kernel32.sys、mfc48.dll、java.dll的简单分析与解决

释放文件
%system%\kernel32.sys
%system%\java\classes\java.dll
%system%\mfc48.dll
I:\autorun.inf （I为移动存储设备名称）
I:\RECYCLER\RECYCLER\autorun.exe

修改或添加注册表信息
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{EE143DCD-4AFB-4145-A3A6-08764B82FCEF} -->%system%\java\classes\java.dll
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\]
AppInit_DLLs --->%system%\kernel32.sys (处理时删除此项，使得AppInit_DLLs指向为空)

修改注册表使得无法显示所有隐藏文件
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
右侧 ShowSuperHidden 为0x00000000(0)
修复时将0x00000000(0)更改为0x00000001(1)

mfc48.dll插入部分系统进程，使之无法被清除

解决办法：
1、关闭所有应用程序，如IE浏览器等
2、使用冰刃IceSword删除kernel32.sys
3、修改病毒添加的所有注册表信息，参照上面分析中红字部分
4、使用Unlocker解锁删除mfc48.dll、java.dll
5、文中所涉及工具及使用办法在反病毒常用工具里均有下载
6、如果移动盘符染毒，可以使用鼠标右键打开U盘，按照分析中所列举进行删除