各类常见病毒解决办法。不断更新中。。[注明转载收集]

幸运的西瓜

ADWare.Win32.Boran.w病毒清除办法

病毒名称：not-a-virus:ADWare.Win32.Boran.w

病毒文件包括：stdup.dll    stdact.dll   stdplay.dll   stdstub.dll   stdupnet.dll   stdvote.dll alsmt.exe albus.dll    albus.dat   alpst.dat 等等

清除办法一：
把[控制面板]-[添加/删除程序]里面的winStdup删除，然后用卡巴全盘杀毒即可。

清除办法二：
         1.到C:\WINDOWS\SYSTEM32下面,将所有文件按修改日期排序,,,,,找到stdstub.dll这个文件,看其修改建立日期,然后再找到一些和它名字差不多的文件,一般都是.DLL文件,看到建立日期和那个文件一样的,全删了,大致有这些文件:

            stdup.dll    stdact.dll   stdplay.dll   stdstub.dll   stdupnet.dll   stdvote.dll alsmt.exe albus.dll    albus.dat   alpst.dat 等等,你注意看一下建立日期,如果删不掉,就用我推荐的那个工具-----unlocker

          2,以上文件中,其中有albus.dll ,albus.dat这好像又是一个病毒,好像与之关联起来了.这个病毒 我好像之前有提过的,光删了albus.*文件是不行的,要删掉它的驱动文件 ,在c:\windows\system32\drivers\目录下,名為:albus.sys删掉

          3.他删掉以上文件后,就到註册表里去狂搜,搜的关键值為第一步里的那些文件名字,一个一个的搜,把搜到的键值,不管是主键还是键值,全删了,到这基本上就搞定了.    註册表里的项大部分是在 :HKEY_LOCAL_MACHINE下面的SOFTWARE下有个ALBUS键,删之,还有也是在HKEY_LOCAL_MACHINE下面, 是在SYSTEM下面的CONTROLSET001和003下面的ENUM下面的ROOT下面的LEACY_ALBUS和LEACY_STDUPENT,连著主键全删了,别外再搜下,alsmt.exe 等,搜到删,不用客气,这样就应该OK了.

           4.杀完后,重新啟动，病毒清除完毕。

Trojan-PSW.Win32.OnLineGames.jp病毒分析及解决办法

以下是案例SRE日志中的注册表部分，因为从完整的日志上来看，该病毒只采用了run启动项，红色标记部分为病毒项。(此案例中不仅仅有Trojan-PSW.Win32.OnLineGames.jp，还有其他病毒)
====================================================================
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
       <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>     [(Verified)Microsoft Corporation]
       <MSMSGS><"C:\Program Files\Messenger\msmsgs.exe" /background>     [(Verified)Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
       <load><>     [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
       <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>     [(Verified)Microsoft Corporation]
       <PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>     [(Verified)Microsoft Corporation]
       <PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>     [(Verified)Microsoft Corporation]
       <NVMixerTray><"C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe">     [NVIDIA Corporation]
       <nTrayFw><C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe>     [NVIDIA Corporation]
       <ATIPTA><"C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe">     [ATI Technologies, Inc.]
       <kav><"D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe">     [Kaspersky Lab]
    <mhs3><C:\WINDOWS\mhs3.exe>     [N/A]
       <msccrt><C:\WINDOWS\msccrt.exe>     [N/A]
    <upxdnd><C:\DOCUME~1\DANINZ~1\LOCALS~1\Temp\TIMPLATF0RM.exe>     [N/A]
       <wsttrs><C:\WINDOWS\wsttrs.exe>     [N/A]
       <wsvbs><C:\WINDOWS\wsvbs.exe>     [N/A]
       <UserKill><C:\WINDOWS\system32\5.exe>     [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <twin><C:\WINDOWS\system32\ctfnom.exe>     [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
       <shell><Explorer.exe>     [(Verified)Microsoft Corporation]
       <Userinit><C:\WINDOWS\system32\userinit.exe,>     [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
       <AppInit_DLLs><>     [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
       <UIHost><logonui.exe>     [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}><C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys>     [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cmdmant]
    <WinlogonNotify: cmdmant><msgcom.dll>     [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
       <WinlogonNotify: klogon><C:\WINDOWS\system32\klogon.dll>     [Kaspersky Lab]====================================================================

清除步骤:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
           清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、用SRE修改注册表,删除以下键：
<mhs3>
<msccrt>
<upxdnd>
<wsttrs>
<wsvbs>
<UserKill>
<twin>
{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
<WinlogonNotify: cmdmant>
3、显示“受保护的操作系统文件
     使用unlocker删除以下文件：
                                              C:\WINDOWS\mhs3.exe
                                                 C:\WINDOWS\msccrt.exe
                                                 C:\DOCUME~1\DANINZ~1\LOCALS~1\Temp\TIMPLATF0RM.exe
                                                 C:\WINDOWS\wsttrs.exe
                                                 C:\WINDOWS\wsvbs.exe
                                                 C:\WINDOWS\system32\5.exe
                                                 C:\WINDOWS\system32\ctfnom.exe
                                                 C:\Program Files\Internet Explorer\Connection Wizard\isignup.sys
                                              C:\WINDOWS\system32\msgcom.dll

4、由于C:\WINDOWS\system32\ctfnom.exe驻留内存，在系统关机时能够自我恢复，故需要在C:\WINDOWS\system32\目录下建立名为ctfnom.exe的文件夹以阻止其恢复。

5、重启计算机，病毒清除完毕。

[ 本帖最后由 幸运的西瓜 于 2007-8-11 18:22 编辑 ]

幸运的西瓜

LgSyl.dll病毒清除方法


清除步骤:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
      清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、开始--运行--regedit，打开注册表，点注册表中的"我的电脑"—>点"编辑"—>查找，输入winlog0n.exe ，找到的项目就点右键--删除，按F3继续，直到查找完毕.

3、显示“受保护的操作系统文件”
    使用unlocker删除以下文件：
                                              C:\WINDOWS\winlog0n.exe
                                              C:\WINDOWS\system32\LgSyl.dll

4、重启计算机，病毒清除完毕。

LgSyzr.dll病毒解决方案

技术分析
热血江湖木马，运行后复制自身到Windows目录：%Windows%\iexp1ore.exe
释放dll文件注入进程：%System%\LgSyzr.dll

创建启动项：  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"{随机字符}"="%Windows%\iexp1ore.exe"
清除步骤
1. 开始--运行--regedit，打开注册表，展开到：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
删除 "{随机字符}"="%Windows%\iexp1ore.exe"

2. 重新启动计算机

3. 删除木马文件：
                            %Windows%\iexp1ore.exe
                            %System%\LgSyzr.dll

4. 病毒清除完毕。

LgSym.dll winlog0n.exe iexpl0re.exe病毒解决方案

【技术分析】
木马运行后复制自身到Windows目录：%Windows%\iexpl0re.exe   、winlog0n.exe
释放dll文件注入进程：%System%\LgSym.dll

创建启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"{随机字母}"="%Windows%\iexpl0re.exe"
"{随机字母}"="%Windows%\winlog0n.exe"
【清除步骤】
1. 开始--运行--regedit，打开注册表，展开到：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
删除 "{随机字母}"="%Windows%\iexpl0re.exe"
           "{随机字母}"="%Windows%\winlog0n.exe"

2. 重新启动计算机

3. 删除木马文件：
                    %Windows%\iexpl0re.exe
                     %Windows%\winlog0n.exe
                      %System%\LgSym.dll

4. 病毒清除完毕。
出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-11 18:29 编辑 ]

幸运的西瓜

soundmix.dll病毒清除方法

清除步骤:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
      清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、开始--运行--regedit，打开注册表，点注册表中的"我的电脑"—>点"编辑"—>查找，输入soundmix.dll ，找到的项目就点右键--删除，按F3继续，直到查找完毕. 然后用同样的方法查找soudmax.dll ,找到的项也全部删除.

3、显示“受保护的操作系统文件”
     使用unlocker删除以下文件：
                                              C:\WINDOWS\system32\soundmix.dll
                                              C:\WINDOWS\system32\soudmax.dll

4、重启计算机，病毒清除完毕。

全能搜索 adpu64.sys 病毒清除方法

病毒名称:Trojan-Downloader.Win32.Agent.bcd   (Kapasky)
                （360安全卫士称为全能搜索）
病毒文件:adpu64.sys,   ast.sys,  syschunk.dll

病毒分析:
1、添加run启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<SysChunk><C:\WINNT\system32\syschunk.dll>

2、添加如下服务:
[Vsn xrys Service / xrys]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\qkrl\xrys.dll,Service><N/A> xrys为随机四个英文字母

3、添加如下驱动:
[adpu64 / adpu64]  C:\WINDOWS\system32\drivers\adpu64.sys
[ast / ast]  C:\WINDOWS\system32\drivers\ast.sys

清除步骤:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
       清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、用SRE修改注册表,删除以下键(如果不会，请看SRE的下载及使用方法)：

                                <SysChunk><C:\WINNT\system32\syschunk.dll>

3、用SRE删除下面这个服务(如果不会，请看SRE的下载及使用方法)：

                                [ Vsn xxxx Service]   (xxxx 为随机四个英文字母)

4、用SRE删除以下驱动(如果不会，请看SRE的下载及使用方法)：

                                                [adpu64 / adpu64]  
                                                [ast / ast]  

5、显示“受保护的操作系统文件
    使用unlocker删除以下文件(如果有的话)：

C:\WINNT\system32\syschunk.dll
C:\WINDOWS\system32\drivers\adpu64.sys
C:\WINDOWS\system32\drivers\ast.sys
C:\PROGRA~1\qkrl   (整个文件夹)

6、重启计算机，病毒清除完毕。

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-11 18:32 编辑 ]

幸运的西瓜

PvSec.dll病毒清除方法

清除步骤:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
      清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、用SRE修改注册表,删除以下键：
<{B876D045-E0B1-4E79-9359-0B1BF00813EA}><C:\WINDOWS\system32\filter.dll>
<WebSecurity><C:\WINDOWS\system32\PvSec.dll> [N/A]
<NetWork><C:\WINDOWS\system32\reporter.dll> [N/A]
<{78BF3960-61F0-4F4E-825D-3554FA61E847}><C:\WINDOWS\system32\wmpkn.dll>

3、用SRE删除以下服务和驱动：
[Irmon / Irmon]
[host Service For Windows / mshost]
[system / system]
[1342406 / 1342406]
[LanPort / LanPort]
[sptd / sptd]

4、删除以下浏览器加载项：
[Java Plug-in]{8AD9C840-044E-11D1-B3E9-00805F499D93} <, N/A>
[Java Plug-in]{CAFEEFAC-0014-0001-0003-ABCDEFFEDCBA} <, N/A>
[Java Plug-in]{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} <, N/A>

5、显示“受保护的操作系统文件”
     使用unlocker删除以下文件(如果有的话)：
C:\WINDOWS\system32\filter.dll
C:\WINDOWS\system32\PvSec.dll
C:\WINDOWS\system32\reporter.dll
C:\WINDOWS\system32\wmpkn.dll
C:\WINDOWS\system32\inetsvr.dll
C:\WINDOWS\SYSTEM32\DRIVERS\1342406.SYS
C:\WINDOWS\system32\drivers\LanPort.sys
C:\WINDOWS\System32\Drivers\sptd.sys

6、重启计算机，病毒清除完毕。

RootKit.CallGate.k病毒的解决办法

病毒名称:RootKit.CallGate.k   (瑞星)
病毒特点:变化多端

【手工】(此处所涉及到的病毒文件不具有一般性,仅为一例)
1、关闭系统还原，结束以下进程（如果有的话）：
      svchost.pif ，twunk32.exe

2、卸载QQ，然后删除QQ安装目录；

3、显示“受保护的操作系统文件”
    使用unlocker删除以下文件（如果有的话）：
                                 
                                 C:\Windows\system32\drivers\usbue.sys
                                 C:\WINDOWS\System32\svchost.pif
                                  C:\WINDOWS\System32\twunk32.exe
                                  C:\WINDOWS\System32\drivers\c38656468.sys
                                  C:\WINDOWS\System32\drivers\mipgqiqf.sys
                                  C:\WINDOWS\system32\drivers\zufbvsb.sys

4、用SRE修改注册表，删除以下键（如果有的话）：
   
                                 <svchost.pif><C:\WINDOWS\System32\svchost.pif>
                                  <twin><C:\WINDOWS\System32\twunk32.exe>

5、用SRE删除以下驱动(如果有的话)：

                                    c38656468 / c38656468
                                     zufbvsb / zufbvsb
                                     mipgqiqf / mipgqiqf
                                     usbue / usbue

6、重启计算机，病毒清除完毕。

Trojan.PSW.QQGame.ct病毒清除方案

病毒名称：Trojan.PSW.QQGame.ct（瑞星）
病毒别名：Backdoor.Win32.Bifrose.kt（Kaspersky）
传播方式：通过恶意网站传播，通过其它病毒/木马下载

技术分析:
病毒运行后通过services.exe创建自身到：%System%\mswdm.exe

创建启动项：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"CheckFaultKernel"="%System%\mswdm.exe"

清除步骤
1. 用任务管理器结束进程mswdm.exe

2. 显示“受保护的操作系统文件”
   使用unlocker删除以下文件：
                                        C:\WINDOWS\system32\mswdm.exe

3. 开始--运行--regedit，打开注册表,展开到
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run] ,
删除名为CheckFaultKernel的启动项

4. 病毒清除完毕.

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-11 18:38 编辑 ]

幸运的西瓜

iexp1ore.exe/iexpl0re.exe/winlog0n.exe/alga.exe病毒的清除方案

病毒名称:Worm.Viking

由于Worm.Viking变种繁多,故在清除时不能确定说电脑上就一定存在某某文件,案例之间存在差异.
总结了一下可能存在的病毒文件,给出解决方案如下.

清除方案:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
      清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、开始--运行--regedit，打开注册表，点注册表中的"我的电脑"—>点"编辑"—>查找，输入iexpl0re.exe ，找到的项目就点右键--删除，按F3继续，直到查找完毕. 用同样的方法查找alga.exe    winlog0n.exe    iexp1ore.exe     LgSyzr.dll
(重要提示:注意以上文件的名称,不要与浏览器文件iexplore.exe混淆)

3、显示“受保护的操作系统文件”
     使用unlocker删除以下文件：

                                                   C:\WINDOWS\winlog0n.exe
                                                   C:\WINDOWS\iexpl0re.exe
                                                   C:\WINDOWS\system32\iexp1ore.exe
                                                   C:\WINDOWS\alga.exe
                                                   C:\DOCUME~1\用户名\LOCALS~1\Temp\LgSyzr.dll


4、重启计算机，进入安全模式删除C:\DOCUME~1\用户名\LOCALS~1\Temp\目录里面所有的文件。最后用杀毒软件全盘杀毒。

twunk32.exe病毒的解决办法

清除方案:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
      清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、用SRE修改注册表,删除以下键：
                                                
                                             <twin><C:\WINDOWS\system32\twunk32.exe>

4、显示“受保护的操作系统文件”
     使用unlocker删除以下文件：
                                                   C:\WINDOWS\system32\twunk32.exe

5、重启计算机，病毒清除完毕。

WPRINT.EXE,windhcp.ocx,wsvbs.exe病毒的解决办法

清除方案:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
     清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、用SRE删除以下服务：
                                                
                                                  WPrinter/WPrinter
                                                  Windows DHCP Service / WinDHCPsvc

3、用SRE修改注册表,删除以下键：
                                                
                                             <wsvbs><C:\WINDOWS\wsvbs.exe>

4、显示“受保护的操作系统文件
     使用unlocker删除以下文件：
                                                   C:\WINDOWS\system32\windhcp.ocx
                                                   C:\WINDOWS\SYSTEM32\WPRINT.EXE
                                                   C:\WINDOWS\wsvbs.exe
                                                   C:\DOCUME~1\ding\LOCALS~1\Temp\kwatlog.exe
                                                   C:\WINDOWS\system32\r.dll

5、重启计算机，病毒清除完毕。

iexp1ore.exe和LgSyzr.dll病毒的解决办法
1、开始--运行--regedit，打开注册表,展开到
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
删除值为C:\WINDOWS\iexp1ore.exe的启动项

2、重新启动计算机

3、删除以下病毒文件
      %Windows%\iexp1ore.exe
      %System%\LgSyzr.dll

4、完毕.

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-11 18:43 编辑 ]

幸运的西瓜

Trojan-Downloader.Win32.Aqent.bbb病毒清除方法


病毒名称:Trojan-Downloader.Win32.Aqent.bbb
病毒分类:木马下载器

病毒分析:
       该病毒会从特定的网站自动下载黑客程序并执行。卡巴司基不能清除。通过对该病毒多个案例的分析,我总结出以下两点:
       1、该病毒文件采用随机命名方式,给一般用户的手工查杀带来一定的困难;
       2、该病毒只添加service(服务和驱动),不添加run启动项.

       因此,对于Trojan-Downloader.Win32.Aqent.bbb病毒,只需要查看SRE日志中的服务和驱动部分即可找出病毒文件,然后作出相应处理.

如何从SRE日志中查找该病毒并作出相应处理?
      
下面以一个真实的案例来说明此问题.
案例来源:http://bbs.360safe.com/viewthrea ... &extra=page%3D1
以下是这份SRE日志中的服务和驱动部分,红色字体为注释:
====================================================================
服务
[卡巴斯基反病毒6.0 / AVP]
  <"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r><Kaspersky Lab>
[File Replication / File Replication]
  <C:\WINDOWS\system32\ntfis.exe><N/A>-------------------(病毒文件)
[Human Interface Device Access / HidServ]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[Event Service / Tech]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\nnsdm.dll><Microsoft Corporation>-------------------(病毒文件)
====================================================================
驱动程序
[ADProt / ADProt]
  <\SystemRoot\system32\drivers\ADProt.sys><腾讯科技（深圳）有限公司>
[Service for WDM 3D Audio Driver / ALCXSENS]
  <system32\drivers\ALCXSENS.SYS><Sensaura>
[Service for Realtek AC97 Audio (WDM) / ALCXWDM]
  <system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
[aphz / aphzg]
  <\SystemRoot\System32\DRIVERS\aphzg.sys><N/A>-------------------(病毒文件)
[BaseTDI / BaseTDI]
  <2 - 系统找不到指定的文件。><N/A>-------------------(病毒文件)
[heqetf3 / heqetf38]
  <\SystemRoot\System32\DRIVERS\heqetf38.sys><N/A>-------------------(病毒文件)
[kl1 / kl1]
  <\SystemRoot\system32\drivers\kl1.sys><Kaspersky Lab>
[klif / klif]
  <\??\C:\WINDOWS\system32\drivers\klif.sys><Kaspersky Lab>
[ncio / ncio]
  <system32\DRIVERS\ncio.sys><N/A>-------------------(病毒文件)
[npkycryp / npkycryp]
  <\??\D:\QQ\npkycryp.sys><N/A>-------------------(病毒文件)
[nv / nv]
  <system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[Direct Parallel Link Driver / Ptilink]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[RsAntiSpyware / RsAntiSpyware]
  <\SystemRoot\system32\drivers\RsBoot.sys><Beijing Rising>
[Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139]
  <system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[Secdrv / Secdrv]
  <system32\DRIVERS\secdrv.sys><N/A>
[vwwyoi5 / vwwyoi50]
  <\SystemRoot\System32\DRIVERS\vwwyoi50.sys><N/A>-------------------(病毒文件)
[wcnagie / wcnagie]
  <\SystemRoot\system32\drivers\wcnagie.sys><>-------------------(病毒文件)

====================================================================
【日志分析方法】
       日志中有一个特殊的符号<N/A>,凡是后面有<N/A>的文件都是可疑文件(大多为病毒文件,但不是绝对的),用百度搜索该文件,如果有相关信息表明该文件为病毒文件或者搜索不到任何信息,则认为该文件为病毒文件,找到病毒文件后先用unlocker删除该文件,然后用SRE删除该病毒文件所对应的服务或驱动项即可.

【重要提示】
1、服务中的hidserv.dll和驱动中的secdrv.sys常常不能被SRE识别.但事实上这两个都是系统文件,请勿删除!

2、特别要注意日志中的缩主程序svchost.exe,该程序是用来调用dll文件的,这常常被病毒利用.所以在日志中看到dll文件就要留心,遇到自己不清楚的,就用百度搜索相关信息.只需要删除dll文件,svchost.exe是系统重要文件,不可删除!

________________________________________________________

根据以上日志分析方法,得出针对该案例的解决办法如下:

1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
     清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。  

2、显示“受保护的操作系统文件”
     使用unlocker删除以下文件（如果有的话）：
                                 
                                 C:\windows\system32\nnsdm.dll
                                 C:\WINDOWS\system32\ntfis.exe
                                 C:\WINDOWS\system32\vwwyoi50.dll
                                 C:\WINDOWS\system32\drivers\aphzg.sys
                                 C:\WINDOWS\System32\DRIVERS\heqetf38.sys
                                 C:\WINDOWS\system32\drivers\ncio.sys
                                 C:\WINDOWS\system32\drivers\vwwyoi50.sys
                                 C:\WINDOWS\system32\drivers\wcnagie.sys
                                                               
3、用SRE删除以下服务（如果有的话）：
      
                                  File Replication / File Replication
                                  Event Service / Tech

4、用SRE删除以下驱动（如果有的话）：
      
                                   aphz / aphzg
                                   BaseTDI / BaseTDI
                                   heqetf3 / heqetf38
                                   ncio / ncio
                                   vwwyoi5 / vwwyoi50
                                   wcnagie / wcnagie
                                   
5、重启计算机，全盘杀毒。病毒清除完毕。

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-11 18:50 编辑 ]

幸运的西瓜

winhelp.dll病毒清除方案

病毒名称:Win32.Troj.PSWReXue.Cr
病毒文件:winhelp.dll
病毒分类:木马类

病毒分析:
       该病毒修改注册表创建系统服务 并且注入钩子winhelp.dll病毒模块实现自启动，运行后连接特定服务器开启后门服务，允许恶意攻击者远程控制计算机。

行为分析:
1、释放winhelp.dll到目录C:\WINDOWS\system32\

2、同时在C:\Documents and Settings\用户名\Local Settings\Temp\~BackupFiles 添加诸如d952f971fad7f0f3b0e75200727c38d8.dll木马备份文件

3、添加如下启动项
      [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
      <winhelp><rundll32.exe C:\WINDOWS\system32\winhelp.dll autorun>

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
      <winhelp><rundll32.exe C:\WINDOWS\system32\winhelp.dll autorun>

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
      <internet><C:\Documents and Settings\用户名\Local Settings\Temp\~BackupFiles\\d952f971fad7f0f3b0e75200727c38d8.dll>

__________________________________________________________

清除方案:

1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
    清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、显示“受保护的操作系统文件”
    使用unlocker删除以下文件：
                                 
                                 C:\WINDOWS\system32\winhelp.dll
                                 C:\Documents and Settings\用户名\Local Settings\Temp\~BackupFiles\\d952f971fad7f0f3b0e75200727c38d8.dll
                                  (注意:后面的这个文件不一定是这个名字,形式像这样的)

3、用SRE修改注册表,删除以下键：
      <winhelp><rundll32.exe C:\WINDOWS\system32\winhelp.dll autorun>(有两个)
      
      <internet><C:\Documents and Settings\a\Local Settings\Temp\~BackupFiles\\d952f971fad7f0f3b0e75200727c38d8.dll>

4、重启计算机，全盘杀毒.病毒清除完毕。

Trojan-psw.win32.nilage.bft清除方案

病毒名称： Trojan-psw.win32.nilage.bft
病毒类型： 木马
感染系统： windows98以上版本
开发工具： Borland Delphi 5.0
加壳类型： 无

病毒描述：
　　 该病毒属木马类，病毒运行后衍生病毒文件，修改注册表，添加启动项，以达到随机启动的目的，该病毒盗取用户敏感信息，包括网络游戏的账号与密码等。

--------------------------------------------------------------------------------
清除方案：
1、关闭系统还原，结束以下进程（如果有的话）：
     winlog0n.exe，userinit.exe

2、显示“受保护的操作系统文件”
    使用unlocker删除以下文件（如果有的话）：
                                 
                                 C:\WINDOWS\winlog0n.exe
                                 C:\WINDOWS\system.exe
                                 C:\DOCUME~1\XIAOLU~1\LOCALS~1\Temp\userinit.exe

3、用SRE修改注册表，删除以下键（如果有的话）：
   [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <l><C:\WINDOWS\winlog0n.exe>
    <dguz2ig5s><C:\WINDOWS\system.exe>  

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]     
   <winrun><C:\DOCUME~1\XIAOLU~1\LOCALS~1\Temp\userinit.exe>

4、用SRE修复TXT文件关联.

5、重启计算机，全盘杀毒.病毒清除完毕。

Trojan-psw.win32.nilage.azd清除方案

病毒名称： Trojan-psw.win32.nilage.azd
病毒类型： 木马
感染系统： windows98以上版本
开发工具： Borland Delphi 5.0
加壳类型： 无

病毒描述：
　　 该病毒属木马类，病毒运行后衍生病毒文件，修改注册表，添加启动项，以达到随机启动的目的，该病毒盗取用户敏感信息，包括网络游戏的账号与密码等。

--------------------------------------------------------------------------------
清除方案：
1、关闭系统还原，结束以下进程（如果有的话）：
     mhs2.exe，Systemt.exe，rxs3.exe，wls3.exe，svhost32.exe

2、显示“受保护的操作系统文件”
     使用unlocker删除以下文件（如果有的话）：
                                 
                                 C:\WINDOWS\mhs2.exe
                                 C:\WINDOWS\Systemt.exe
                                 C:\WINDOWS\rxs3.exe
                                 C:\WINDOWS\wls3.exe
                                 C:\Program Files\Microsoft\svhost32.exe
                                 C:\Program Files\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk

3、修改注册表，删除以下项（如果有的话）：
   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <mytsf><C:\DOCUME~1\KY_16\LOCALS~1\Temp\csrss.exe>  
    <mhs2><C:\WINDOWS\mhs2.exe>  
    <NiceMt><C:\WINDOWS\Systemt.exe>  
    <rxs3><C:\WINDOWS\rxs3.exe>  
    <wls3><C:\WINDOWS\wls3.exe>  

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{06A48AD9-FF57-4E73-937B-B493E72F4226}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk>

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <ms><; C:\Program Files\Microsoft\svhost32.exe>  

4、重启计算机进入安全模式，删除C:\DOCUME~1\用户名\LOCALS~1\Temp\所有文件。

5、重启计算机，病毒清除完毕。

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-11 18:53 编辑 ]

幸运的西瓜

Trojan.Win32.VB.atg病毒分析及解决办法


病毒名称：Trojan.Win32.VB.atg（Kaspersky,ewido）
病毒类型：木马类
特征文件：autorun.inf和tel.xls.exe
传播途径：一切移动存储设备
影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒症状：
        插进U盘后各个杀毒软件（当然要最近更新的）发出警报，之后系统盘全部无法直接双击打开，右键点击多出“Auto”字样。杀完病毒后，双击U盘会出现“打开方式”，但“始终…………”一栏变为不可选！注意注意！这和ROSE病毒的现象很相似！请看完症状再确定如何处理！同时，所有隐藏文件无法显形！并且没有设置“显示隐藏文件”选项。msconfig启动项中增加SockA.exe一项，有的情况下还有algsrv.exe和FileKan.exe，每个文件夹下都有Excel图标模样的文件tel.xls.exe（隐藏）和autorun.inf（隐藏），只能在dos底下dir/a看到。进程中会出现algsrv.exe、FileKan.exe几个可疑进程。注意注意！发现可疑症状后不要打开QQ，以免被盗号！

病毒行为：
        盗取QQ帐号密码的木马病毒，特点是可以通过可移动磁盘传播。该病毒的主要危害是盗取QQ帐户和密码，盗取方式为键盘记录，包括软件盘，将盗取的号码和密码通过邮件发送到指定邮箱。

杀毒方法：
       1、首先在安全模式下开启电脑（开机狂点F8），打开注册表(开始—运行—regedit回车）在HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL一个Key处检查，有个checkedvalue吧？把它删了，然后右键点击空白处添加一个dword值CheckedValue并把它的键值改为1，然后就可以在文件夹选项里让隐藏文件暴露出来了！（如果这一步不会做，看这个：http://hi.baidu.com/peaset/blog/ ... db048b461064de.html 中“文件夹选项默认值”部分）
       2、在任务管理器（ctrl+alt+del出)里，把sockA.exe,algsrv.exe,fileken.exe几个可疑进程（有的话）结束，然后到系统盘下的\windows\system32\里找到这几个文件，把他们全部删除！（不是扔进回收站，直接shift+del!)
       3、然后在每个盘里找到autorun.inf和tel.xls.exe，删掉！
       4、进入注册表，在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run一处找到键值含sockA.exe，algsrv.exe,fileken.exe这几个之中任一个的，删掉！
       5、然后到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\这里，把C-你最后一个逻辑盘符中关于auto的分支全部删掉！之后你就能正常打开所有硬盘！
       6、在注册表内分别搜索sockA.exe，algsrv.exe,fileken.exe，搜到的项一律删除。
       7、病毒清除完毕。
------------------------------------------------------------------------------------
题外话：
       1、应用批处理100%防U盘病毒及解决系统重装后二次中毒的问题：
           http://hi.baidu.com/peaset/blog/ ... 2a7d36aec3abaf.html
   
       2、禁用移动设备的自动运行功能（目的在于避免重新被U盘感染）：把下面的代码保存为1.reg，双击运行导入注册表即可。
---------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
---------------------------------------------

autorun.vbs病毒解决办法

病毒症状：
        该病毒主要通过U盘感染，中毒现象表现为主机不停的发出声音，类似于读软盘的声音，打印机无法正常工作且驱动无法安装。打开“我的电脑”以后，无论双击哪个盘的图标，系统都会重新打开一个窗口，同时一些杀毒软件报告：regedit.exe程序试图修改注册表XXX键值，已被拦截。双击盘符无法打开，显示缺少autorun.vbs。  

解决办法：

(1)同时按住键盘上的“Ctrl＋Alt＋Del”键，选择“任务管理器”，选中“进程标签”，查看其中是否有一个名为“wscript.exe”的进程。如果有，极可能您已中毒。.

(2)如有上述现象，可以通过如下方法删除此病毒：

1、下列红色虚线中的代码复制到记事本保存后将扩展名改为.bat 双击运行即可。

--------------------------------------------------------------------------------------------------------------------
@echo on
taskkill /im explorer.exe /f
taskkill /im wscript.exe
start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersi /v ShowSuperHidden /t REG_DWORD /d 1 /f
del c:\autorun.* /f /q /as
del %SYSTEMROOT%\system32\autorun.* /f /q /as
del d:\autorun.* /f /q /as
del e:\autorun.* /f /q /as
del f:\autorun.* /f /q /as
del g:\autorun.* /f /q /as
del h:\autorun.* /f /q /as
del i:\autorun.* /f /q /as
del j:\autorun.* /f /q /as
del k:\autorun.* /f /q /as
del l:\autorun.* /f /q /as
start explorer.exe
--------------------------------------------------------------------------------------------------------------------

2、需要修改注册表

点“开始”－>“运行”，输入regedit

在注册表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

下查找autorun.vbs

把数值修改成explorer.exe %1 就可以打开硬盘了

提示：所有硬盘分区都要改

在注册表

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下，找userinit，xp的正确数值应该是c:\windows\system32\userinit.exe, (包括逗号)

3、病毒清除完毕。

解析便宜吧（pian18.com）的流氓行为

流氓现象：
        有弹出网页,系统速度变慢,没有卸载项/无法卸载,强制安装,浏览器劫持,干扰其它软件正常运行,
        历史操作:在桌面生成“便宜吧”网址，自动添加于收藏夹，有其他弹出网页现象，并下载木马程序到本地执行。

行为分析：
        1、病毒运行后产生以下文件：桌面上“便宜吧”快捷方式，收藏夹数个网站
                                                        C:\WINDOWS\system32\winbill061226.dll（061216为当前日期）
                                                        C:\WINDOWS\mshostsvr.exe
                                                        C:\WINDOWS\system32\3721.7.dll
2、添加如下启动项：
              [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
               <bill><rundll32.exe "C:\WINDOWS\system32\winbill061226.dll " mymain>

         3、添加如下服务项：
              [host Service For Windows / mshostsvr][Stopped/Auto Start]
               <C:\WINDOWS\mshostsvr.exe>

         4、添加如下浏览器加载项：
               []{AF6B23D1-481E-425D-99A2-614F709FFEDD} <C:\WINDOWS\system32\3721.7.dll>

         5、从网络上随机下载木马盗号及黑客程序，包括灰鸽子、onlinegame.cc等等。
“便宜吧”清除方法：
         1、用SRE删除以下注册表项：
              [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
               <bill><rundll32.exe "C:\WINDOWS\system32\winbill061226.dll " mymain>

         2、用SRE删除如下服务项：
               [host Service For Windows / mshostsvr][Stopped/Auto Start]
               <C:\WINDOWS\mshostsvr.exe>

         3、用SRE删除以下浏览器加载项：
                []{AF6B23D1-481E-425D-99A2-614F709FFEDD} <C:\WINDOWS\system32\3721.7.dll>

         4、用KILLBOX删除以下病毒文件：
                                                        C:\WINDOWS\system32\winbill061226.dll（061216为当前日期）
                                                        C:\WINDOWS\mshostsvr.exe
                                                        C:\WINDOWS\system32\3721.7.dll
         5、重启系统，删除收藏夹内垃圾网页。

         6、以上只是手工清除“便宜吧”流氓，其余的木马病毒另外处理。目前已知的可能存在的木马病毒包括：灰鸽子、Trojan-PSW.Win32系列。
         
Trojan-PSW.Win32.Nilage.avi病毒分析及清除方法

病毒名称：Trojan-PSW.Win32.Nilage.avi
病毒类型：木马类
感染系统：WINDOWS98以上
开发工具： Borland Delphi 5.0

病毒描述：
        该病毒属木马类，病毒运行后衍生病毒文件，修改注册表，添加启动项，以达到随机启动的目的，该病毒盗取用户敏感信息，包括网络游戏的账号与密码等。病毒主程序使用了rookit技术，使得杀软无法识别，病毒主程序运行后释放两个子程序并注入系统进程。

行为分析：
       1、病毒运行后衍生病毒文件：
       C:\WINDOWS\Microsoft\rundll32.exe   
       C:\WINDOWS\system32\dt.dll                                           其中dt.dll、897va.dll   由rundll32.exe释放
       C:\DOCUME~1\user\LOCALS~1\Temp\897va.dll（此文件为随机命名）  


       2、修改注册表，添加启动项，以达到随机启动的目的：
            [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
            <Micro><C:\WINDOWS\Microsoft\rundll32.exe>
-----------------------------------------------------------------------------------------------------------------------------

清除方法：
         1、关闭系统还原，结束进程rundll32.exe；      

         2、显示“受保护的操作系统文件”
              使用unlocker删除以下两个文件：
                                                             C:\WINDOWS\Microsoft\rundll32.exe
                                                             C:\WINDOWS\system32\dt.dll


         3、修改注册表，删除以下项：
              [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
               <Micro><C:\WINDOWS\Microsoft\rundll32.exe>

         4、重启计算机，清空临时文件（即删除Temp目录下文件），病毒清除完毕。


出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-11 18:59 编辑 ]

幸运的西瓜

algssl.exe（tel.xls变种）病毒的手动清除

此病毒为tel.xls的最新变种，作为隐藏文件存在于盘符根目录下。更可恶的是，由于病毒的原因，在“文件夹选项”里的“显示隐藏文件”选项无效，这让手动删除病毒更加困难。（诺顿、卡巴萨基对此病毒无效并可能被病毒强行关闭）

清除方法：
1、 首先在“任务管理器”中终止进程“algssl.exe”。
2、“开始”－“运行”regedit，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
删除病毒创建的字符串值"CheckedValue"="0" 新建DWORD值CheckedValue=1。
3、“控制面板”－“文件夹选项” 选择“显示隐藏文件，显示系统保护的文件”。
4、“开始”-“搜索”-“搜索文件和文件夹”-选择“搜索隐藏文件和文件夹”在每个盘的根目录中的“autorun.inf”和“tel.xls.exe”都是病毒（彻底删除，其他文件夹中的不是）。
5、进入C:\Windows\system32目录，按“修改时间”排序，在后面找到algssl.exe文件以及生成的附属病毒文件msime80.exe、msfir80.exe。
6、“开始”－“运行”regedi，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run中删了所有msime80.exe与msfir80.exe的项。
7、“开始”－“运行”msconfig，“启动”里取消msime80.exe和msfir80.exe。
8、重启，清除完毕。

Trojan-PSW.Win32.Delf.oc病毒分析与解决方案

病毒名称：Trojan-PSW.Win32.Delf.oc（Kaspersky）
病毒别名：Trojan.PSW.QQPass.qxp（瑞星）
　　　　　 Win32.Troj.PSW.QQ.34086（毒霸）
病毒文件：isignup.sys    isignup.dll
病毒大小：34,003 字节
加壳方式：NSPack
传播方式：通过恶意网页传播，其它木马下载


技术分析
这是一个盗Q木马，运行后复制自身到：
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll
释放动态链接库文件注入进程：
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys

在当前目录生成_xiaran.bat删除主程序原文件：

:try
del "exe"
if exist "exe" goto try
del %0

创建ShellExecuteHooks启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}"="%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys"

[HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys"
创建注册表信息：

[HKEY_CURRENT_USER\Software\Microsoft\qqjdd]
"DL"="2"
清除步骤
1. 删除病毒创建的ShellExecuteHooks启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}"

[HKEY_CLASSES_ROOT\CLSID\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}]
2. 重新启动计算机

3. 删除病毒文件：
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.sys
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.dll

4. 删除病毒创建的注册表信息：

[HKEY_CURRENT_USER\Software\Microsoft\qqjdd]


Trojan-PSW.Win32.OnLineGames.ar解决方案

病毒名称：Trojan-PSW.Win32.OnLineGames.ar（Kaspersky）
病毒文件：system16.sys ，system.jmp
加壳方式：UPX
传播方式：通过恶意网页传播、其它木马下载

技术分析
1、运行后复制自身到%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp，释放%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys注入进程。

2、创建ShellExecuteHooks：
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6E44887F-5214-41F2-AB46-4728735C4CC6}"="%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys"

[HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys"

3、设置注册表信息：
CODE:
[HKEY_CURRENT_USER\Software\Ms\QQHooker6]

清除步骤
1. 删除注册表里病毒创建的ShellExecuteHooks信息：
CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6E44887F-5214-41F2-AB46-4728735C4CC6}"="%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys"

[HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys"

2. 重新启动计算机

3. 删除病毒文件：
%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp
%ProgramFiles%\Internet Explorer\PLUGINS\system16.sys

4. 删除病毒创建的注册表信息：
CODE:
[HKEY_CURRENT_USER\Software\Ms\QQHooker6]

Trojan.PSW.wowar.rg（sb.dll、temp.exe）的手工查杀

病毒名称：Trojan.PSW.wowar.rg

清除方法：
         打开进程：按 ctrl+Alt+Delete ，在"进程"中 把explorer.exe 进程关闭，这时候会发现 桌面空白了，但是进程窗口还在，然后在 “应用程序”下面 "新任务.." 重新输入 explorer.exe 会重新回到桌面。此时到 C:\Program Files\Internet Explorer\PLUGINS\ 下 把SB.DLL删除；C:\Program Files\Internet Explorer\PLUGINS\temp.exe 是隐藏文件，打开隐藏文件的查看，可以直接删除掉。

注意：如果以上删除SB.DLL的方法不会，可以使用unlocker解除锁定后删除。

手工清除 wsctf.exe和EXPLORER.EXE 病毒

手工方法清除 wsctf.exe和EXPLORER.EXE 两个病毒文件，并解决开机自动弹出我的文档故障！

今天将U盘插入电脑，双击U盘竟然提示要用别的方式打开，退出时退不了，打开进程管理器发现多了wsctf.exe和EXPLORER.EXE，用msconfig查看发现了两个进程sctf.exe和EXPLORER.EXE。

在C盘直接搜索无法搜索出wsctf.exe和EXPLORER.EXE；

直接进入C:\WINDOWS\system32下面搜索可以出来：wsctf.exe和EXPLORER.EXE。

调出任务管理器,结束wsctf.exe和EXPLORER.EXE进程，然后shift+del删除wsctf.exe和EXPLORER.EXE。

然后，运行-msconfig-启动，删了上面的两个启动。

最后在注册表里查找这两个文件的表值并删除，注意到EXPLORER.EXE有几个是正常的文件别删(只删一些没有的盘符的EXPLORER.EXE,好象H盘之类).

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = USERINIT.EXE,EXPLORER.EXE

应修改为如下：
Userinit = C:\WINDOWS\system32\userinit.exe,

[ 本帖最后由 幸运的西瓜 于 2007-8-11 19:05 编辑 ]

幸运的西瓜

system18.sys ,system.jmp盗Q木马解决方案


病毒名称：Trojan.PSW.QQPass.qta（瑞星）
病毒大小：30,816 字节
加壳方式：UPX
传播方式：通过恶意网页传播、其它木马下载

技术分析
运行后复制自身到：
%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp
在相同位置释放dll注入进程：
%ProgramFiles%\Internet Explorer\PLUGINS\system18.sys

创建ShellExecuteHooks：

[HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}\InProcServer32]
@="%ProgramFiles%\Internet Explorer\PLUGINS\system18.sys"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{6E44887F-5214-41F2-AB46-4728735C4CC6}"=""

在注册表中添加信息：

[HKEY_CURRENT_USER\Software\Ms\tnnd]
"First"="No"

清除步骤
1. 删除病毒创建的ShellExecuteHooks项：

[HKEY_CLASSES_ROOT\CLSID\{6E44887F-5214-41F2-AB46-4728735C4CC6}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{6E44887F-5214-41F2-AB46-4728735C4CC6}"

2. 重新启动计算机

3. 删除文件：
%ProgramFiles%\Internet Explorer\PLUGINS\system.jmp
%ProgramFiles%\Internet Explorer\PLUGINS\system18.sys

4. 删除注册表内容：

[HKEY_CURRENT_USER\Software\Ms]

5. 病毒清理完毕。

sxs.exe、rose.exe病毒及清理办法

现象描述：
系统文件隐藏无法显示，双击盘符无反映，任务管理器发现 sxs.exe 或者 svohost.exe （与系统进程 svchost.exe 一字之差），杀毒软件实时监控自动关闭并无法打开。

sxs.exe为rose.exe修改而来。以下以sxs.exe为例，rose.exe清除方法一样。

清除方法：

在以下整个过程中不得双击分区盘，需要打开时用鼠标右键——打开

一、关闭病毒进程

Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉

二、显示出被隐藏的系统文件

运行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SuperHidden，将CheckedValue键值修改为1

这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）

方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

三、删除病毒

在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。

四、删除病毒的自动运行项

打开注册表 运行——regedit

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的

最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe

重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。

五、后续

杀毒软件实时监控可以打开，但开机无法自动运行

最简单的办法，执行杀毒软件的添加删除组件——修复，即可。

Trojan-PSW.Win32.OnLineGames.cc病毒分析及清除办法

病毒名称： Trojan-PSW.Win32.OnLineGames.cc
病毒类型： 木马
感染系统： windows98以上版本
开发工具： Borland Delphi 5.0
加壳类型： 无

病毒描述：
　　 该病毒属木马类，病毒运行后衍生病毒文件，修改注册表，添加启动项，以达到随机启动的目的，该病毒盗取用户敏感信息，包括网络游戏的账号与密码等。

行为分析：
1、病毒运行后衍生病毒文件：
   C:\WINDOWS\system32\dt.dll                          其中dt.dll由rundll32.exe释放
   C:\WINDOWS\Microsoft\rundll32.exe
   C:\program files\internet explorer\use6.dll
   各个分区（除C盘以外）根目录下：Autorun.inf及mplay.com
   
2、修改C:\\WINDOWS\system32\drivers\etc\hosts，添加如下规则：
                       
                       HOSTS 文件
                       127.0.0.1       localhost
                       58.215.74.216    new3.etsoft.com.cn
                       58.215.74.216    www.gaodumm.com
                       58.215.74.216    www.88cc8.com
                       58.215.74.216    wg770.com
   
3、修改注册表，添加启动项，以达到随机启动的目的：
   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <Micro><C:\WINDOWS\Microsoft\rundll32.exe>

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <main><rundll32.exe "C:\program files\internet explorer\use6.dll" mymain>

4、该病毒盗取用户敏感信息，包括网络游戏的账号与密码等：
     病毒文件Microsoft\rundll32.exe由自启动直接运行，处于系统进程列表；病毒文件use6.dll由系统rundll32.exe调用；病毒文件dt.dll注入系统所有进程。

--------------------------------------------------------------------------------
清除方案：
新添加Trojan-PSW.Win32.OnLineGames.cc专杀工具:（附件中）


手工清除方法:
1、关闭系统还原，结束两个进程rundll32.exe；

2、显示“受保护的操作系统文件”
     使用unlocker删除以下三个文件：C:\WINDOWS\Microsoft\rundll32.exe
                                 C:\program files\internet explorer\use6.dll
                                 C:\WINDOWS\system32\dt.dll
3、修改注册表，删除以下两项：
   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <Micro><C:\WINDOWS\Microsoft\rundll32.exe>

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <main><rundll32.exe "C:\program files\internet explorer\use6.dll" mymain>

4、使用unlocker删除C:\\WINDOWS\system32\drivers\etc\hosts

5、使用资源管理器（开始-所有程序-附件-windows资源管理器）打开各个分区，删除所有分区下面的Autorun.inf及mplay.com
（这步为关键一步，请小心，否则前功尽弃，如有不会，请使用autorun专用清除及免疫工具最终完美版

6、重启计算机，病毒清除完毕。

[ 本帖最后由 幸运的西瓜 于 2007-8-11 19:11 编辑 ]

幸运的西瓜

木马下载器（WinInfo.rxk WinInfo.bak）病毒分析及解决方案

病毒名称：N/A（Kaspersky）
加壳方式：UPX
传播方式：通过恶意网页传播、其它木马下载


技术分析：

运行后复制自身到：
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.bak
在相同目录下释放WinInfo.rxk，注入Explorer.exe进程：
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk

创建启动信息，通过ShellExecuteHooks启动：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CLASSES_ROOT\CLSID\{06A48AD9-FF57-4E73-937B-B493E72F4226}\InProcServer32]
@="%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk"
尝试访问网络下载其它病毒、木马或其它恶意程序。


清除步骤：

1. 删除病毒创建的ShellExecuteHooks启动信息：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"

[HKEY_CLASSES_ROOT\CLSID\{06A48AD9-FF57-4E73-937B-B493E72F4226}]

2. 重新启动计算机

3. 删除文件：
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.rxk
%ProgramFiles%\Common Files\Microsoft Shared\MSINFO\WinInfo.bak

梦幻西游木马（xydll.dll）病毒分析与解决办法

病毒分析：
==========

主程序运行后复制自身到系统目录：%WINDOWS%\Download\svhost32.exe，释放文件：%System%\xydll.dll注入其它进程。

创建启动项：


[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xy"="%WINDOWS%\Download\svhost32.exe"

清除步骤：
==========

1. 结束%WINDOWS%\Download\svhost32.exe进程

2. 删除病毒文件：
%WINDOWS%\Download\svhost32.exe

3. 删除启动项：


[Copy to clipboard]CODE:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xy"="%WINDOWS%\Download\svhost32.exe"

4. 重新启动计算机

5. 删除病毒文件：
%System%\xydll.dll

Trojan-PSW.Win32.OnLineGames.arf病毒分析及解决办法

病毒分析：

运行后复制自身到：%ProgramFiles%\svhost32.exe
释放dll到系统目录下：%System%\dllwm.dll，注入Explorer.exe进程。创建启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%ProgramFiles%\svhost32.exe"


清除步骤
==========

1. 删除启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="%ProgramFiles%\svhost32.exe"

2. 重新启动计算机

3. 删除文件：
%ProgramFiles%\svhost32.exe
%System%\dllwm.dll

解决pagefile.com“落雪”病毒的方法

症状：D盘双击打不开，里面有autorun.inf和pagefile.com文件

       此病毒在安全模式用杀软一样解决不了！经过一个半小时的奋战才算解决。 我没用什么查杀木马的软件，全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。

D盘里就两个，搞得你无法双击打开D盘。C盘里盘里的就多了！
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe（忘了是不是这个名字了，红色图标有传奇世界图标的）
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标，名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
对了，看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不
要运行任何程序，要不就又启动了，包括双击磁盘
还有一个头号文件！WINLOGON.EXE！做了这么多工作目的就是要干掉她！！！
C:\Windows\WINLOGON.EXE
这个在进程里可以看得到，有两个，一个是真的，一个是假的。
真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM，
而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。
这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会
呆在你的进程里！ 我现在所知道的就这些，要是不放心，就最好看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的， 连系统还原夹里都有！！ 这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来！
知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假，取消隐藏受保护操作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表，到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面，有一个Torjan pragramme，这个明摆着“我是木马”，删！！
然后注销！ 重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。 到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把autorun.inf和pagefile.com删掉，
然后再到C盘把上面所列出来的文件都删掉！中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！ 然后再注销。
我在奋战过程中，把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。
然后，到C:\Windows\system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com 嘿嘿 我也会用com文件，然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令：
assoc .exe=exefile （assoc与.exe之间有空格）
ftype exefile="%1" %*
这样exe文件就可以运行了。 如果不会打命令，只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（应该是Windows下的1.com文件。）,最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“1.com”的方法：
在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
大功告成！大家分享一下吧！

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-11 19:15 编辑 ]

幸运的西瓜

查杀木马 RAV0088.exe RAV0088.DAT


病毒名称：N/A（Kaspersky）
　　病毒别名：Win32.Troj.OnLineGamesT.cu.65536 [dll]（毒霸）
　　病毒大小：9,420 字节
　　加壳方式：PE_Patch UPack
　　样本MD5：e14c15ece526b8dea5347b1bdad8afe0
　　样本SHA1：31bd81eaf9182e9f87a9c2df55fa748a8c1ce0ad
　　发现时间：2007.8
　　更新时间：2007.8
　　关联病毒：
　　传播方式：通过恶意网站传播，其它木马下载

技术分析
　　==========


　　网游木马，运行后复制自身到系统目录：
　　%System%\RAV0088.exe
　　并释放dll注入进程：
　　%System%\RAV0088.DAT

　　创建启动项：


　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RAV0088"="%System%\RAV0088.exe"
　　清除步骤
　　==========

　　1. 删除木马启动项（到down.45it.com下载IceSword120_cn.zip依次删除）：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RAV0088"="%System%\RAV0088.exe"
　　2. 重新启动计算机

　　3. 删除木马文件：
　　%System%\RAV0088.exe
　　%System%\RAV0088.DAT

ghost.pif新变种导致杀毒软件0xc00000ba失败的解决

有网友咨询0xc00000ba错误的解决办法,特地从网上帮他找了一个,不知道能否解决问题

这个问题是由一个叫做ghost.pif的U盘病毒导致的

　　不过最新变种的病毒会查询以下注册表项的某些键值来获取相关安全软件的安装目录，在获得安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹，从而使相关安全软件运行失败。

      SOFTWARE\\rising\\Rav
　　SOFTWARE\\Kingsoft\\AntiVirus
　　SOFTWARE\\JiangMin
　　SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
　　SOFTWARE\\KasperskyLab\\SetupFolders
　　SOFTWARE\Network Associates\TVD\Shared Components\Framework
　　SOFTWARE\Eset\Nod\CurrentVersion\Info
　　SOFTWARE\\Symantec\\SharedUsage
　　SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe
因为这些安全软件运行时候会加载ws2_32.dll ws2_32.dll正确的位置是在system32下面 而软件通常寻找dll的方法是首先从自己的文件夹中寻找 那么病毒通过在这些软件的文件夹里创建一个伪造的ws2_32.dll从而导致软件启动时加载这个伪造的ws2_32.dll 导致启动失败！

　　解决方法如下：

　　1.安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
　　打开sreng

　　启动项目 注册表 删除如下项目
　　<{0CB68AD9-FF66-3E63-636B-B693E62F6236}><C:\Program Files\Internet Explorer\romdrivers.dll> [Microsoft Corporation]

　　双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定

　　右键点击 右键菜单中的打开 打开C盘
　　删除
      C:\Program Files\Internet Explorer\romdrivers.bak
　　C:\Program Files\Internet Explorer\romdrivers.bkk
　　C:\Program Files\Internet Explorer\romdrivers.dll

2.清空C:\DOCUME~1\用户名\LOCALS~1\Temp下面所有内容

　　3.右键点击 右键菜单中的打开 打开其他分区 删除autorun.inf和ghost.pif

　　打开sreng

　　启动项目 注册表 删除如下项目
      <wosa><C:\DOCUME~1\用户名\LOCALS~1\Temp\woso.exe> []
　　<ztsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\ztso.exe> []
　　<mhsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\mhso.exe> []
　　<fysa><C:\DOCUME~1\用户名\LOCALS~1\Temp\fyso.exe> []
　　<jtsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\jtso.exe> []
　　<wlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wlso.exe> []
　　<wgsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wgso.exe> []
　　<rxsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\rxso.exe> []
　　<wdsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wdso.exe> []
　　<tlsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\tlso.exe> []
　　<dasa><C:\DOCUME~1\用户名\LOCALS~1\Temp\daso.exe> []
　　<wmsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\wmso.exe> []
　　<qjsa><C:\DOCUME~1\用户名\LOCALS~1\Temp\qjso.exe> [] （有哪个删哪个）
4.删除 瑞星杀毒软件 金山毒霸 江民杀毒软件 卡巴斯基杀毒软件 360安全卫士 等文件夹下名为ws2_32.dll的文件夹。






出处： http://www.pxue.com/Cate-1.html (非常感谢飘雪工作室的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-11 20:05 编辑 ]

shy690

你太有才了，佩服

mazhixa

谢谢分享！辛苦了

hxnn263

http://tbzq.com/best.htm,这个称为"活力3"的流氓网站,经常窜出来干扰我看盘,请教有什么办法消灭这个流氓！