症狀是：用IE時，會時不時彈出某網站的網頁，用防毒軟體查到MSRundll。exe這個病毒，病毒檔案在c：/windows/system32/裡，防毒軟體殺不了，進入安全模式手工刪除之後重啟又出現，用超級兔子、最佳化大師、黃山IE修復專家都搞不定，怎麼辦？

wangbinlong521和aogog提供的方法也行不通

dawn破曉的曙光 2007-04-20

1。 防毒前關閉系統還原（Win2000系統可以忽略）：右鍵 我的電腦 ，屬性，系統還原，在所有驅動器上關閉系統還原 打勾即可。

清除IE的臨時檔案：開啟IE 點工具——>Internet選項 ： Internet臨時檔案，點“刪除檔案”按鈕 ，將 刪除所有離線內容 打勾，點確定刪除。

關閉QQ等應用程式。進行如下操作前，所有下載的工具都直接放桌面上。

2。清理系統垃圾檔案

ATF CLEANER： http：//hzqedison。mm9mm。com/hanhua/ATF-Cleaner-cn。exe

3。用強制刪除工具XDelBox（檔案刪除終結者）刪除下面列出的檔案。

下載地址： http：//post。baidu。com/f？kz=158203765

【刪除時複製所有要刪除檔案的路徑，在待刪除檔案列表裡點選右鍵選擇從剪貼簿匯入。匯入後在要刪除檔案上點選右鍵，選擇立刻重啟刪除，電腦會重啟進入DOS介面進行刪除操作，刪除完成後會自動重啟進入你安裝的作業系統。操作前注意儲存電腦中正在開啟的文件。有關XDelBox的詳細說明請看xdelbox1。2目錄下help。chm。】

【友情提醒1：有找不到提示的，請一個檔案一個檔案的輸入“檔案路徑”中，不存在的忽略即可】

【友情提醒2：重要！ 不管您以前有無下載過XDelbox，請按崔老師的連結下載最新的1。2版！以防系統崩潰。】

C：\Documents and Settings\All Users\Templates\temp。exe

c：\windows\system32\lfrmewrk。exe

c：\windows\system32\f1959a0a。exe

c：\windows\system32\ravwm。exe

c：\windows\mppds。exe

c：\windows\msccrt。exe

c：\windows\winform。exe

c：\windows\shualai。exe

c：\windows\shuailai。exe

c：\windows\shalai。exe

c：\windows\jbcs。exe

c：\docume~1\防沉迷\locals~1\temp\upxmdnd。exe

c：\docume~1\防沉迷\locals~1\temp\c0nime。exe

C：\WINDOWS\chkfat。exe

C：\WINDOWS\system32\MSRundll。exe

c：\program files\common files\system\updaterun。exe

c：\windows\system32\drivers\sctqb。sys

c：\windows\system32\drivers\xinstall。sys

d：\qq\npkycryp。sys

d：\qq\npkcrypt。sys

c：\windows\system32\cdcd。sys

c：\windows\system32\drivers\bootdrv。sys

c：\windows\system32\drivers\bhaaicji。sys

c：\progra~1\pvap\qwbq。dll

C：\WINDOWS\system32\shualai。dll

C：\WINDOWS\system32\shuailai。dll

C：\WINDOWS\system32\shalai。dll

C：\WINDOWS\system32\F1959A0A。DLL

C：\WINDOWS\system32\winsock32。dll

C：\WINDOWS\system32\jbcs。dll

C：\WINDOWS\system32\winform。dll

C：\WINDOWS\system32\msccrt。dll

C：\WINDOWS\system32\mppds。dll

C：\DOCUME~1\防沉迷\LOCALS~1\Temp\Gjzo0。dll

C：\DOCUME~1\防沉迷\LOCALS~1\Temp\upxmdnd。dll

C：\WINDOWS\system32\ss。dll

C：\WINDOWS\system32\crjbf。dll

C：\WINDOWS\system32\bofang。dll

————————————————————————————————

3。 用工具 SREng 刪除如下各項

下載及其使用方法看下面的連結【有圖解】，看懂再下手操作！

http：//hi。baidu。com/teyqiu/blog/ 。。。 2346ec54e72351。html

【如下操作有風險，必須看懂上面的方法再操作。】

【開啟SREng後提醒“函式的內容與預期值不符他們可能被一些惡意的軟體所修改”的錯誤請忽略，裝殺軟後的正常修改。】

==================================

啟動專案 ——>登錄檔之如下項刪除：

［WinlogonNotify： MicroQC］

［wbwk］

［System］

［upxmdnd］

［mppds］

［msccrt］

［winform］

［shualai］

［shuailai］

［shalai］

［jbcs］

［exw］

注意該項［shell］修改：

把

修改為即清除Explorer。exe後面的內容

啟動專案 ——>服務——>Win32服務應用程式 的如下項刪除

（執行SRENG——->啟動專案——->服務——->win32服務應用程式——->勾選“隱藏已認證的微軟專案”——->選擇要刪除的服務——->選擇刪除服務——->點選設定——->出現提示裡選擇No（否），確認刪除。）

［error monitor / EmonSrv］

［F1959A0A / F1959A0A］

［WinWMService / WinWMService］

啟動專案 ——>服務——>驅動程式的如下項刪除（如果刪不掉，就設定型別為disabled！）

（執行SRENG——->啟動專案——->服務——->驅動程式——->勾選“隱藏已認證的微軟專案”——->選擇要刪除的驅動程式——->選擇刪除服務——->點選設定——->出現提示裡選擇No（否），確認刪除。）

［sctqb / sctqb］ <\SystemRoot\System32\DRIVERS\sctqb。sys>

［xinstall / xinstall］ <\？？\C：\WINDOWS\system32\drivers\xinstall。sys>

［npkycryp / npkycryp］ <\？？\D：\QQ\npkycryp。sys>

［npkcrypt / npkcrypt］ <\？？\D：\QQ\npkcrypt。sys>

［Cdsys / Cdsys］ <\？？\C：\WINDOWS\system32\cdcd。sys>

［bootdrv / bootdrv］ <\SystemRoot\System32\Drivers\bootdrv。sys>

［bhaaicji / bhaaicji］ <\SystemRoot\system32\drivers\bhaaicji。sys>

SREng 修復 位置：系統修復——-> 檔案關聯 點全選，點“修復”

系統修復——-> HOSTS檔案——-> 重置

==================================

4、把QQ卸了重灌QQ一次。。。 （這步特別重要！！）

5、最後用 下文推薦的工具清理（WINDOWS清理助手與360安全衛士） 把能檢測到的全選後點清理（刪除）參考

http：//post。baidu。com/f？kz=149133630

6、完成後再用正版殺軟在安全模式下掃描一次。。。

最佳部落格 2007-04-15

1。用中文版ewido查殺，自動免費升級。

最新的木馬查殺軟體ewido-setup_4。0。0。172c中文！自動更新！不返彈！［原創］

下載安裝地址：

東東的藏寶閣：http：//hi。baidu。com/zhaodx/blog/item/bdc08810b7e53001213f2e42。html

或者

2。多種方法徹底阻止彈出視窗

作者：陳登雲

近期許多朋友打電話諮詢，有關IE自動彈出視窗的問題，為此本站根據大家需要，緊急整理本文，希望解決大家的問題，現在有很多網站都會莫名彈出一些廣告視窗，可惡之極，為此丁香魚網路（www。luckfish。net。cn）教大家一個技巧，利用winxp sp2功能來阻止彈窗程式。

本文向您講述如何在執行 Windows XP Service Pack 2 的計算機上配置彈出視窗阻止程式。彈出視窗阻止程式是 Internet Explorer 中的一項新功能。此功能會阻止大多數不需要的彈出窗口出現。預設情況下，彈出視窗阻止程式是開啟的，在開啟彈出視窗阻止程式時，自動彈出視窗和後臺彈出視窗會被阻止，但由使用者開啟的彈出視窗仍然以正常方式開啟，以下介紹三種方法，供您選擇，如有問題，可以隨時到本站留言，本站每天24小時值守留言板，保證每天第一時間回覆您的問題。

方法一：如何開啟彈出視窗阻止程式

注意：預設情況下，彈出視窗阻止程式是開啟的。只有在其被關閉時才必須將其開啟。

1。 單擊“開始”，指向“所有程式”，然後單擊“Internet Explorer”。

2。 在“工具”選單上，指向“彈出視窗阻止程式”，然後單擊“啟用彈出視窗阻止程式”以開啟彈出視窗阻止程式，或者單擊“關閉彈出視窗阻止程式”以關閉彈出視窗阻止程式。

一、從“Internet 選項”

要從“Internet 選項”配置彈出視窗阻止程式，請按照下列步驟操作：

1。 單擊“開始”，指向“所有程式”，然後單擊“Internet Explorer”。

2。 在“工具”選單上，單擊“Internet 選項”。

3。 單擊“隱私”選項卡，然後選中“阻止彈出視窗”複選框以開啟彈出視窗阻止程式，或者清除“阻止彈出視窗”複選框以關閉彈出視窗阻止程式。

4。 單擊“應用”，然後單擊“確定”。

二、如何配置彈出視窗阻止程式設定

可以配置以下彈出視窗阻止程式設定：

允許網站列表

可以透過將某個網站新增到“允許的站點”列表中，從而允許在該網站中開啟彈出視窗。為此，請按照下列步驟操作：

1。 單擊“開始”，指向“所有程式”，然後單擊“Internet Explorer”。

2。 在“工具”選單上，指向“彈出視窗阻止程式”，然後單擊“彈出視窗阻止程式設定”。

3。 在“要允許的網站地址”框中，鍵入網站的地址，然後單擊“新增”。

4。 單擊“關閉”。

三、阻止所有彈出視窗

要阻止所有彈出視窗（包括由使用者開啟的彈出視窗），請按照下列步驟操作：

1。 單擊“開始”，指向“所有程式”，然後單擊“Internet Explorer”。

2。 在“工具”選單上，指向“彈出視窗阻止程式”，然後單擊“彈出視窗阻止程式設定”。

3。 在“篩選級別”列表中，選擇“高：阻止所有彈出視窗（使用 Ctrl 替代）”，然後單擊“關閉”。

四、替代鍵

要在已經將篩選級別設定為“高：阻止所有彈出視窗（使用 Ctrl 替代）”時自己開啟一個彈出視窗，可按住 Ctrl 鍵，然後開啟彈出視窗。

五、配置聲音

要在彈出視窗被阻止時播放聲音，請按照下列步驟操作：

1。 單擊“開始”，指向“所有程式”，然後單擊“Internet Explorer”。

2。 在“工具”選單上，指向“彈出視窗阻止程式”，然後單擊“彈出視窗阻止程式設定”。

3。 選中“阻止彈出視窗時播放聲音”複選框，然後單“關閉”。

六、如何為被視為安全的區域配置彈出視窗阻止程式

因為“受信任的站點”和“本地 Intranet”Web 內容區域被視為安全的，所以決不會阻止其彈出視窗。要為這些區域配置彈出視窗阻止程式，請按照下列步驟操作：

1。 單擊“開始”，指向“所有程式”，然後單擊“Internet Explorer”。

2。 在“工具”選單上，單擊“Internet 選項”。

3。 單擊“安全”選項卡，並在“請為不同區域的 Web 內容指定安全設定”框，單擊“本地 Intranet”。

4。 單擊“自定義級別”，在“使用彈出視窗阻止程式”下，單擊“啟用”以開啟彈出視窗阻止程式，或者單擊“禁用”以關閉彈出視窗阻止程式。

5。 單擊“確定”兩次。

6。 重複執行步驟 1 至 2。

7。 單擊“安全”選項卡，並在“請為不同區域的 Web 內容指定安全設定”框內單擊“受信任的站點”。

8。 單擊“自定義級別”，在“使用彈出視窗阻止程式”下，單擊“啟用”以開啟彈出視窗阻止程式，或者單擊“禁用”以關閉彈出視窗

阻止程式。

9。 單擊“確定”兩次。

方法二：如何使用登錄檔項配置彈出視窗阻止程式

配置整個彈出視窗阻止程式

1。 單擊“開始”，單擊“執行”，鍵入 regedit，然後單擊“確定”。

2。 找到並單擊下面的登錄檔子項：

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_WEBOC_POPUPMANAGEMENT

3。 雙擊“Iexplore。exe”

4。 要關閉整個彈出視窗阻止程式，請在“數值資料”框中，鍵入 0，然後單擊“確定”。或者，要開啟整個彈出視窗阻止程式，請在“數值資料”框中，鍵入 1，然後單擊“確定”。

為每個區域配置彈出視窗阻止程式

下面任一登錄檔子項下的每個數字分別代表一個不同的區域：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones

對於每個區域下的 1809，資料值 3 表示禁用彈出視窗阻止程式。資料值 0 表示啟用彈出視窗阻止程式。

方法三：如何使用組策略配置彈出視窗阻止程式

配置整個彈出視窗阻止程式

1。 單擊“開始”，單擊“執行”，鍵入 gpedit。msc，然後單擊“確定”。

2。 依次展開“使用者配置”、“管理模板”、“Windows 元件”和“Internet Explorer”。

3。 根據所需設定來設定“關閉彈出視窗管理”，必須更新策略或重新啟動計算機，才能應用更改。

為每個區域配置彈出視窗阻止程式

1。 單擊“開始”，單擊“執行”，鍵入 gpedit。msc，然後單擊“確定”。

2。 依次展開“使用者配置”、“管理模板”、“Windows 元件”、“Internet Explorer”、“Internet 控制面板”和“安全頁”，然後選擇所需區域。

3。 根據所需設定來設定“使用者彈出視窗阻止程式”。必須更新策略或重新啟動計算機，才能應用更改。

方法四：最簡單的方法，重新註冊IE元件（9月2日凌晨01：16更新）

1、IE莫名跳窗應該是惡意廣告程式作怪，可以按以下方法修復：

重新註冊IE項，修復IE註冊。從開始->執行

輸入命令 regsvr32 actxprxy。dll 確定

輸入命令 regsvr32 shdocvw。dll 確定

2、跳窗網頁可能保留在HOSTS，一經上網就先觸發該網址為預設，就會自動開啟，檢查HOSTS：

用記事本在C：\WINDOWS\system32\drivers\etc\目錄下開啟HOSTS

在裡面檢查有沒有網址，有則刪除。

或在前面加127。0。0。1 儲存後遮蔽掉。 （方法四經測試有效）

單純冰點 2007-04-14

1。 防毒前關閉系統還原（Win2000系統可以忽略）：右鍵 我的電腦 ，屬性，系統還原，在所有驅動器上關閉系統還原 打勾即可。

清除IE的臨時檔案：開啟IE 點工具——>Internet選項 ： Internet臨時檔案，點“刪除檔案”按鈕 ，將 刪除所有離線內容 打勾，點確定刪除。

關閉QQ等應用程式。進行如下操作前，所有下載的工具都直接放桌面上。

2。清理系統垃圾檔案

ATF CLEANER： http：//hzqedison。mm9mm。com/hanhua/ATF-Cleaner-cn。exe

3。用強制刪除工具XDelBox（檔案刪除終結者）刪除下面列出的檔案。

下載地址： http：//post。baidu。com/f？kz=158203765

【刪除時複製所有要刪除檔案的路徑，在待刪除檔案列表裡點選右鍵選擇從剪貼簿匯入。匯入後在要刪除檔案上點選右鍵，選擇立刻重啟刪除，電腦會重啟進入DOS介面進行刪除操作，刪除完成後會自動重啟進入你安裝的作業系統。操作前注意儲存電腦中正在開啟的文件。有關XDelBox的詳細說明請看xdelbox1。2目錄下help。chm。】

【友情提醒1：有找不到提示的，請一個檔案一個檔案的輸入“檔案路徑”中，不存在的忽略即可】

【友情提醒2：重要！ 不管您以前有無下載過XDelbox，請按崔老師的連結下載最新的1。2版！以防系統崩潰。】

c：\windows\system32\lfrmewrk。exe

C：\WINDOWS\system32\MSRundll。exe

C：\WINDOWS\system32\bofang。dll

c：\windows\system32\cpuz。sys

c：\windows\system32\cdcd。sys

c：\windows\system32\keycrypt。sys

c：\windows\system32\drivers\xinstall。sys

————————————————————————————————

3。 用工具 SREng 刪除如下各項

下載及其使用方法看下面的連結【有圖解】，看懂再下手操作！

http：//hi。baidu。com/teyqiu/blog/item/f706213fc52346ec54e72351。html

【如下操作有風險，必須看懂上面的方法再操作。】

【開啟SREng後提醒“函式的內容與預期值不符他們可能被一些惡意的軟體所修改”的錯誤請忽略，裝殺軟後的正常修改。】

==================================

啟動專案 ——>服務——>Win32服務應用程式 的如下項刪除

（執行SRENG——->啟動專案——->服務——->win32服務應用程式——->勾選“隱藏已認證的微軟專案”——->選擇要刪除的服務——->選擇刪除服務——->點選設定——->出現提示裡選擇No（否），確認刪除。）

［error monitor / EmonSrv］

啟動專案 ——>服務——>驅動程式的如下項刪除（如果刪不掉，就設定型別為disabled！）

（執行SRENG——->啟動專案——->服務——->驅動程式——->勾選“隱藏已認證的微軟專案”——->選擇要刪除的驅動程式——->選擇刪除服務——->點選設定——->出現提示裡選擇No（否），確認刪除。）

［cpuz / cpuz］ <\？？\C：\WINDOWS\system32\cpuz。sys>

［Cdsys / Cdsys］ <\？？\C：\WINDOWS\system32\cdcd。sys>

［QKeyServiceDisplay / QKeyService］ <\SystemRoot\system32\KeyCrypt。sys>

［xinstall / xinstall］ <\？？\C：\WINDOWS\system32\drivers\xinstall。sys>

==================================

4、把QQ卸了重灌QQ一次。。。

5、最後用 下文推薦的工具清理（第一個 WINDOWS清理助手） 把能檢測到的全選後點清理（刪除）參考

http：//post。baidu。com/f？kz=149133630

6、完成後再用正版殺軟在安全模式下掃描一次。。。

鞠程龍 2007-04-13

Ruango？軟告？ 軟告工作室的又一新作！其具體特徵有：在開始選單——>程式——>啟動裡生成ruango啟動項，而且無法刪除乾淨。等一刷先 ，就重新出現。已經MSCONFIG“系統配置實用程式”啟動專案裡自動生成ruango，（命令為C：\WINDOWS\system32\MSRundll。exe；C：\Program Files\Common Files\ruango\player。dll）。

經過簡單分析後發現，ruango在 C：\Program Files\Common Files目錄下產生ruango 資料夾和C：\WINDOWS\system32\MSRundll。exe以及c：\windows\system32\drivers\fkwld。sys，c：\windows\system32\dipus。dll，C：\WINDOWS\pss\ruango。lnkCommon Startup在跟上次“軟告工作室”病毒一樣，ruango也是一驅動型病毒。其主程式也是很難清除。即使將其粉碎，等再重新整理，檔案又回來了。所以，對待這頑固的病毒，我需要準備幾樣工具。

1、冰刃-IceSword

下載地址：http：//www。crsky。com/soft/6947。html

2、System Repair Engineer（SRENG）

下載地址：http：//www。kztechs。com/sreng/download。html

準備工作：進入登錄檔破解病毒檔案保護功能，開始——>執行——>regedit，點我的電腦 ctrl+F 查詢目標 fkwld。sys 、ruango 、MSRundll。exe 選上檢視中的“項（K）”、“值（V）”、“資料（D）”。查詢並刪除相關的鍵值。一定要按F3一直搜尋直到系統提示“登錄檔搜尋完畢”為止。

然後再執行冰刃-IceSword 。設定如下

IceSword——>檔案——>設定——>禁止協件功能——>確定。檔案——>重啟並監視。

圖一

檔案——>設定

圖二

——>禁止協件功能&禁止進執行緒建立——>確定

圖三

——> |檔案——>重啟並監視|

重啟並監視————（重啟計算機）

F8進入安全模式

一、刪除ruango資料夾

進入安全模式，將C：\Program Files\Common Files 的Common Files改成 Common File。刪除ruango資料夾（如果ruango資料夾能直接刪除，當然就不用改名了）。然後再把檔名改回Common Files

移動C：\WINDOWS\system32\rundll32。exe、C：\WINDOWS\system32\MSRundll。exe。至安全的檔案中。

二、刪除、粉碎病毒檔案

（由於手工清理病毒，存在誤操作，所以刪除檔案前可以將檔案進行備份，如將MSRundll。exe該成MSRundll。exe。bak）

粉碎檔案

c：\windows\system32\drivers\fkwld。sys

C：\Documents and Settings\All Users\「開始」選單\程式\啟動\ruango

fkwld。sys是問題的關鍵。能否成功粉碎，直接關係到防毒的成敗。此步，必須在保證IceSword的禁止協進功能已經起用的條件下進行。

要是這樣方法不能刪除fkwld。sys，我們可以透過使用SRENG來解決。方法如下：

執行SRENG——->啟動專案——->服務——->驅動程式——->選擇要刪除的驅動——->選擇刪除服務——->點選設定——->出現提示裡選擇否，確認刪除。（不能刪除就禁用：啟動型別改為disabled，點中修改啟動型別，點設定

刪除的驅動為：［fkwld / fkwld］［Running/System Start］

刪除啟動專案——->啟動資料夾

［ruango］

C：\WINDOWS\system32\MSRundll。exe ［N/A］>

刪除檔案

c：\windows\system32\dipus。dll

C：\WINDOWS\system32\MSRundll。exe

C：\WINDOWS\pss\ruango。lnkCommon Startup

三、清理登錄檔

開始——>regedit。分別搜尋dipus。dll、fkwld。sys、ruango等關鍵字，刪除相關鍵值。

重新啟動計算機。

最後，將rundll32。exe剪下回C：\WINDOWS\system32\ 即可。

另外，該程式會自動下載病毒，如：c：\WINDOWS\system32\RUNDLL2000。EXE 、 c：\WINDOWS\system32\11747188127。exe，c：\WINDOWS\system32\1174*****。exe，自己可以在system32目錄下，點選右鍵——>排列圖示（I）——>修改時間（M）。下拉到資料夾的最下頭，找到類似的11747****。exe程式，刪掉即可。其餘病毒殘留檔案，可以透過殺軟查殺。

一點補充：在刪除檔案的時候，有的朋友可能會無法粉碎 c：\windows\system32\drivers\fkwld。sys 驅動檔案。這裡推薦另一款軟體 unlocker 。

1。下載 Unlocker

2。解壓縮，執行安裝，按照預設的方式安裝，當然你也可以自定義

3。安裝完畢後，瀏覽到c：\windows\system32\drivers

4。右鍵單擊檔案fkwld。sys ，選擇Unlocker

5。單擊後出現視窗，選擇全部解鎖

6。右鍵刪除檔案fkwld。sys 即可。

網友4a520cd 2007-04-13

按F8進入安全模式，之後找到這個病毒檔案的根目錄c：\program files\common files，病毒檔案是底下的ruango並且不能修改名稱是吧，但是在安全模式下common file可以改名，修改之，之後進去刪除資料夾ruango，發現什麼了？病毒不能回來了，此時它就乖乖的呆在垃圾箱了，還等什麼？刪除啊！最後再把common files這個檔名改回來就是！

1如果，能進入安全模式的 話，就進入安全模式下

2在系統盤裡，找到msrundll。exe和msrundll。dll檔案，一般會在c：/windows/system32/裡，找到後清除

3再用超級兔子或正版最佳化大師最佳化下系統即可，也可用正版殺軟重新徹底掃描下系統盤和 其他盤

4從新啟動到，正常模式下即可

個人建議：僅供參考。