3个文件的生成日期都是2006.02.20。

好！就去查找创建日期是2006.02.20的所有文件，都找出来了，首先给它们排个队，拍张集体照(漏了一个，补上

. P7 [% H3 O# D4 j( A

AutoRun.inf）。哈哈！现在是我们干掉它们的时候啦，不过，在干掉它们之前先给他们打个包（用压缩备份，做成样品以后再慢慢研究吧，我估计用强大的UltraEdit 肯定会发现反病毒信息和病毒自我保护的信息，呵呵，我把样品放在网络硬盘上.
这是下载地址,有兴趣的朋友可以下载来看看，不过激活了可别怪我啊，哈哈！）

( ]: ~, D0 K) u& h5 v' D

现在是用到3把“利刃”的时候了：Windows进程管理器v3.70（还有把Icesword v1.12 v3.70 冰刃太厉害，我只用来查了下进程，没发现有隐藏的进程） killbox SREng 。

　　现在进入安全模式，用Windows进程管理器把smss.exe给关掉，接着用killbox把smss.exe杀掉，其余的＂集体照里的成员＂你看看能直接删除就删除，不能的就用killbox杀！！好了都杀掉了。

　哦，对了还有一点我当时发现EXE文件关联被破坏了，运行--CMD--ASSOC .EXE，发现.EXE=WindowFiles，所以当时无法运行“3把利刃”，我把它们的后缀EXE暂时改为COM，才运行以来，如果COM文件关联也被破坏，那我们就只好先做这一步，先把文件关联给修复好。

解决方法：(2种方法)

1.注册表编辑器打开后，找到以下分支：
HKEY_CLASSES_ROOT\exefile\shell\open\command
双击右侧窗口中的 (默认) 值，设置为 "%1" %* [包含引号]

* u# i2 y7 O! J- T

再找到:
HKEY_CLASSES_ROOT\.exe
双击右侧窗口中的 (默认) 值，设置为 exefile
(这个修改也非常重要,很多网站上只介绍command键值的修改,其实是不完整也不一定能成功的!)
然后退出注册表编辑器

: u+ V/ X1 e; s L% T

2.使用安全模式下的命令行工具来还原.EXE文件的关联（在安全模式下修复率要高点，不在安全模式下修复也可以）
开始->运行->输入"cmd"，回车 打开命令提示符窗口
在命令行中，依次执行以下命令：
ftype exefile="%1" %* [包含引号]
assoc .exe=exefile (assoc与.exe之间有一空格!)
exit

* R% c0 S6 y$ k; S4 ?

修复完成，很简单吧？
（如还不行，那是病毒进程又恢复了，可能我们还没把那张＂集体照里的成员＂给全部同时干掉，病毒又把关联给改了，我们可以先用SREng，把SREng主程序的后缀EXE暂时改为COM，就可以运行修复文件关联）

) Y$ U/ Z) s6 j1 U5 V; K4 e

好，接下来我们要手工修复注册表，主要是修复被病毒木马改掉的键值，和自启动项目，删除危险的项。（有关手工修复注册表的详细情况，我就不一一赘诉了，论坛里有好多有关的文章，偶也传了几贴，你可以去看看，真的不行就找个注册表修复之类的软件，有很多）

最后用SREng 再修复一下，生成日志，看后保存起来。在去看看进程~~~C:\WINDOWS\smss.exe是不是真的没啦！！！

在这里总结下本次杀毒的体会:
如果发现了电脑有异常情况,用杀毒软件查杀后,

/ m& _1 I! r/ b; j" l. K5 L

1.是去进程里看下有无异常的程序在运行,
2.去运行msconfig,看看有无异常的启动
3.去查查[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\RUN有无异常的启动
4.如果还有问题可以去查查,木马还喜欢呆的地方(论坛里有此类文章)
5.可以用搜索,把木马病毒生成日期的同一天的文件给搜索出来,分析一下哪些是,把木马病毒的文件都删掉
6.最后修复文件关联和注册表修复

十.推荐防范方法：
安装系统的必要补丁（SP2），尤其是最新的几个补丁
安装网络防火墙
不要随便点陌生人发来的网页链接、软件、图片等
下载的文件都要用杀毒软件先查一下。

2 S Y5 a! s) i/ `0 r4 y

注：如果有朋友杀病毒木马后开机提示缺少某些系统文件或.DLL丢失。
解决办法：

; q( X# p0 W- c8 x

根据提示，记录相应的文件，
运行REGEDIT，进入注册表修改，
查找相应的文件，删除对应的注册表项目，即可！！

陈晓晨

注意：此文包含了 软件的下载、如何扫描获得日志、如何修复日志中的问题项等三个部分，请根据先前告诉你的操作要求，选择性的阅读！！！
对于想学习SRENG日志分析方法的朋友，请参考如下的链接>>>http://hi.baidu.com/teyqiu/blog/item/9785b2b7eb1a7df431add1a4.html】

 

一、软件的下载  2007-3-9 SRENG 2.4正式发布！<--- 目前的最新版本

3 I0 Y4 u6 m) ~. s" P* u, f

1. SRENG的官方下载地址（免费软件） http://www.kztechs.com/sreng/download.html
2. SREng下载链接 （文件名：SREng【teyqiu】.com）531KB
http://ishare.sina.com.cn/cgi-bin/fileid.cgi?fileid=1363901

如果因为各种原因，需要输入SREng授权号 输入如下信息：
用户名：teyqiu
授权号：26129027541185431409013556

二、如何扫描？

! a" X5 X8 J6 h6 `

下载后双击运行 SREng,选择 "智能扫描","扫描","保存报告",然后把扫描后的SREng.log这个文件(就是所谓的“日志”）把其中的内容 复制 粘贴上来。[as the picture bellow]

6 c$ C5 f9 G1 j( s9 b4 r

 

三、如何修复？ 【请仔细阅读、看懂后再操作。切记切记！】

- g# H+ O) @, ]: s$ ^$ n5 \. t5 s

1、注册表-->启动项目类的删除： 
SREng主程序 点 “启动项目” -->注册表 ，找到有问题的（就是告诉你要删的那些），点“删除按钮” 。

5 p q' P/ O) {

注意如果以下3项需要修复 恢复如下的默认值 
(在SREng中 "启动项目" "注册表" 鼠标左键在对应要修复的项上单击 然后点击"编辑" 修改对应"值" 如下即可) 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
<shell><Explorer.exe> 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
<Userinit><C:\WINDOWS\system32\Userinit.exe,>   (NT系统相应的为<C:\WINNT\system32\Userinit.exe,>逗号不可省略
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] 
<AppInit_DLLs><> 

( v. o# X! N5 ~8 P% h" W1 G/ z2 y" `

2、启动项目---->启动文件夹 
在SREng中：主界面点 "启动项目" ，点"启动文件夹"选项卡片，然后 鼠标左键在对应要修复的项上单击 然后点击"删除" 

0 E& r5 N8 [- k6 X7 C

 

 

3、启动项目 -->服务-->Win32服务应用程序：
SREng主程序 点 “启动项目” -->服务 里找“win32服务应用程序” 
（勾选 隐藏已认证的微软项目），选中有问题的服务后，点“删除服务”，点“设置”按钮即可。 
注意弹出的窗口中要点 “NO 否”才是确认删除服务。 

* u8 H$ k' Q5 A$ }

 

3 Z8 c# ~* R% [& Y @& u& l

4、文件关联 
在SREng中 "系统修复"----> "文件关联"： 鼠标左键在对应要修复的项前勾选 然后点击"修复" 

 

 

5、SRENG 修复浏览器加载项（BHO） 
在SREng中 "系统修复" -->"浏览器加载项" 鼠标左键在对应要修复的项上单击 然后点击"删除所选内容" 

* D* {. f6 w# {5 P" @9 g

 

5 Y2 n4 d7 d9 v& s+ y0 ]1 Q1 b2 t

 

% C. ]4 ]2 X9 }2 @: g* z

6、SRENG 如何修复IE？          (注：SREng2.3后将windows shell/IE 合在了一起，一并打钩修复也一样。图见8中附图）
运行SRENG ，点“系统修复”-->“Internet Explorer” 
将左下角的 全部 打勾选中，点“修复”按钮即可。 
修复前注意关闭IE。 

7、启动项目 -->服务-->驱动程序
进入后，勾选“隐藏微软已经认证的项目”。然后点中你要删除的驱动
点选右下角的删除服务 ，点“设置”按钮！！
重启机器即可。

 

8、系统修复--->Windows Shell (注SR2.3后将windows shell/IE 合在了一起，一并打钩修复也一样。）

( Y6 w, s! D [$ c. l. n, p

 

主界面 点“系统修复”按钮，然后点选“Windows Shell”选项卡片，打勾点“全选”，最后点“修复”按钮即可。

9、SREng 系统修复-->winSock供应者 点“重置所有内容为默认值”

6 t8 r7 @7 k* a/ b) _% ?8 n

 

' N# s) y$ q, R2 K8 a

10、 SREng修复文件关联（EXE,TXT等打开方式）
系统修复-->文件关联 点全选，点“修复”按钮。
（也可以只选择有问题的项）
方法同4 只不过这次是选择 全选。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
teYqiu【天下无毒】原创文章，转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。 『转载请保留所有版权信息及链接』
本文原始链接地址为：http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

 

陈晓晨

关autorun.inf病毒的警告和解决方法（转）
我的D盘最近多了一个叫 autorun.inf 的文件，致使用双击的方法打不开D盘。
autorun 文档内的语句是：
[autorun]
OPEN=D:command.com
我在注册表内搜索到了带有 D:command.com 值的项并删除，并在DOS下手工来删除AutoRun.inf:
attrib autorun.inf -s -h -r
del autorun.inf
attrib command.com -s -h -r
del command.com
dir /a
重启电脑后问题依旧存在，双击的方法打不开D盘（内有autorun.inf）
也不能使用Gpedit．msc阻止D盘自动运行
还有一个问题是 msconfig 也无法打开。而且发现只要一运行 msconfig, D盘内就又出现了autorun.inf
解决办法 # |* X2 U+ \2 U- W; D

手工删除：
一、 结束病毒进程
鼠标右键点击“任务栏”，选择“任务管理器”。点击菜单“查看”－>“选择列”，在弹出的对话框中选择“PID（进程标识符）”，并点击“确定”。
找到映象名称为“LSASS.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号。
点击“开始”－》“运行”，输入“CMD”，点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”，比如我的计算机上就输入“ntsd –c q -p 1464”。
二、 删除病毒文件
打开“我的电脑”，设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件：
C:\Program Files\Common Files\INTEXPLORE.pif、
C:\Program Files\Internet Explorer\INTEXPLORE.com、
C:\WINDOWS\EXERT.exe、
C:\WINDOWS\IO.SYS.BAK、
C:\WINDOWS\LSASS.exe、
C:\WINDOWS\Debug\DebugProgram.exe、
C:\WINDOWS\system32\dxdiag.com、
C:\WINDOWS\system32\MSCONFIG.COM、
C:\WINDOWS\system32\regedit.com
如果硬盘有其他分区，则在其他分区上点击鼠标右键，选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件。
三、删除注册表中的其他垃圾信息
这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。
将Windows目录下的“regedit.exe”改名为“regedit.com”并运行，删除以下项目：
HKEY_CLASSES_ROOT\WindowFiles、
HKEY_CURRENT_USER\Software\VB and VBA Program Settings、
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项、
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项。
将HKEY_CLASSES_ROOT\.exe的默认值修改为“exefile”
将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command的默认值修改为“C:\Program Files\Internet Explorer\IEXPLORE.EXE”
将HKEY_CLASSES_ROOT\ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”
将HKEY_CLASSES_ROOT\htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”
将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默认值修改为“IEXPLORE.EXE”。
重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕