一、如果您的系统提示"找不到ff_vfw.dll"或"ff_vfw.dll缺失" 或者"ff_vfw.dll错误"等等，请不用担心，请把ff_vfw.dll下载到本机。

二、直接拷贝该文件到系统目录里：

　　 1、Windows 95/98/Me系统，将ff_vfw.dll复制到C:WindowsSystem目录下。

　　 2、Windows NT/2000系统，将ff_vfw.dll复制到C:WINNTSystem32目录下。

　　 3、Windows XP/WIN7系统，将ff_vfw.dll复制到C:WindowsSystem32目录下。

三、然后打开"开始-运行-输入regsvr32 ff_vfw.dll"，回车即可解决错误提示！希望多特软件站为您提供的ff_vfw.dll对您有所帮助！

一、worm.win32.download.gbb

文件名称：niu.exe

文件大小：30625 bytes

AV命名：Virus.Win32.AutoRun.of(Kaspersky)

加壳方式：FSG

编写语言：Delphi

病毒类型：U盘病毒\下载者

文件MD5：e9612843c037fe7b62ded850bf4689c1

传播方式：U盘等移动介质\网页漏洞。

行为分析：

1、释放病毒副本：

%Systemroot%\system32\crsss.exe 30625字节（注意区别，不是系统文件！）

并查找可用的磁盘，在其目录生成：NIu.exe和Autorun.inf。

2、释放P处理，开启自动播放？

net start shellHWDetection

3、连接60.175.150.1**（安徽省滁州市电信IDC机房）下载木马。

下了一大堆。。。:

盗号木马品种有：热血江湖\诛仙\完美世界\大话西游\梦幻西游\机战

还带有ARP病毒。。。

4、尝试修改IE主页，不过测试时并未实现，更新地址连接：

看了下，是百度的。

5、释放P处理，尝试写入注册表IFEO键值，不过测试时并未实现。。。

如果成功的话，以下进程会被劫持：

REG.exe

360rpt.exe

360Safe.exe

360tray.exe

adam.exe

AgentSvr.exe

AppSvc32.exe

AST.exe

autoruns.exe

avgrssvc.exe

AvMonitor.exe

avp.exe

CCenter.exe

ccSvcHst.exe

FileDsty.exe

HijackThis.exe

FTCleanerShell.exe

IceSword.exe

iparmo.exe

Iparmor.exe

isPwdSvc.exe

kabaload.exe

KASMain.exe

KASTask.exe

KAV32.exe

KAVDX.exe

KAVPFW.exe

KAVSetup.exe

KAVStart.exe

KISLnchr.exe

KMailMon.exe

KMFilter.exe

KPFW32.exe

KPFW32X.exe

KPFWSvc.exe

KRegEx.exe

KsLoader.exe

KvDetect.exe

KvfwMcl.exe

kvol.exe

kvolself.exe

KVSrvXP.exe

kvupload.exe

kvwsc.exe

KWatch.exe

KWatch9x.exe

KWatchX.exe

loaddll.exe

MagicSet.exe

mcconsol.exe

mmqczj.exe

mmsk.exe

NAVSetup.exe

PFW.exe

PFWLiveUpdate.exe

QHSET.exe

Ras.exe

Rav.exe

RavMon.exe

RavMonD.exe

SysSafe.exe

TrojanDetector.exe

symlcsvc.exe

SREng.exe

SmartUp.exe

shcfg32.exe

scan32.exe

safelive.exe

runiep.exe

Rsaupd.exe

RsAgent.exe

rfwsrv.exe

RfwMain.exe

rfwcfg.exe

RegClean.exe

rfwProxy.exe

RavTask.exe

RavStub.exe

Trojanwall.exe

UIHost.exe

UmxAgent.exe

UmxAttachment.exe

UmxCfg.exe

UmxFwHlp.exe

UmxPol.exe

UpLive.EXE.exe

WoptiClean.exe

zxsweep.exe

regedit.exe

msconfig.exe

mmc.exe

taskmgr.exe

6、尝试关闭窗口的一些“敏感字”，连接更新列表

保存至%Systemroot%\system32\test1.txt。

现有列表：

木马

病毒

360

瑞星

卡吧

金山

毒霸

江名（作者自己打错了，汗）

可能导致一些程序或浏览的网页会被关闭。

7、遍历磁盘，查找*htm、INDEX.PHP、DEFAULT.PHP、CONN.ASP等网页文件，插入一段JS代码：

{IfrAmE src= width=0 height=0}{/IfrAmE}

8、查找硬盘文件，有遇到*.GHO的则删除。

可能导致无法使用GHOST还原。

9、释放一个P处理，尝试把crsss.exe写入注册表启动项，不过还是没有实现``=。=

10、尝试修改注册表，使“系统显示隐藏文件功能失效”。使该功能选项成：

禽兽尚有一丝怜悯,我不是禽兽,所以我没有怜悯。

测试时候仍然没有实现。。

并试图删除安全模式一些键值，也没有成功。

11、还是修改注册表，禁用系统自动更新和防火墙。

键值：NoAutoUpdate与EnableFirewall。

12、每几毫秒为周期访问系统可用的磁盘，如发现NIu.exe和Autorun.inf不在则重写。

同时也实现了U盘感染。

解决方法：

1、下载：

图片点击可在新窗口打开查看修复IFEO之XP系统专用.rar 72KB

图片点击可在新窗口打开查看sreng2.5.zip 780KB

图片点击可在新窗口打开查看PowerRmv.com 101KB

图片点击可在新窗口打开查看显示隐藏文件.reg 9KB

2、断开网络，关闭不需要的进程。以下步骤要按顺序。

3、重启电脑，按F8进入安全模式，如果进不了的话，就正常模式吧！

4、打开任务管理器，如果打开不的话，运行那个“修改IFEO之XP系统专用”。

5、打开任务管理器，关闭crsss.exe进程。

6、打开PowerRmv，选上抑制杀灭对象再次生成，填入下面路径：（注意不要包含空隔）

C:\autorun.inf

C:\niu.exe

D:\autorun.inf

D:\niu.exe

E:\autorun.inf

E:\niu.exe

F:\autorun.inf

F:\niu.exe

X:\autorun.inf

X:\niu.exe

C:\Windows\system32\crsss.exe

X为移动盘.

好了，主体都消灭了，还有木马群，还是使用PowerRmv，继续填入,一次一个：

嫌麻烦的去下载Xdelbox。把下列路径导入。

C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp

C:\Program Files\Internet Explorer\PLUGINS\SysWin74.Jmp

C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys

C:\Program Files\Internet Explorer\PLUGINS\WinSys74.Sys

C:\Program Files\winp\actv.ini

C:\Program Files\winp\code.dll

C:\Program Files\winp\lexi.lex

C:\Program Files\winp\play.dll

C:\Program Files\winp\snet.dll

C:\Program Files\winp\stdi.ini

C:\Program Files\winp\stdl.ini

C:\Program Files\winp\stub.dll

C:\Program Files\winp\upme.ini

C:\Program Files\winp\vote.dll

C:\Windows\upxdnd.exe

C:\Windows\Fonts\ardaase.fon

C:\Windows\Fonts\armease.fon

C:\Windows\Fonts\chqiaur.fon

C:\Windows\Fonts\chreaur.fon

C:\Windows\Fonts\chtiaur.fon

C:\Windows\Fonts\enweafx.fon

C:\Windows\Fonts\gejiand.fon

C:\Windows\Fonts\msguasd.fon

C:\Windows\Fonts\mszhasd.fon

C:\Windows\system32\0svchsot.exe

C:\Windows\system32\13temp.exe

C:\Windows\system32\17temp.exe

C:\Windows\system32\18temp.exe

C:\Windows\system32\19temp.exe

C:\Windows\system32\1svchsot.exe

C:\Windows\system32\21temp.exe

C:\Windows\system32\2svchsot.exe

C:\Windows\system32\4temp.exe

C:\Windows\system32\8kJk1g.dll

C:\Windows\system32\Autorun.inf

C:\Windows\system32\avpcq.dll

C:\Windows\system32\avpdj.dll

C:\Windows\system32\avpms.dll

C:\Windows\system32\avwgain.dll

C:\Windows\system32\avwgcmn.dll

C:\Windows\system32\avwgcst.exe

C:\Windows\system32\avzxain.dll

C:\Windows\system32\avzxbmn.dll

C:\Windows\system32\avzxbst.exe

C:\Windows\system32\c.txtC:\Windows\system32\d.txt

C:\Windows\system32\dpserio1.dll

C:\Windows\system32\h1.dll

C:\Windows\system32\jshelp.exe

C:\Windows\system32\jsshow.dll

C:\Windows\system32\kawdacs.dll

C:\Windows\system32\kawdbaz.exe

C:\Windows\system32\kawdbzy.dll

C:\Windows\system32\kvdxacf.dll

C:\Windows\system32\kvdxcis.exe

C:\Windows\system32\kvdxcma.dll

C:\Windows\system32\kvmxacf.dll

C:\Windows\system32\kvmxdis.exe

C:\Windows\system32\kvmxdma.dll

C:\Windows\system32\msavp.dll

C:\Windows\system32\mscomm.dll

C:\Windows\system32\nz4iek.dll

C:\Windows\system32\playasp.exe

C:\Windows\system32\raqjani.dll

C:\Windows\system32\raqjapi.dll

C:\Windows\system32\raqjatl.exe

C:\Windows\system32\rarjani.dll

C:\Windows\system32\rarjbpi.dll

C:\Windows\system32\rarjbtl.exe

C:\Windows\system32\ratbani.dll

C:\Windows\system32\ratbdpi.dll

C:\Windows\system32\ratbdtl.exe

C:\Windows\system32\rsjzafg.dll

C:\Windows\system32\rsjzbpm.dll

C:\Windows\system32\rsjzbsp.exe

C:\Windows\system32\test1.txt

C:\Windows\system32\upxdnd.dll

C:\Windows\system32\wxpSetup170.exe

C:\Windows\system32\xyupri0.dll

C:\Windows\system32\drivers\486who07g.sys

C:\Windows\system32\drivers\jshelp.sys

C:\Windows\system32\drivers\jsshow.drv

C:\Windows\system32\drivers\jsshow.sys

C:\Windows\system32\drivers\nnf5v.sys

C:\Windows\system32\drivers\scvhost.exe

C:\Windows\system32\drivers\svchost.exe

C:\Windows\system32\wbem\mopsll32.dll

6、重启系统，打开SREng,删除：

注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

{upxdnd}{C:\winnt\upxdnd.exe} []

{KVP}{C:\winnt\system32\drivers\svchost.exe} []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

ShellExecuteHooks]

{{4D47B341-43DF-4563-753F-345FFA3157D4}}{C:\winnt\system32\kvmxdma.dll} []

{{3C87A354-ABC3-DEDE-FF33-3213FD7447C3}}{C:\winnt\system32\kvdxcma.dll} []

{{3A1247C1-53DA-FF43-ABD3-345F323A48D3}}{C:\winnt\system32\avwgcmn.dll} []

{{46650011-3344-6688-4899-345FABCD1564}}{C:\winnt\system32\ratbdpi.dll} []

{{14783410-4F90-34A0-7820-3230ACD05F41}}{C:\winnt\system32\raqjapi.dll} []

{{22FAACDE-34DA-CCD4-AB4D-DA34485A3422}}{C:\winnt\system32\rsjzbpm.dll} []

{{2859245F-345D-BC13-AC4F-145D47DA34F2}}{C:\winnt\system32\avzxbmn.dll} []

{{28907901-1416-3389-9981-372178569982}}{C:\winnt\system32\kawdbzy.dll} []

{{2598FF45-DA60-F48A-BC43-10AC47853D52}}{C:\winnt\system32\rarjbpi.dll} []

{{E3F426F6-8634-42A5-A29E-BC694A88FB7D}}{C:\winnt\system32\xyupri0.dll} []

{{1AB09B3F-A6D0-4B55-B87D-264934EBEAED}}{C:\Program Files\Internet Explorer\PLUGINS\WinSys74.Sys} []

{{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}}{C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys} []

服务：

[Windows svcs RunThem/ svcs][Stopped/Auto Start]

{C:\winnt\System32\svchost.exe-k netsvcs--}C:\PROGRA~1\winp\snet.dll}{}

[ServiceJsHelp/ ServiceJsHelp][Running/Auto Start]

{C:\winnt\system32\playasp.exe}{}

驱动：

[nnf5v/ nnf5v][Running/Auto Start]

{\??\C:\winnt\system32\drivers\nnf5v.sys}{N/A}

[486who07g/ 486who07g][Running/Boot Start]

{\SystemRoot\System32\DRIVERS\486who07g.sys}{N/A}

（可能名字不一样。）

7、SREng，编辑注册表，注意不是删除：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

{shell}{Explorer.exe jshelp.exe} []

这个SRENG会自动修复，如果没有修复的话，把后面jshelp.exe去掉，成：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

{shell}{Explorer.exe} []

还有这个：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

{AppInit_DLLs}{rarjbpi.dll} []

置空，成：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]

{AppInit_DLLs}{} []

8、把下载的工具导入，修复显示隐藏项。如果安全模式被破坏的，用SRENG修复``

9、还有那些被插代码的网页，去我网盘下载清除：

iframekill.rar 212KB

用法很简单，就不费话了。

10、如果防火墙和自动更新被禁用了的话，打开注册表，删除：

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU下的：

NoAutoUpdate和AUOptions键值。

还有：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\

StandardProfile

的EnableFirewall键。

11、修改QQ、网游等密码。

二、开机提示c:/windows/system32/ff_vfw.dll出错

中过毒或者没有正常卸载软件吧？

系统中残留得启动项目

去掉该启动项目

具体的方法去

1..使用使用配置项开始－运行－msconfig－启动选项卡找到键值为或包含

c:/windows/system32/ff_vfw.dll

的那一行，将前边的对构去掉，重启机器

2..也可以通过在注册表中删除相应的键来达到相应的目的方法：开始－运行－regedit－确定打开注册表编辑器

一般是在一下两个位置下

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

在里边找到以c:/windows/system32/ff_vfw.dll为键值或者包含

ff_vfw.dll键右键删除就可以了

如果对注册表不是很熟悉

建议使用方法一

楼上的说话有点不负责任啊，重新做系统更麻烦。不到迫不得已是不会用到这招的。

祝你好运

csiaoyu