广告程序AdWare.Win32.Boran.z杀毒软件杀不掉的解决方案

roommate

昨天卡巴斯基更新后扫了一遍系统，卡巴斯基提示：已检测到
广告程序not-a-virus:AdWare.Win32.Boran.z文件: C:\WINDOWS\system32\drivers\00001e5b.sys
以为问题不大删了就可以了，谁知道tmd不能处理，只提示跳过，不能删，心里很是不爽啊。决定想办法把它删掉。进安全模式手动删除也不行，已刷新又有了，烦死。换了别的杀毒软件也杀不了，它还真牛啊！于是上网查，才知道这是一种叫爱德华的病毒，也没什么太好的办法解决。好多人都又这个问题。我的这个应该是爱德华的变种病毒，没见过啊。想想还是自己解决罗。
   我先用System Repair Engineer 2.3.13.690（http://www.kztechs.com/sreng/sreng2.zip）这个软件扫了一遍系统
得到一个log报告终于找到那个毒了，第一个就是：[00001e5b / 00001e5b][Running/Boot Start]
  <\SystemRoot\system32\drivers\00001e5b.SYS><N/A>
驱动程序：
[00001e5b / 00001e5b][Running/Boot Start]
  <\SystemRoot\system32\drivers\00001e5b.SYS><N/A>
[%USB\VID_10D6&PID_1160.DeviceDesc% / AdfuUd][Stopped/Manual Start]
  <System32\Drivers\AdfuUd.sys><>
[Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]
  <system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
[dtscsi / dtscsi][Running/Manual Start]
  <\SystemRoot\System32\Drivers\dtscsi.sys><N/A>
[efbadcgh / efbadcgh][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\efbadcgh.sys><N/A>
[giveio / giveio][Running/Boot Start]
  <\SystemRoot\system32\giveio.sys><N/A>
[iiqcmjow / iiqcmjow][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\iiqcmjow.sys><Yahoo! China Corporation>
[kl1 / kl1][Running/Boot Start]
  <\SystemRoot\system32\drivers\kl1.sys><Kaspersky Lab>
[klif / klif][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>
[kmsinput / kmsinput][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\kmsinput.sys><N/A>
[npkcrypt / npkcrypt][Running/Auto Start]
  <\??\D:\Tencent\QQ2006\npkcrypt.sys><INCA Internet Co., Ltd.>
[nv / nv][Running/Manual Start]
  <system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[PnpWmkDrv / PnpWmkDrv][Running/System Start]
  <\??\C:\WINDOWS\system32\drivers\PnpWmkDrv.sys><N/A>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Secdrv / Secdrv][Running/Auto Start]
  <system32\DRIVERS\secdrv.sys><Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.>
[USB PC Camera (SNPSTD3) / SNPSTD3][Stopped/Manual Start]
  <system32\DRIVERS\snpstd3.sys><N/A>
[speedfan / speedfan][Running/Boot Start]
  <\SystemRoot\system32\speedfan.sys><Windows (R) 2000 DDK provider>
[sptd / sptd][Running/Boot Start]
  <\SystemRoot\System32\Drivers\sptd.sys><N/A>
[TCP/IP Protocol Driver / Tcpip][Running/System Start]
  <system32\DRIVERS\tcpip.sys><Microsoft Corporation>
[UnlockerDriver4 Driver / UnlockerDriver4][Stopped/Manual Start]
  <\??\C:\Program Files\Unlocker\UnlockerDriver4.sys><N/A>
[USB to Serial Bridge Controller / usb2vcom][Stopped/Manual Start]
  <system32\DRIVERS\usb2vcom.sys><Ark Pioneer Microelectronics Ltd.>
[viamraid / viamraid][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\viamraid.sys><VIA Technologies inc,.ltd>
[World Standard Teletext Codec / WSTCODEC][Stopped/Manual Start]
  <system32\DRIVERS\WSTCODEC.SYS><Microsoft Corporation>
[yaskp / yaskp][Running/Boot Start]
  <\SystemRoot\system32\drivers\yaskp.sys><Copyright (C) yahoo Corporation.>
[NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller / yukonwxp][Running/Manual Start]
  <system32\DRIVERS\yk51x86.sys><Marvell>


它进入了系统进程所以是删不掉的。不知道该注册表行不行，没试过，本人是菜鸟，所以就用软件解决爱德华，好多软件都删不掉，如：瑞星卡卡、优化大师、超级兔～～～痛苦啊！！！终于让我找到了一款好软件-------冰刃IceSword v1.20 (http://count.crsky.com/download.asp?ID=30247
)不过要在安全模式下操作（重启按F8），先进安全模式，再进入进入冰刃查找内核模块果然有SystemRoot\system32\drivers\00001e5b.SYS，通过冰刃的文件选项，按照杀毒软件显示的路径就阿可以找到该文件00001e5b.SYS，然后你就可以把它大卸八块了，点鼠标右键选择强制删除就行了，呵呵，终于不用充装系统了，大家也不妨试试，让木马无处遁行。

[ 本帖最后由 ALEXBLAIR 于 2007-1-8 19:16 编辑 ]