??? ***病毒，大家對之都是深惡痛絕的，我也是，所以平時只要遇到了就用360安全衛士進行查殺，一般都可以搞定了，如果不行就在安全模式下用360系統急救箱（原360***專殺大全）也能清除掉，可是前天我遇到了一個死纏爛打的頑固分子，不僅360對它不起作用，而且其他的軟件對它也是束手無策，在照著網上資料試了好多方法仍不奏效的情況，決定放手一搏，手工清除，最終除馬成功，現在把整個除馬經過寫下來，以供大家參考：
??? 前天，一個要好的同事打電話反映她的電腦不行了，本來還難得死一下，現在是老死機，一個上午死好幾回，都沒法工作，讓我過去幫她看看，要說這個同事是我的×××妹，小時候跟她在同一個院子里長大，到了高中時又在同一所學校念書，就業了我們又碰到一起在同一個公司（即我現在公司下的一個子公司）工作，我離開了那子公司，她還在那里做車間統計，所以關系跟我很要好，平時她電腦有問題一般不會來叫我，她那里有人會維護，是工程部的人，除非碰到重大問題，看來這回是那專員搞不定了，呵呵~于情于理我都要過去，那就過去看個究竟吧。
??? 跑到她那里，正在重啟電腦，系統運行，進入桌面，時隔不久，顯示屏上出現svchost.exe應用程序錯誤：“0x005c003a”指令引用的“0x00000000”內存。該內存不能為“written”。無論確定還是取消都是在卡在那里，.逼著你只有重啟了。在內網里出現這種現象我一般認為中毒的可能性比較大，所以通常我都是先開啟360安全衛士進行體檢，果然，不僅有惡意插件，還有高危***，于是按常規來清理插件、殺***，掃描結果有兩個惡意插件：Orzhz廣告程序和LinkMedia插件，點立即清理，可沒等我看到清理結果，電腦已經迫不及待地自動重啟了，嘿~不對勁哦，這***在阻止我清除它。
??? 不出所料，等重新進入桌面時再查，LinkMedia插件已清除，而Orzhz廣告程序又出現在眼前，同時右下角360殺毒彈出紅色的危險警報窗口：
??? 對象：C:\windows\system32\pwfsh.dll
??? 威脅：worm.Generic.233646
??? 信息：訪問被拒絕
看來它很頑固，清除它只有進入安全模式里操作了。
??? 重啟，按F8，安全模式，360安全衛士，清理插件，立即清理，又自動重啟，看來不行，只有動用360系統急救箱，誰知屋漏偏逢連夜雨，打開后顯現“功能模塊加載失敗，請關閉殺毒軟件或在網絡安全模式下查殺”，天哪，在安全模式下還加載失敗？我沒開殺毒軟件那，要不連網一試？
??? 這回是帶網絡連接的安全模式，打開360系統急救箱，顯示“連接網絡異常，可能被***或其他程序阻止，是否將網絡連接恢復到系統默認狀態”，點否，急救箱被關閉，再打開點是，告訴我需要重啟，得，又重啟了，把它改名了還是運行不了，看來這玩意用不了，另想辦法。
??? 根據網上資料又下載了金山急救箱、完美卸載等，結果都一個樣，不管在哪個模式下，只要是在清理、卸載時觸動了它神經的，一律重啟，沒有商量余地，嘿~這窮兇極惡的歹徒，在已經被它侵占的領地公然跟殺毒軟件叫囂，哼~我必須消滅它，現在唯一能徹底解決它的辦法就是重裝系統，唉~看來只有重裝了，由于已到下班時間，只有明天再來裝了。
??? 回來想想，難道真的是道高一尺，魔高一丈嗎？我不甘心，繼續在網上搜索資料，我在下載中心我看到了一個手工清除病毒的資料，下載看過覺得不錯，提到的內容有些相似處，可以參照來試試。每回遇到***殺不掉時，為了能快速修復電腦不影響他人工作總是以重裝系統來了事，總覺得問題雖然是快速解決了，可這玉石俱焚的事，對我而言只是無奈之舉而不是除馬之道，所以每次這樣重裝讓我心里特別不舒服。這次是×××妹的電腦，這是個好機會，我想再嘗試修復一下，呵呵~她不至于催著我說工作完不成啦，快點修好之類的話吧。
??? 第二天，我把昨天查到的資料打印出來帶到事發現場，先跟我那×××妹商量，要她犧牲一點工作時間，我想嘗試著給電腦動手術，如果手術失敗，那就幫她料理后事（即備份好資料重裝系統），嘿~這樣給她發個病危通知書，我就沒后顧之憂啦！呵呵~畢竟是要好的×××妹，爽快答應，說反正也是要重裝，好歹來試試，權當死馬當活馬醫吧 。
?
手術開始：
1.????? 重啟電腦，進入安全模式，拉出360安全衛士掃描出那個惡意插件——Orzhz廣告程序，暫時不清理它，同時點擊開始-運行，輸入“cmd”，打開命令輸入窗口，準備待命。
2.????? 右擊任務欄，打開Windows任務管理器，點擊“映像名稱”進行排序，看到有5個Svchost.exe，選中右擊，選擇“結束進程”，進行關閉，（注意一個也別拉下）在關到最后第二個時，系統會出現一個類似中了沖擊波病毒的對話窗口，并倒計時關機，這是由于該Svchost.exe進程引導RPC服務，終止該進程則導致RPC服務中斷，系統會重新啟動，這時動作要快，切換到命令輸入窗口，輸入“shutdown -a”（不包括引號）敲回車確定，這是解除自動重啟命令。
3.????? 回過來切換到360安全衛士，點擊“立即清理”按鈕，Orzhz廣告程序順利被清除，只是到此階段***還沒有被完全清除，真正的“毒根”還留在電腦內，需要清理干凈，否則它隨時還會出現。
4.????? 打開金山急救箱，深入掃描，有4個異常項：
a.????? (異常項)存在異常的瀏覽器快捷方式；
b.????? (異常項)組策略設置存在異常；
c.?????? (異常項)MP3播放漏洞，
d.????? (啟動項)PowerFlash Class
由于在前面已經使用過金山急救箱，并沒有修復成功，所以這次只對前3個異常項點擊進行修復，對第4個我決定不修復，而打開詳細查看所在位置再進入注冊表進行刪除。詳細如下：
描述：系統啟動項發現異常
位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsocft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DC888631-57F5-4AF4-86B3-BDE5F854DCBF}
文件：C:\\windows\system32\pwfsh.dll
5.????? 點擊開始-運行，輸入“regedit”，打開注冊表，搜索所有與“pwfsh.dll”相關的項或數據，找到下面兩處存在pwfsh.dll：
a. HKEY_CLASSES_ROOT\TypeLib\{C3F4AE31-32C0-4D31-A90C-7B774CA8683D}\1.0（這里只有一個數值數據pwfsh.dll）
?
b. HKEY_CURRENT _USER\SOFTWARE\Microsocft\Internet Explorer\Explorer Bars\{C4EF31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU(在此文件夾下有4個數值分別為000、001、002、003，相對應的數值數據分別為pwfsh.dll、pwrep.chi、fsrip.exe、fsrep.exe)
?
6.????? 把以上的數值全部刪除，（注意：第一次操作注冊表的，請在刪除之前先導出注冊表備份到其它盤內，以便在誤刪時有個補救余地）我想想還是不放心，打開360殺毒進行全盤掃描，又掃描出3個病毒：
C:\Recycled\qkf.dat??? 蠕蟲病毒(Worm.Genoric.233646)
C:\Recycled\lip.dat???? 可疑***（Trojan.Generic.3598164）
C:\Eindows\system32\niprp.dll?? 可疑***（Trojan.Generic.3598164）
掃描到一半意外中止，看來清除的還不夠干凈，再次進入注冊表，查找niprp.dll，找到下面該處
HKEY_CURRENT _USER\SOFTWARE\Microsocft\Internet Explorer\Explorer Bars\{C4EF31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU(在此文件夾下有3個數值分別為000、001、002，相對應的數值數據分別為niprp.dll、pwrfshdll、ntdact.log)
7.????? 同樣對上述數值進行刪除，讓電腦重新啟動后仍進入安全模式，用360安全衛士再一次進行掃描，這回惡意插件不再出現，重啟進入正常桌面，至此電腦里的***病毒已被連根拔除。
??? OK，手術成功。 ? ?

轉載于:https://blog.51cto.com/linger/318959

總結

以上是生活随笔為你收集整理的跟恶意插件的较量：手工清除Orzhz广告程序的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。