前两天朋友的电脑中毒了,看了一下进程,有个shualai.exe的程序,做这个病毒的人真是太有才了,连"耍赖"这样的名字也取的出,不的不佩服啊,鉴于目前还没有shualai.exe病毒的专杀工具,只好跟shualai.exe肉搏一下了,另外发现还有些其他一些MSRundll.dll,winform.exe,mppds.exe,msccrt.exe等程序,看来中毒不浅,另外发现声音没有了

安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)

打开sreng （就是扫日志的软件）
启动项目 注册表 删除如下项目 (如果有哪项你认识或者确认不是病毒 请不要删除)

<upxdnd><C:\DOCUME~1\new\LOCALS~1\Temp\zt.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<ualai><C:\WINDOWS\ualai.exe /i> []
<shualai><C:\WINDOWS\shualai.exe /i> []
<winform><C:\WINDOWS\winform.exe> []
<cmddbcs><C:\WINDOWS\cmddbcs.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []"
<twin><C:\WINDOWS\system32\twunk32.exe> []
<><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.dll> []
<><C:\Program Files\Internet Explorer\PLUGINS\System64.sys> []
<SysTime><C:\PROGRA~1\WinKld\WinKld.dll> [N/A]
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，
选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：

Win32 Debug Service / MSDebugsvc
WinFYService / WinFYService
WinWLService / WinWLService


双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
然后删除C:\WINDOWS\system32\RAVWL.EXE
C:\WINDOWS\system32\RAVFY.EXE
C:\WINDOWS\system32\msdebug.dll
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.dll
C:\Program Files\Internet Explorer\PLUGINS\System64.sys
清空C:\DOCUME~1\new\LOCALS~1\Temp
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\winform.dll] [N/A, ]
[C:\WINDOWS\system32\cmddbcs.dll] [N/A, ]
[C:\WINDOWS\system32\msccrt.dll] [N/A, ]
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\ualai.exe
C:\WINDOWS\shualai.exe
C:\WINDOWS\winform.exe
C:\WINDOWS\cmddbcs.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\twunk32.exe


重新启动后,发现声音依然无法正常,看来是病毒shualai.exe把声卡驱动程序也给删除了,不想找驱动了,给朋友GHOST了事