如发现有乱码，请点击下面链接浏览原文
正文摘录:

怎么会没有这些内容呢?很是可疑，准备将其复制出来时却提示错瀑了。由于这是驱动文件，所以不敢掉以轻心，先查找注册表键值(图9)，然后导出备份，再进行删除(注册表文件详见4.reg)。按F3继续查找，在注册表的HKEYLOCALMACHINE＼System＼Cun℃ntCOntrOlSet＼Services＼vrdnj处又找到了，依然是备份后再进行删除(图10)。到此我们的工作就算是完成一半了，接下来的就必须要从安全模式着手了。重启电脑切换到安全模式，首先关闭掉系统还原，这非常重要，因为好多病毒都会在systemVolumeInformation文件夹里写入病毒源文件，如果系统还原无法关闭的话还可以删除掉每个盘符下的systemVolumeInformation文件夹。然后删除图12vrdnj.sys，没想到居然又提示错误了，还是提示有人正在使用。继续在注册表中进行查找，发现了关于vrdnj.sys文件的项(图11)，依然选择删除，结果出现lr“删除项出错”的提示(图l2)。原来是权限的问题，这个病毒真够变态的，为这个项赋上administrator权限后，成功删除(注册表文件内容详见5.reg)，一共搜索出了五个后全部删除掉。至丁vrdnj.sys文件由于已经加载到了内存，只能重启后再删除了。为了保险起见，我又对上述的三个文件在注册表中进行了搜索，没有任何项和键值存在了，接着我把临时文件夹的文件清除掉，免得病毒死灰复燃。最后运行msconfig开始查看启动项，发现一切正常，似乎病毒只对驱动和服务作了手脚。记得曾经在卡卡社区上看到过许多人讨论流氓软件，说通常会有程序在＼system32＼wbem＼文件夹中驻留，我打开看了一下，果然发现两个板权不明的程序，ocm0r.dll和tmpdrv235.exe(图13)，想必这两个就是罪魁祸首了，先复制到安全位置然后删除掉。我又在system32目录下遛达了一下，按文件类型排列图标后搜寻d11文件，没有发现上述文件的踪迹，但无意间又发现一个advport.dll文件没有出品公司，比较可疑，也将其复制出来然后删除了(图14)。最后打开驱动文件夹打算删除顽固的vrdnj.sys文件，但令我郁闷的足还是不行。于是又一次打开注册表查找vrdnj，结果该驱动的启动项部回来了，，到底是凼为什么昵?当我准备重启电脑到安全模式再进行删除的时候，忽然看到计算机在注销后提示要保存设置，终于明白了，驱动这个东西是加载到内存的，关机时内存中的驱动文件会写回到源文件。那么就有两种方法可以参考使用了，一种是使用冰刃释放内存，另一种就是让驱动文件不在关机的时候进行设置检查。下转第50页