AUTO病毒肿么彻底删除

刚清掉一个叫 sxs.exe 和 autorun.inf 的病毒，瑞星说是 Trojan.PSW.QQPass.pqb，来分享下清除经验：
症状就是在各个盘符根目录下自动生成 sxs.exe 和 autorun.inf 文件，有些还会在 windowssystem32 下释放 SVOHOST.exe 或 sxs.exe，属性都是隐藏的。而且会自动禁用杀毒软件。
传播方式主要是靠 U 盘、移动硬盘啥的。
迷惑性还挺强，具体来说：
1. 在任务管理器里可能会多出个 svohost 的进程，跟系统自带的 svchost 差不多，很容易看错；
2. 注册表修改也挺隐蔽的，后面会详细说怎么检查；
3. 病毒还偷偷改了注册表，让显示所有隐藏文件功能失效，这样你就看不到它藏起来的那些病毒文件了。
清除方法建议进安全模式操作，网上有人说直接删 sms.exe 不行，因为你一刷新它又冒出来。
步骤如下：
1. 先结束病毒进程
打开任务管理器（Ctrl+Alt+Del），找有没有 sxs 或 SVOHOST 这个进程（注意不是 SVCHOST），有的话干掉它。有些系统可能没这个进程，那就可以跳过这步。
2. 恢复注册表设置
先确认自己能不能看到隐藏文件，如果可以的话这步也可以略过。否则就打开注册表编辑器（运行 regedit）。
路径是：
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
在里面找 SoundMam（注意不是 soundman），有可能会有两个，找到键值是 C:WINDOWSsystem32SVOHOST.exe 的那个，删掉就行。
顺便提醒一下，这些病毒文件通常都会伪装成系统文件，大家一定要仔细核对名字，别被忽悠了～
有需要的可以试试上面的方法，应该能搞定！

autorun.inf病毒的清除方法

关键词： Trojan.PSW.QQPa autorun.inf

特征：在每个盘根目录下自动生成sxs.exe,autorun.inf文件，有的还在windows\system32下生成SVOHOST.exe 或 sxs.exe ，文件属性为隐含属性。自动禁用杀毒软件。

传染途径：主要通过U盘，移动硬盘

迷惑性：

1、按ctrl+del+alt查看进程，可能多出svohost进程，他与系统自带的svchost只差一字，大家要看清楚！

2、注册表修改项隐蔽更强，如何修改我将在下面详细说明。

3、自动修改注册表，使系统“显示所有隐藏文件”功能失效，从而达到隐藏自己病毒体文件的目的。

清除办法：

建议到安全模式下，网上有许多网友说直接搜索sms.exe文件删除是不可以的，因为一删除后，只要你刷新就立刻出现。

1、关闭病毒进程

Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉（并不是所有的系统都显示有这个进程，没有的就略过此步）。

2、恢复注册表（有的系统可能病毒没有修改注册表，检验办法是，如果您的系统能看到隐藏文件那么这步可以省略，建议大家都看一下）

(删除病毒自启动项)打开注册表 运行——regedit

HKEY_LOCAL_MACHINE>;SOFTWARE>;Microsoft>;Windows>;CurrentVersion>;Run

SVOHOST.exe 或 sxs.exe

下找到 SoundMam（注意不是soundman,只差一个字母） 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的（显示出被隐藏的系统文件）

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue,类型为REG_SZ，并且把键值改为0！我们将这个改为1是毫无作用的。大家要看清楚CheckedValue后面的类型，正确的是“RED_DWORD”而不是“REG_SZ”（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）

方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

3、删除病毒体文件

在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。

最彻底的删除办法是：单击开始--运行--cmd 确定后在dos状态下写如下命令(一般系统盘跟目录下可能没有病毒体文件，但是其他盘应该都存在)

attrib -h -r -s c:\sxs.exe

del c:\sxs.exe

attrib -h -s -r c:\autorun.inf

del c:\autorun.inf

attrib -h -r -s d:\sxs.exe

del d:\sxs.exe

attrib -h -s -r d:\autorun.inf

del d:\autorun.inf

如果大家还有其他的盘符可以参考我上面的写一下就可以，如果有E盘，那就是

attrib -h -r -s e:\sxs.exe

del e:\sxs.exe

attrib -h -s -r e:\autorun.inf

del e:\autorun.inf
建议写成一批处理，然后运行一下就ok了。

最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe

为了方便大家我写了一个批处理删除病毒体文件，运行的时候如果提示“没有发现该文件”说明找不到病毒体文件，没有关系的。因为有些目录病毒可能没有复制到里面去。

大家把这个复制后用文本文件保存，然后改名为delsxs.bat,最后双击运行就ok了,我只写到G盘的，估计就够用的，另外加了个h（u）盘的

attrib -h -r -s c:\sxs.exe

del c:\sxs.exe

attrib -h -s -r c:\autorun.inf

del c:\autorun.inf

attrib -h -r -s d:\sxs.exe

del d:\sxs.exe

attrib -h -s -r d:\autorun.inf

del d:\autorun.inf

attrib -h -r -s e:\sxs.exe

del e:\sxs.exe

attrib -h -s -r e:\autorun.inf

del e:\autorun.inf

attrib -h -r -s f:\sxs.exe

del f:\sxs.exe

attrib -h -s -r f:\autorun.inf

del f:\autorun.inf

attrib -h -r -s g:\sxs.exe

del g:\sxs.exe

attrib -h -s -r g:\autorun.inf

del g:\autorun.inf

attrib -h -r -s h:\sxs.exe

del h:\sxs.exe

attrib -h -s -r h:\autorun.inf

del h:\autorun.inf

最后提醒大家的是：使用u盘或者是移动硬盘的时候要在插入后，立刻按住shift键，防止自动运行程序启动，打开的时候要点右键--打开，这样病毒就不会运行（如果存在病毒文件sxs.exe和autorun.inf直接删除就ok了），否则如果你的u盘上有此病毒，你双击后，非但打不开u盘，还运行了病毒程序，呵呵上面做的一切都要重做了哦。

至于杀毒软件不能自动启动的问题，那可以重新安装或者参考各杀毒软件的处理办法了，这里就不一一列举了
参考资料：http://zhidao.baidu.com/question/17369590.html?si=1

瑞星熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/66.html

江民熊猫烧香专杀工具
http://www.p234.com/Soft/rjxz/200612/68.html

金山熊猫烧香专杀工具
http://www.p234.com/Soft/cygj/200612/67.html

熊猫烧香病毒变种 spoclsv.exe 解决方案
病毒大小：22,886 字节
加壳方式：UPack
样本MD5：9749216a37d57cf4b2e528c027252062
样本SHA1：5d3222d8ab6fc11f899eff32c2c8d3cd50cbd755
发现时间：2006.11
更新时间：2006.11
关联病毒：
传播方式：通过恶意网页传播，其它木马下载，可通过局域网、移动存储设备等传播

技术分析
==========

又是“熊猫烧香”FuckJacks.exe的变种，和之前的变种一样使用白底熊猫烧香图标，病毒运行后复制自身到系统目录下：
%System%\drivers\spoclsv.exe

创建启动项：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"

修改注册表信息干扰“显示所有文件和文件夹”设置：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000

在各分区根目录生成副本：
X:\setup.exe
X:\autorun.inf

autorun.inf内容：
[AutoRun]
OPEN=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

尝试关闭下列窗口：
QQKav
QQAV
VirusScan
Symantec AntiVirus
Duba
Windows
esteem procs
System Safety Monitor
Wrapped gift Killer
Winsock Expert
msctls_statusbar32
pjf(ustc)
IceSword

结束一些对头的进程：
Mcshield.exe
VsTskMgr.exe
naPrdMgr.exe
UpdaterUI.exe
TBMon.exe
scan32.exe
Ravmond.exe
CCenter.exe
RavTask.exe
Rav.exe
Ravmon.exe
RavmonD.exe
RavStub.exe
KVXP.kxp
KvMonXP.kxp
KVCenter.kxp
KVSrvXP.exe
KRegEx.exe
UIHost.exe
TrojDie.kxp
FrogAgent.exe
Logo1_.exe
Logo_1.exe
Rundl132.exe

禁用一系列服务：
Schedule
sharedaccess
RsCCenter
RsRavMon
RsCCenter
RsRavMon
KVWSC
KVSrvXP
kavsvc
AVP
McAfeeFramework
McShield
McTaskManager
navapsvc
wscsvc
KPfwSvc
SNDSrvc
ccProxy
ccEvtMgr
ccSetMgr
SPBBCSvc
Symantec Core LC
NPFMntor
MskService
FireSvc

删除若干安全软件启动项信息：
RavTask
KvMonXP
kav
KAVPersonal50
McAfeeUpdaterUI
Network Associates Error Reporting Service
ShStatEXE
YLive.exe
yassistse

使用net share命令删除管理共享：
net share X$ /del /y
net share admin$ /del /y
net share IPC$ /del /y

遍历目录，感染除以下系统目录外其它目录中的exe、com、scr、pif文件：
X:\WINDOWS
X:\Winnt
X:\System Volume Information
X:\Recycled
%ProgramFiles%\Windows NT
%ProgramFiles%\WindowsUpdate
%ProgramFiles%\Windows Media Player
%ProgramFiles%\Outlook Express
%ProgramFiles%\Internet Explorer
%ProgramFiles%\NetMeeting
%ProgramFiles%\Common Files
%ProgramFiles%\ComPlus Applications
%ProgramFiles%\Messenger
%ProgramFiles%\InstallShield Installation Information
%ProgramFiles%\MSN
%ProgramFiles%\Microsoft Frontpage
%ProgramFiles%\Movie Maker
%ProgramFiles%\MSN Gamin Zone

将自身捆绑在被感染文件前端，并在尾部添加标记信息：
.WhBoy{原文件名}.exe.{原文件大小}.

与之前变种不同的是，这个病毒体虽然是22886字节，但是捆绑在文件前段的只有22838字节，被感染文件运行后会出错，而不会像之前变种那样释放出{原文件名}.exe的原始正常文件。

另外还发现病毒会覆盖少量exe，删除.gho文件。

病毒还尝试使用弱密码访问局域网内其它计算机：
password
harley
golf
pussy
mustang
shadow
fish
qwerty
baseball
letmein
ccc
admin
abc
pass
passwd
database
abcd
abc123
sybase
123qwe
server
computer
super
123asd
ihavenopass
godblessyou
enable
alpha
1234qwer
123abc
aaa
patrick
pat
administrator
root
sex
god
foobar
secret
test
test123
temp
temp123
win
asdf
pwd
qwer
yxcv
zxcv
home
xxx
owner
login
Login
love
mypc
mypc123
admin123
mypass
mypass123
Administrator
Guest
admin
Root
清除步骤
==========

1. 断开网络

2. 结束病毒进程
%System%\drivers\spoclsv.exe

3. 删除病毒文件：
%System%\drivers\spoclsv.exe

4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：
X:\setup.exe
X:\autorun.inf

5. 删除病毒创建的启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"svcshare"="%System%\drivers\spoclsv.exe"

6. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001

7. 修复或重新安装反病毒软件

8. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
杀auto
在资源管理器里选择“工具－－文件夹选项－－查看”，勾选“显示所有文件和文件夹”并去掉“隐藏受保护的操作系统文件”前的勾。
1 如果各分区根目录下除autorun.inf外还有什么其它隐藏文件，有的话，记下名字然后将它删除（如果能删除的话）。右击这个Autorun.inf 文件，选择用记事本打开，查看里面的内容，记下其中“open=”这个等于后面的那个文件名。然后将这个Autorun.inf也删除。重新启动电脑。

2.下载一个软件：冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件，下载解压缩后即可使用。

3.直接在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件。

4.通过按钮“创建时间”对这个文件夹下的文件进行排序，仔细查看与这个文件在创建时间是同一天的所有文件（但是不是都是与它一样是病毒文件，需要你判断）。右击它们一一删除。

5.以记下的、Open后面的这些文件的文件名搜索整个注册表，删除搜索到的键值。

6.重启电脑。

如果这样操作以后，出现双击分区不能打开分区的情况，请按下面的操作即可。
打开我的电脑 工具 文件夹选项 文件类型 找到“驱动器” 点下方的“高级” 点选“编辑文件类型”里的“新建” 操作里填写“open”（这个可随意填写） 用于执行操作的应用程序里填写explorer.exe 确定
随后返回到“编辑文件类型”窗口，选中open 设为默认值 确定 现在再打开分区看下，是不是已恢复正常？

手工清理方法(超强见效)
处理方法

1,结束病毒进程，如FuckJacks.exe，spoclsv.exe进程。但因为中毒后无法打开任务管理器，

所以必须通过第三方进程管理器来结束进程，建议使用http://www.vccn.com.cn/download/pv.exe，

用此工具打开进程后，找到相关的进程，并将之结束。结束进程后，任务管理器和注册表就可

以打开了

2,修改注册表.

以下位置为注册表十三处启动项位置，去掉可疑启动项

HKCU-Software-Microsoft-WindowsNT-CurrentVersion-Windows-load

HKLM-Software-Microsoft-WindowsNT-CurrentVersion-Winlogon-Userinit

HKCU-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run

HKLM-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run

HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once

HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once

HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services

HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services

HKCU-Software-Microsoft-Windows-Current-Version-RunOnce

HKLM-Software-Microsoft-Windows-Current-Version-RunOnce

HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx

HKCU-Software-Microsoft-Windows-CurrentVersion-Run

HKLM-Software-Microsoft-Windows-CurrentVersion-Run

修改以下位置，目的是可以显示隐藏文件，因为熊猫病毒不允许显示隐藏文件，所以我们要改

回来把ckeckedvalue的值由0改为1即可。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Folder\Hidden\SHOWALL]

"CheckedValue"=dword:00000001

3,显示隐藏文件，我的电脑>工具>文件夹选项>查看,显示所有文件或文件夹，去掉隐藏受保护的

操作系统文件前面的钩，找到病毒文件，%System32%\FuckJacks.exe或

%System32%\Drivers\spoclsv.exe或%System32%\twunk32.exe并将其删除，找到病毒文件c:\autorun.inf,c:\setup.exe,d:\autorun.inf,d:\setup.exe,e:\autorun.inf,e:\setup.exe,,,,,(注意这些文件都

是隐藏文件，如果你没显示隐藏文件的话，那看不到)并在相关目录底下新一个同名的文件，并

设置为只读，如果是NTFS分区，则去掉其他所有的NTFS权限.

4,做完以上步骤后，重启电脑，熊猫烧香病毒原本就手工处理了，但本机被感染的文件还在，

在用杀毒软件全盘扫描前，千万不要执行本机的其他应用程序或.exe文件，切记，切记

熊猫病毒：
1. 断开网络

2. 结束病毒进程
%System%\FuckJacks.exe

3. 删除病毒文件：
%System%\FuckJacks.exe

4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：
X:\autorun.inf
X:\setup.exe

5. 删除病毒创建的启动项：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"FuckJacks"="%System%\FuckJacks.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svohost"="%System%\FuckJacks.exe"
6. 修复或重新安装反病毒软件

7. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件
中毒文件的恢复(仅个人观点,只在自己的虚拟机上测试正常)

首先在清除病毒文件的同时不要删除%SYSTEM%下面释放FuckJacks.exe的这个文件,(注册表里要清除干净)

打开运行输入gpedit.msc打开组策略-本地计算机策略-windows设置-安全设置-软件限制策略-其它规则

在其它规则上右键选择-新散列规则=打开新散列规则窗口

在文件散列上点击浏览找到-%SYSTEM%下面释放FuckJacks.exe文件.......安全级别选择-不允许的 确定后重启(一定重启)

重启后可以双击运行已经被熊猫感染的程序-运行程序后该FuckJacks.exe文件会在注册表里的Run键下建立启动项(不会有问题的)

双击运行被感染的程序已经恢复原来样子了,全部回复后用SRENG2把FuckJacks.exe在注册表里的启动项删除即可!

声明不能保证100%能成功。我只在在虚拟机中运行过。

2AUTO毒

一、关闭病毒进程
Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉
二、显示出被隐藏的系统文件
运行——regedit
HKEY_LOCAL_MACHINE"Software"Microsoft"windows"CurrentVersion"
explorer"Advanced"Folder"Hidden"SHOWALL，
将CheckedValue键值修改为1
这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为 0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）
方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。
四、删除病毒的自动运行项
打开注册表 运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\WINDOWS\system32\SVOHOST.exe 的
最后到 C:\WINDOWS\system32" 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了

autorun.inf/auto.pif 是U盘病毒呀~
你看看很恶心的~居然伪装成信息加载....受不了了....
烁烁杀掉U盘中的病毒的方法~~~
对移动存储设备，中毒，把文件夹选项中隐藏受保护的操作系统文件钩掉，点上显示所有文件和文件夹，点击确定，然后在移动存储设备中会看到如下几个文件，autorun.inf，auto.pif ,systerm.pif~都删除掉，还有一个后缀为tmp的文件，也可以删除，完成后，病毒就清除了。

小小补充：
就是在删除autorun.inf，auto.pif ,systerm.pif这3个文件时，直接删可能会删不掉的，要先到进程管理那了先结束再删除这文件，如果还不行就到安全模式里删，这样就一定行。

呵呵~~
不要以为这个是小小的病毒，它是不知不觉的在后台运行的，它长期会占用你差不多20M内存，它随系统启动。它会莫名奇妙的使你的计算机在沉默中死亡。这个病毒任你格式化U盘也格不掉，用很多杀毒软件也奈它不何。一般让你看不出来，不信你可以把U盘插入电脑中再把“文件夹选项中隐藏受保护的操作系统文件钩掉”，看看。。多出了不明的文件，那你就是中招了！有空检查一下你的U盘吧~~~

gei你专杀~~~分分送来~!!~
Autorun病毒防御者 2.0.2.530
Autorun病毒防御者软件是专门针对流行的U盘病毒和部分木马开发的查杀程序。它独有的精确查杀与扩展查杀双查杀机制能够彻底清除病毒和木马的相关文件和残余，不留痕迹。此外，软件还有U盘病毒免疫、系统修复、残余清理、病毒分析与诊断、U盘解锁、U盘软件写保护等一系列完整的辅助工具，能够让您彻底远离U盘病毒的困扰。

本软件绿色、免费，体积小巧，查杀和清除能力强。是您查杀U盘病毒的好助手！

* 2007-10-08 更新到2.0.2.530正式版

- 增加“病毒现身！”的反向操作“病毒隐身！”功能。
- DLL反注入清理引擎增强，现在可以将绝大部分DLL病毒反注入后清除。
- 注册表删除引擎增强，现在可以将以前不能顺利清除的病毒注册表也清理出去。
- 病毒智能分析工具增强检测，现在将会对所有关联文件进行相关性检查。
http://www.onlinedown.net/soft/56964.htm

然后你可以下载 unlocker：http://www.onlinedown.net/soft/24732.htm，安装后，首先从任务管理器里把可疑病毒进程结束，然后找到病毒文件右键用unl3ocker删除

你中了木马“落雪”！它会偷盗你的QQ密码！我也是昨天刚把它杀掉的！！这是现有杀毒软件无法做到的，你必须手动杀毒！！ 那是我从网上一个叫电脑爱好者俱乐部的论坛里看到的，这个版主简直是个天才！！下面是他的原话：解决“落雪”病毒的方法 症状：D盘双击打不开，里面有autorun.inf和pagefile.com文件 做这个病毒的人也太强了，在安全模式用Administrator一样解决不了！经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件，全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下，绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。 D盘里就两个，搞得你无法双击打开D盘。里盘里的就多了！ D:autorun.inf D:pagefile.com C:Program FilesInternet Exploreriexplore.com C:Program FilesCommon Filesiexplore.com C:WINDOWS1.com C:WINDOWSiexplore.com C:WINDOWSfinder.com C:WINDOWSExeroud.exe（忘了是不是这个名字了，红色图标有传奇世界图标的） C:WINDOWSDebug*** Programme.exe(也是上面那个图标，名字忘了-_- 好大好明显非隐藏的) C:Windowssystem32command.com 这个不要轻易删，看看是不是和下面几个日期不一样而和其他文件日期一样，如果和其他文件大部分系统文件日期一样就不能删，当然系统文件肯定不是这段时间的。 C:Windowssystem32msconfig.com C:Windowssystem32 egedit.com C:Windowssystem32dxdiag.com C:Windowssystem32 undll32.com C:Windowssystem32finder.com 对了，看看这些文件的日期，看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件，小心不 要运行任何程序，要不就又启动了，包括双击磁盘 还有一个头号文件！WINLOGON.EXE！做了这么多工作目的就是要干掉她！！！ C:WindowsWINLOGON.EXE 这个在进程里可以看得到，有两个，一个是真的，一个是假的。 真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM， 而假的是大写的WINLOGON.EXE，用户名是你自己的用户名。 这个文件在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！就连在安全模式下它都会 呆在你的进程里！ 我现在所知道的就这些，要是不放心，就最好看一下其中一个文件的修改日期，然后用“搜索”搜这天修改过的文件，相同时间的肯定会出来一大堆的， 连系统还原夹里都有！！ 这些文件会自己关联的，要是你删了一部分，不小心运行了一个，或在开始－运行里运行msocnfig，command，regedit这些命令，所有的这些文件全会自己补充回来！ 知道了这些文件，首先关闭可以关闭的所有程序，打开程序附件里头的WINDOWS资源管理器，并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假，取消隐藏受保护操作系统文件，然后打开开始菜单的运行，输入命令 regedit，进注册表，到 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 里面，有一个Torjan pragramme，这个明摆着“我是木马”，删！！ 然后注销！ 重新进入系统后，打开“任务管理器”，看看有没rundll32，有的话先中止了，不知这个是真还是假，小心为好。 到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把autorun.inf和pagefile.com删掉， 然后再到C盘把上面所列出来的文件都删掉！全部删除关联文件注销并重启后,头号文件已没有出现在进程中但仍存在于C盘WINDOWS中还要再删除,不过这时他不会再弹出窗口而束手就擒了.中途注意不要双击到其中一个文件，否则所有步骤都要重新来过！ 然后再注销。 我在奋战过程中，把那些文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。 然后，到C:Windowssystem32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com 嘿嘿 我也会用com文件，然后双击这个COM文件 然后行动可以进入到DOS下的命令提示符。 再打入以下的命令： assoc .exe=exefile （assoc与.exe之间有空格）回车然后再打 ftype exefile="%1" %* 回车 这样exe文件就可以运行了。 如果不会打命令，只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。 但我在弄完这些之后，在开机的进入用户时会有些慢，并会跳出一个警告框，说文件"1"找不到。（应该是Windows下的1.com文件。）,最后用上网助手之类的软件全面修复IE设置 最后说一下怎么解决开机跳出找不到文件“1.com”的方法： 在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]中 把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"