手动清除MIRC蠕虫 % o. s  [% S# W: i* M+ X

  q9 S6 s' p! h& w9 K; `病毒描述：
% f" t/ y7 M2 I1 i4 R* i% ]/ Epcfix.job.topzj.com该蠕虫病毒是一个基于irc聊天室的蠕虫，它具有irc聊天服务器 ( G" Y' q3 b9 {4 ]# ~  o
功能，通过扫描网上的弱密码传播。
9 X2 \' r; n+ J- p! v+ r% ]电脑维修|电脑知识|电脑学习|电脑交流
$ N1 ?$ C$ Q9 f6 e! e* M传播机理： 电脑维修|电脑知识|电脑学习|电脑交流% i. W' I7 X1 Q& m8 h
该病毒的传播机理比较简单，是通过一个批处理命令来实现的。
% d7 i3 L8 H4 [6 T6 W+ S『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』
' X0 _* S7 h0 {文件的内容如下：
" g  ^. ~0 v  y' Q. p; m电脑维修|电脑知识|电脑学习|电脑交流net use /del \\%1\ipc$
% x8 E# @3 m$ G$ Y. G『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』net use \\%1\ipc$ "" /user:administrator
( _1 Y3 R$ E0 Y& B$ V8 b『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』net use \\%1\ipc$ "" /user:Administrator
9 i, E3 [& {  W' g# A+ g+ spcfix.job.topzj.comnet use \\%1\ipc$ "admin" /user:Administrator
+ ~$ D# j- T! v) }5 h7 h: r' [『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』net use \\%1\ipc$ "admin" /user:administrator
% \/ |6 g/ d3 r) ]% s电脑维修|电脑知识|电脑学习|电脑交流net use \\%1\ipc$ "password" /user:administrator 2 e( H/ k* e) `
net use \\%1\ipc$ "password" /user:Administrator
$ L5 k& l5 i' J" U# H' `net use \\%1\ipc$ "12345" /user:Administrator
& q7 y0 b6 k" T0 ^9 c5 Xpcfix.job.topzj.comnet use \\%1\ipc$ "1" /user:Administrator ! ~" l$ J7 [: c  Y( [# I
net use \\%1\ipc$ "administrator" /user:administrator
9 \- n8 r' ], Anet use \\%1\ipc$ "root" /user:root $ U# R* w; w' h8 i
net use \\%1\ipc$ "admin" /user:admin
5 w0 x  Q1 a& `+ zpsexec \\%1 attrib.exe -r fonts.exe
+ H/ G4 M; d+ N( ]1 O- d) O. c7 q) |『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』psexec \\%1 -f -c -d fonts.exe -o
8 t" N' n" P' K5 n2 R* Zpsexec \\%1 -d fonts.exe -o   n% W  z. t2 t( ~# V3 I
net use /del \\%1\IPC$ , M$ o7 D9 t* ]% v
net use /del \\%1\C$
& t% Y! u8 e' |, V4 pnet use /del \\%1\ADMIN$ pcfix.job.topzj.com$ I* V. i3 B# y& m8 C+ k: }
从这个批处理文件我们可以很清楚的看出病毒传播的过程，它首
2 C, V$ }  m- q( k先使用系统自带net use命令去测试空口令和弱口令账号的连
. W$ a8 d( x: N: x+ {『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』接，一旦成功便是用psexec命令将fonts.exe文件考到对方的机
% P/ y5 R: ~' i5 h4 _( w8 s0 t" F# Bpcfix.job.topzj.com器上运行。Fonts.exe为一个病毒的打包程序。运行该程序会在 pcfix.job.topzj.com- e0 K$ L  u  c$ W+ p9 j
%admin%/fonts/目录下生成一系列文件包括：
+ d# ^$ h# b0 e% E% x7 Ypcfix.job.topzj.comadobea.exe (mirc的主程序) ( o% t7 J5 g% Q* G6 A% A' S
adobes.exe （病毒启动文件）
0 L' g8 C) ~$ E( b8 l" Aattrib.exe （修改文件属性程序）
. F# y0 y& G0 U* ]pcfix.job.topzj.comb.exe （隐藏进程文件） ! g; ^' Z/ u; @# G6 b7 f
kill.exe （远程杀进程软件）
% O3 d; ~9 K0 V9 p/ c( b  Cpcfix.job.topzj.compsexec.exe （远程执行软件）
8 X4 G. [, Z3 f* @pcfix.job.topzj.comxdcc.exe （未完成的功能的）
/ J4 j. _0 l% O电脑维修|电脑知识|电脑学习|电脑交流abc.bat (病毒传播的批处理文件) * ~8 e) Y8 p* J- R4 o, a) Y
abc.dll ; B  i: g! x0 x" v
abc2.dll
3 P2 K) y) q1 T* N0 I$ s9 cmoo.dll (以上三个都为adobea启动时需要的动态库文件)
1 J% K: x; C" d# k% H
# j1 Y* v; O  G. l9 {& N  q% C病毒程序执行后会在注册表里添加如下的键值，以便在下次启动
+ o0 M% H1 T# {) m+ x; u时能正常运行： 5 g: w. h7 }% ?
//HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//run + V$ t3 l7 {% m, I
键值：AdobeA %admin%\fonts\adobes.exe
& h7 {6 Z3 a. n『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』) ~8 D$ c3 V. _  `2 B
病毒危害：
; {4 R3 ~+ I5 z/ Q8 a5 f" q& {『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』adobea.exe为一个修改过的irc聊天服务程序，它会在后台偷偷 - P3 r$ ^& y8 l6 W3 H& `1 Q! G
的运行，并将本地的信息发往国外的IRC服务器，通过IRC的脚本 pcfix.job.topzj.com. K0 ?$ d# i& M  I5 m# ]
执行功能，入侵者可以通过其他的IRC服务器来控制被感染的机
+ d2 Q1 O9 }# [: e+ l* P0 v器使之成为一个功能强大的服务器（功能包括文件传输，网络扫描，DOS攻击等多项功能）
# ^# K- q" v3 V" a4 P  Dpcfix.job.topzj.com『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』% v6 r3 I  {- J
检测方法： " ~8 Y* z/ x- H# n, `9 j
1）察看系统目录中FONTS目录下是否有病毒的相关文件，
6 E" c- l4 B2 s) p, H$ Qpcfix.job.topzj.comWINDOWS默认设置下在FONTS目录下只能看到字体文件，我们可以
3 h0 [: C1 i. Lpcfix.job.topzj.com通过在命令行状态下使用DIR 命令察看。
# c8 Z6 n" H6 E' P电脑维修|电脑知识|电脑学习|电脑交流
/ M; s2 m) e5 k5 O- V6 ]1 r' Bpcfix.job.topzj.com2）察看注册表中的相关键值，看是否有上面所提的%admin%\fonts\adobes.exe键值
( Z9 o" Z# m- D& j; y1 i  h电脑维修|电脑知识|电脑学习|电脑交流
5 U. Q6 z3 k( D% V3）使用NETSTAT –AN命令察看是否有目标端口为6667的连接
) ]# f$ T7 S& @9 E& M( m『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』
4 G4 L* n. \3 {+ @/ X) T8 e+ E电脑维修|电脑知识|电脑学习|电脑交流清除方法：
! ]1 I* V! Z# K8 r& H手动清除方法
: _* L* K+ ]3 W  Xpcfix.job.topzj.com1）使用进程管理功能，杀掉ADOBEA.EXE进程
1 `, Z( T8 }. h7 M: d8 p; h7 G* v电脑维修|电脑知识|电脑学习|电脑交流2）到注册表中的
/ \! f$ z7 W) P$ _pcfix.job.topzj.com//HKEY_LOCAL_MACHINE//SOFTWARE//Microsoft//Windows//CurrentVersion//run
6 `: s+ q4 F) J, s( w* C, Y项中删除键值：AdobeA %admin%
7 h3 i6 Q: ?! H8 E0 Y7 X# `8 `- b\fonts\adobes.exe 3 a. V9 i, N7 }0 l
3）清除FONTS目录下的所有蠕虫生成的文件
) x2 U) r) n+ p) d
; Q) w* ~) K& N& m7 u6 d/ m4）重新启动机器

冲击波病毒手工清除 0 q9 I: R, o) x7 q" N
  B6 T+ f7 p0 s& h! U& V( _3 w9 i( U
三个步骤清除“冲击波”病毒（手工应急清除方案)推荐使用瑞星专杀工具
: c, h) U0 `. f『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』
$ |  U( z1 p- l/ z3 r  q9 m『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』第一步：终止恶意程序 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』; L$ T. r, V8 x' f  [# `" c

8 W$ U- l4 E! }9 Ipcfix.job.topzj.com打开Windows任务管理器，按CTRL+ALT+DELETE然后单击进程选项卡 . Z5 A: [8 |4 y  f
在运行的程序清单中*, 查找如下进程:MSBLAST.EXE ( P  E9 b: A$ X3 K4 T3 h1 [* B6 N" M
pcfix.job.topzj.com  b6 p9 |7 `. o3 e) J# v, l3 L4 V
选择恶意程序进程，然后按“终止任务”或是“中止进程”按钮。 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』: |9 C# S8 y2 V$ u9 G$ W+ m; u5 P" v' d  B
为确认恶意程序进程是否中止，请关闭任务管理器并再次打开看进程是否已经终止。
) e6 c* I( M* O3 @电脑维修|电脑知识|电脑学习|电脑交流
& ~/ {" T* S- [5 |# z% e* e6 o关闭任务管理器。
' z7 T  ?1 _( n( }4 ?' C$ Q/ ^8 k' C& S/ e' ^7 P
第二步：删除注册表中的自启动项目 pcfix.job.topzj.com# E% C! l. B* }* i5 _

2 w+ l* H6 a% W9 g1 x/ Z删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行
1 |* A; I8 L+ L" T! h' W) Kpcfix.job.topzj.com
/ G! z! n. H6 Kpcfix.job.topzj.com单击 开始>运行, 输入 Regedit, 然后按 Enter 键打开注册表管理器 5 P& R$ j% X, U, g6 L1 u
在左边的列表中双击以下项目：
2 [) C5 J5 \2 F8 m* Q2 {$ pHKEY_LOCAL_MACHINE>Software>Microsoft> $ \( l1 {; K; b; J# h7 C
Windows>CurrentVersion>Run
: k$ e5 {# i1 i& s( @! u" {在右边的列表中查找并删除以下项目
) i9 h. G) Z) o/ D7 |6 XWindows auto update" = MSBLAST.EXE 电脑维修|电脑知识|电脑学习|电脑交流% e2 D, N. W$ C" ~
关闭注册表编辑器 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』$ U9 e* F2 J% u& S4 u
注意: 如果之前没有终止恶意程序进程，请重启您的系统 $ \, @% A+ S! {- c  }4 [

- x' Z( L# O  Q0 F* W1 I$ s6 x第三步：安装微软提供的补丁 ' S. U9 ~) L# t) j1 z) }
) u# J& M" Q0 Y+ m/ u
Microsoft Security Bulletin MS03-026 pcfix.job.topzj.com0 O0 B5 p4 V' @2 ^' G) ~; b$ e7 _

( K/ h' o# i5 D# m: f& P电脑维修|电脑知识|电脑学习|电脑交流建议用户对135端口的访问进行过滤，使得只能进行受信任以及内部的站点访问。 更多详情请参阅微软发布的漏洞报告
' `( {6 t8 J7 t5 a$ @8 Y+ b. V, `; C电脑维修|电脑知识|电脑学习|电脑交流: m+ f' }( Y, q& N( L
http://www.microsoft.com/china/t ... lletin/MS03-026.asp 电脑维修|电脑知识|电脑学习|电脑交流3 Q( J: b8 F. @9 P2 t

* j+ X0 n3 B" ]5 n: K5 c1、先在任务管理器中将 msblast.exe 进程杀掉，之后将windows安装目录下的system32文件夹下的msblast.exe删除
: |2 k% V9 ~$ X% b1 O" m5 R2、运行SERVICES.MSC找到remote procedure call(RPC).并双击 1 F/ n: g3 d+ e* H# s3 d; C$ ~. R
然后在恢复选项卡里面选择,恢复，选择服务失败时的计算机反映，并将第一次失败、第二次失败、第三次失败的选项选择为不操作 pcfix.job.topzj.com  e0 @' B4 u4 b: R% q) r9 E! C3 D! t* {
中文2000补丁（SP2以上） 9 }9 Y/ Y0 Q. |+ _! v+ o+ K) v9 z
http://218.29.0.250/Windows2000-KB823980-x86-CHS.exe
, s' A6 Q, y8 W( b6 o  `) y, o0 b, E) |. {5 f$ B8 |
中文XP（破解的不要装） ) f3 C2 V6 [: e& |1 a) z0 H
http://218.29.0.250/WindowsXP-KB823980-x86-CHS.exe 电脑维修|电脑知识|电脑学习|电脑交流$ G' d  z7 i7 Z
电脑维修|电脑知识|电脑学习|电脑交流2 N7 b; F+ M" C0 E) |" G" r6 P
中文2003补丁
1 j! A3 n+ B; p9 \2 e$ i, R  T4 bhttp://218.29.0.250/WindowsServer2003-KB823980-x86-CHS.exe

手工清除震荡波(Worm.Sasser)病毒 pcfix.job.topzj.com; m( A& Q: z. `. h; l* i, L. L0 o

! ^* t- b4 a8 t3 p5月1曰，“震荡波(Worm.Sasser)”病毒在网络出现，由于该病毒是通过漏洞进行传播的，因此这几曰用户如果上网极有可能会感染该病毒，然后出现系统反复重启、机器运行缓慢，出现系统异常的出错框等现象，如果用户出现了上述现象，则需要对该病毒进行清除。 pcfix.job.topzj.com" n8 w0 U- t' N3 n" P% y$ _0 a
『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』$ h. m/ V  n2 E4 O; g. A: Z  h
手工清除四部曲。
4 O- O1 C* Y7 I3 E1 b/ u6 |  D* Upcfix.job.topzj.com
! W2 ^8 x" i8 C7 w( X" `『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』1、断网打补丁。
  p5 c+ l' e3 h8 ~9 p1 S! C4 N* ?* n* j0 ]+ @! ~
如果不给系统打上相应的漏洞补丁，则连网后依然会遭受到该病毒的攻击，用户应该先到以下地址http://www.microsoft.com/china/t ... letin/ms04-011.mspx下载相应的漏洞补丁程序，然后断开网络，运行补丁程序，当补丁安装完成后再上网。 电脑维修|电脑知识|电脑学习|电脑交流. r3 P2 ^$ Y8 A" D. z1 z' P
  ?) z  n) m5 c! ~" K* z" e+ Z6 ^, H
2、清除内存中的病毒进程
, P+ z* o# x6 T  Z/ Y. E. ^『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』
4 j9 H$ ?4 m, \5 c/ @要想彻底清除该病毒，应该先清除内存中的病毒进程，用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏，在弹出菜单中选择“任务管理器”打开任务管理器界面，然后在内存中查找名为“avserve.exe”的进程，找到后直接将它结束。
, F* i# A% v& n$ p5 W电脑维修|电脑知识|电脑学习|电脑交流
  M6 e1 @% v1 I2 F. h; O1 Q  l+ S8 Q『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』3、删除病毒文件 ; a/ Z7 P( L" B* P, e* m7 Z4 c
9 D: E8 i: T2 W/ }4 S  i
病毒感染系统时会在系统安装目录（默认为C:\WINNT）下产生一个名为avserve.exe的病毒文件，并在系统目录下(默认为C:\WINNT\System32)生成一些名为<随机字符串>_UP.exe的病毒文件，用户可以查找这些文件，找到后删除，如果系统提示删除文件失败，则用户需要到安全模式下或DOS系统下删除这些文件。 # J- {/ g$ J; F0 j1 m) C' ?0 A3 q, c- \5 m
: Y7 B1 l% c" C# L) P% Y/ e2 l
4、删除注册表键值 电脑维修|电脑知识|电脑学习|电脑交流& r& q% c, ^6 w0 {! o. W/ R. @

5 u6 l7 X, u/ i2 {  B0 B该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”，内容为：“%WINDOWS%\avserve.exe”的病毒键值，为了防止病毒下次系统启动时自动运行，用户应该将该键值删除，方法是在“运行”菜单中键入“REGEDIT” 然后调出注册表编辑器，找到该病毒键值，然后直接删除。

QQ杀手病毒的手工清除方法
% d6 v. F3 X% }9 |电脑维修|电脑知识|电脑学习|电脑交流
& C5 S7 [) N; S# i8 K3 P　　近曰笔者的朋友收到一位网友发来的文件，文件名为OICQPASS，图标为一只可爱的小企鹅。那网友告诉他此文件可以增强QQ聊天的保护功能。结果双击运行后却什么提示也没有。但是后来发现任务管理器中有个SMTP任务在运行，后来确定是病毒，并最终清除。
7 X; C! @6 x* _) ]# vpcfix.job.topzj.com　　其实朋友中的是OICQ密码杀手病毒，OICQPASS.exe是个主程序，还有xxc.dll文件，里面填写了E-mail地址，只要一运行OICQPASS.exe就被种上了木马，OICQ密码就会被发送到那个xxc.dll文件里面的E-mail中。
. V8 W6 p+ j* X: S3 I0 I( l
* h+ y2 S6 M8 q　笔者利用江民2005和QQ病毒专杀工具查杀，竟然报告未发现病毒,那就手工清除吧。
4 d3 V$ Q- P; _  s  H) Mpcfix.job.topzj.com
$ R7 {$ |. b1 ^/ s, x- M9 \pcfix.job.topzj.com　　1.首先删除病毒文件，然后到HKEY_LOCAL_MACHINE\Software\Micrsoft\Windows\CurrentVersion\Run中查找，发现和此OICQPASS病毒有关的两个启动项，一个是病毒文件所在的地址，另一个为C:\WinNT\System32\OICQPASS.EXE，于是分别删除这两个字符串；然后再到C:\WinNT\System32目录下去删除OICQPASS这个文件，但怎么查找也没发现这个文件，笔者以为病毒已经清除掉。重新启动机器，在任务管理器中竟然还有一个SMTP在运行，看来病毒还没有完全清除掉，马上停止了此进程继续查找病毒所在。
' V3 e3 l1 V1 l- ~电脑维修|电脑知识|电脑学习|电脑交流
* Y' G& y2 g* A, O! A* L　　2.到注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 中一看，C:\WinNT\System32\OICQPASS.EXE这个启动项仍然存在，看来OICQPASS这个文件一定还存在，但为什么找不到它呢？
) _% Y! K2 A! H$ }7 W+ e8 i『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』, M1 {4 Q) r9 A& v" V( u" h
　　3.在C:\WinNT\System32中又进行了筛选过滤，发现Winserver这个文件的图标是个小企鹅，这引起了笔者的怀疑，Winserver好像是系统文件但怎么戴个企鹅的帽子？删除这个文件后重新启动机器，机器提示“无法加载或运行注册表指定的Winserver.EXE，请确认文件是否存在你的计算机上，或者删除注册表中对它的引用”。再到任务管理器中检查，一切正常了。
1 [0 @& `' L8 w# Z( P8 i6 s4 k( w4 N
　　这个病毒挺狡猾，还会用假像迷惑人，它不但在启动项中放了一个烟雾弹，而且生成了一个貌似系统文件的“Winserver”文件。至此手工清除木马病毒过程宣告结束，笔者也长舒一口气，希望这个方法可以帮助有同样问题的朋友。

手工查杀QQ流行病毒
) T7 S# \7 ?0 u6 A
# Z2 w8 t* Q2 h! j: m% @QQ弹出式广告木马 电脑维修|电脑知识|电脑学习|电脑交流& N9 x, R) x! l2 T% Y) f3 `4 P8 P

7 V, s& M: z/ |1 K+ Q1 C: L6 l『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』　　该木马会伪装成QQ式的弹出广告，随时在屏幕右下角弹出广告窗口。将鼠标放到该窗口中，鼠标会变成手状，点击窗口任意处即可打开浏览器链接到广告网页，而正规的QQ弹出广告窗口中大多为文字或图片说明，只有点击说明中的链接才能打开网页。所以该弹出广告窗口实为一个网页链接木马，大家要认真区分。 电脑维修|电脑知识|电脑学习|电脑交流9 |/ x+ }0 i- S; F+ l7 n

/ k2 D$ E' V  n( c  C1 npcfix.job.topzj.com　　解决办法：该木马会在C:\Windows目录中建立了一个“Backup”文件夹，并且采用自动加载和监视备份文件功能，使你在安全模式下也无法手动清除该木马。解决办法是使用批处理功能，在木马程序重建备份之前抢先删除它。
1 g- s9 r- I( h  }; u『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』
  z8 ?7 H1 d( R# o, ^　　重新启动机器，按F8键选择安全模式进入系统。新建文本文档，输入：
6 }, D$ }2 C& Q3 Y" T4 H: z/ @『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』! @- D. F2 ?6 q& O7 S7 f
　　“Move c:\windows\backup c:\windows\bak(将Backup目录重命名为Bak) , u% E$ m* A  s# S9 b

# n- U- B! T% r1 r; x; ~pcfix.job.topzj.com　　Md c:\windows\backup(在C:\windows下建立Backup目录)”，
9 Y6 T) S: f" g1 o# z5 ]. ppcfix.job.topzj.com电脑维修|电脑知识|电脑学习|电脑交流& A1 X8 E( t. z+ F* v7 H
　　接着点击“文件/另存为”选项，将文件名更改为“QQ广告.bat”进行保存。
" \4 Y" [8 b( X4 K
( U9 H& C3 u0 n　　提示：括号内的说明不用输入，下同。
# k- V) p7 z! B) `# H& @5 r) Epcfix.job.topzj.com
$ ~& r6 J+ g/ u) e『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』　　运行该批处理文件后，立即将“C:\windows”文件夹中的“Bak”文件夹删除，完成了木马备份文件的删除。接着再新建一个文本文档，输入： " I/ Q/ S/ b' \' j5 F$ C% Z6 Y

4 {. t- z' a& {* ~7 N- I0 G. t( b; o6 N　　“cd c:\(将当前路径改为C:盘的根目录)
" q9 d' ^4 g6 z" w% S- L# |. Q8 s- C4 e: O* B! G
　　cd C:\windows\Downloaded Program Files(更改当前路径)
4 N# f! K- r7 V8 ~- l% H5 R# N6 }8 O! ]3 w1 y& _* W
　　C:\windowsDownloaded Program Files move _IS_0518 c:\bak(移动相关文件夹)”
, O5 z) J+ _( q% R3 z- v电脑维修|电脑知识|电脑学习|电脑交流$ b; a0 g' |' g% W- v: x' E( u
　　然后点击“文件/另存为”选项，保存为“QQ广告2.bat”文件。双击运行后，将C盘的“Bak”文件夹删除，再进入“C:\windows”目录，删除Backup文件夹，即完成了木马文件的清除。
$ t* ^/ r  M( Q. \
7 v& ~4 r8 @& @　　最后在“运行”对话框中输入“Regedit”，打开“注册表编辑器”窗口，分别将“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advapi32”和“HKEY_CURRENT_USER/Software/advapi32”两个键值删除即可。
! L/ H$ }; a1 u: B( H
6 `. ~* I) @# j+ Z　　多多QQ表情
2 t) C9 ^9 F. r; t/ N, P/ u『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』1 J* l/ j. U8 s; H. q' N) b
　　“多多QQ表情”是一个流氓软件，大多与其它软件进行捆绑安装。一旦安装上“多多QQ表情”后，其包含的“Update”文件会创建“Updata.exe”进程，并对系统作一系列改动，生成大量恶意文件。IE浏览器主页会被篡改，使用自带的卸载程序无法将它卸载干净。 电脑维修|电脑知识|电脑学习|电脑交流8 `- e! g: T( T5 T' P  }* w

$ j5 m) t! B% M3 a6 B　　解决办法：要想手动将“多多QQ表情”清除干净，先打开“运行”对话框，输入“%ProgramFiles%\qqhelper\uninstall.exe”，点击“确定”按钮卸载“多多QQ表情”程序。 接着打开“任务管理器/进程”窗口，结束“diskman.exe”进程。然后再打开“运行”对话框，输入“services.msc”，点击“确定”按钮后打开“服务”窗口，找到“Universal Disk Manager”服务，将其设置为禁止。再将“C:\Program Files\Common Files\SAN”文件夹和“C:\Program Files\Common Files\Upd”文件夹删除。
" S, C4 g- E* P( Dpcfix.job.topzj.com4 @3 w8 T- O0 `8 `4 X5 x* m" Y
　　接着打开“注册表编辑器”窗口，在左侧窗格依次点击“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”项，在右侧找到“Update"="%ProgramFiles%\Common Files\Upd\update.exe”键值，将其删除。
9 [3 O- s0 L# g0 x3 h6 w0 A5 J2 u5 [) y! a7 i) y
　　然后在桌面用右键单击“我的电脑/属性/硬件/设备管理器/查看/选中“显示隐藏的设备”选项，接着在设备列表中展开“非即插即用驱动程序”选项，找到“Universal Disk Manager”，右键选择“卸载”。
% I' K& b3 N, K9 H- b8 d5 N) g+ d5 n8 N; ?: {$ C" a; U
　　最后再打开“注册表编辑器”窗口，在左侧窗格中依次点击“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”项，找到“Universal Disk Manager”键值，将其删除，并点击“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root”项，删除 “LEGACY_Universal Disk Manager”即可。
3 R5 f# R! |& e5 m0 F6 p' {电脑维修|电脑知识|电脑学习|电脑交流
1 c2 n- ~4 _, E9 u8 m& F『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』　　杀灭QQ乐病毒 . t4 b- E+ F9 y# ^6 G- y' W9 K' U
pcfix.job.topzj.com) p/ b4 @5 H  v1 k
　　“QQ乐”病毒（Worm/QQMsg.Lee）会自动搜索QQ用户中的好友，不断向他们发送包含一串网址的消息。好友在点击网址链接登陆网站后，就有可能会感染该病毒。
% C8 ~8 ?2 ~! b5 Apcfix.job.topzj.com' i& E3 x+ w( _4 d
　　解决办法：“QQ乐”病毒会创建“System32.exe”进程和一个名为“Lee”的管理员帐户。会在每个分区根目录下创建“Autorun.inf”文件和“System32.exe”、“System32dll.dll”文件。由于“Autorun.inf”是自运行文件（常用于自启动光盘），这样在双击任意分区盘符时就会使系统自动执行该“Autorun.inf”文件的命令，以达到运行“System32.exe”“System32dll.dll”病毒文件的目的。接着用搜索查找“Lee”关键字，会找到一个创建管理员账户的批处理文件“Admin.bat”。最后将每个分区根目录下的“Autorun.inf”、“System32.exe”和“System32dll.dll”文件删除，再将搜索到的“Admin.bat”文件删除即可。 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』" y. G" B( L+ v2 f

7 U( B- r3 V1 f& F: v7 \0 @# Y9 Q# \1 m　　QQ龟病毒的查杀
0 }& m/ W) f& B& Y& m! A  C
  H1 R1 d7 e4 j! P! b& y　　一旦感染了“QQ龟病毒”（Trojan/QQMsg,Zigui.b），你的电脑便会出现这样的症状：自动给QQ好友发送文件，而且文件名为“……白骨精……”、“一个对你工作有益的东西”等等。该病毒被金山毒霸网站上排列在2005年十大病毒之第四位。 % H7 h" M4 u2 X+ u
  |; M2 \5 i2 J
　　解决办法：打开任务管理器，结束掉RUNDLL32.EXE和TIMP1atform.exe（注意P后面是数字1）进程。
$ w( e, @# S6 L, r  g5 M『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』) e& ?3 K( p7 ^( a, g8 `
　　设置让Windows显示隐藏文件，找到以下文件并且将其删除：%System%\��.exe
" p* w+ @/ m& ?
/ f% f1 p2 C$ F4 E2 Q9 q　　%System%\notepad��.exe和%Windir%\System\RUNDLL32.EXE；还要删除QQ目录中的TIMP1atform.exe（P后面是数字1，别删错了）。 pcfix.job.topzj.com' R5 t( ?- l, O

5 v$ a1 P* P- q1 D5 f+ _. e' Spcfix.job.topzj.com　　打开注册表编辑器。删除“HKEY_LOCAL_MACHINE\Software\Classes\Msipv”和“HKEY_CURRENT_USER\Software\Classes\Msipv”下的“MainSetup”、“MainUp”、“MainVer”三个DWORD键值。
) g; Z0 q" K+ p3 u' F! ]+ c电脑维修|电脑知识|电脑学习|电脑交流
; S( n. A) |7 P: |; i- h2 X3 cpcfix.job.topzj.com　　最后通过修复EXE和TXT文件关联，重新启动即可。

手动清除诡秘下载器变种CXW
; N6 A7 ~+ {9 s' C7 Q) x
; ?6 S$ @* l. O该病毒运行后会从黑客指定的网站下载指令并运行，会将用户IE浏览器的主页锁定为一个名叫“7939上网导航”的网站，以提高该网站的访问量。该病毒会试图禁止多种安全工具软件运行，并会造成一些主流杀毒软件运行不正常。它还会自动从http//down.Viru??ky.com下载新的病毒并运行。 . q; M5 x: u3 H0 N' s& D2 A" C; g

( T* |/ ]; Q# A电脑维修|电脑知识|电脑学习|电脑交流手工清除：
7 h3 ?9 R' o+ k! c7 \9 O『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』
' P# @. \- `- r$ t6 C8 D9 L一、清除内存中的病毒
, ?- L3 W: ~! v9 O' {pcfix.job.topzj.com
0 a& i6 S! }0 v+ v! D; opcfix.job.topzj.com在任务管理器中找到名为“Realplayer.exe”和“Explorer.exe”的进程，单击鼠标右键，选择“结束进程”。 , |. u- l7 \" y, f0 g3 ~' R

, D/ k- A- {2 L  y% T  b! U% z$ _“Explore.exe”进程被结束后将会看不到桌面图标和任务栏，这时按住Ctrl+Alt+Del键，启动任务管理器，点击菜单“文件”－》“新建任务（运行…）”，输入“explorer.exe”，点击“确定”。
4 t' T4 _; r% e6 R1 U+ U『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』4 X' z! k) b/ Q! Q. N; G
二、删除病毒文件
: o! g, |" C' `( B4 }8 X
: n  |! \+ J' Z1 V' S# t1、打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏已知类型文件的扩展名”前的对勾，然后点击“确定”。 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』2 _0 m+ x- W  Q; _) M
, K3 |8 E$ y8 B. o1 ?
2、进入Windows系统文件目录下（默认为C:\Windows\System32），删除掉“realplayer.exe”、“brlmon.dll”（部分变种dll文件的名称为ravmon.dll）两个文件。
3 \9 I7 U5 ~1 ]! ~' e9 \/ |. @电脑维修|电脑知识|电脑学习|电脑交流, S& ~/ i! T. f: Z* A- ^
三、修复注册表 电脑维修|电脑知识|电脑学习|电脑交流2 n& e/ d2 ~: K- I+ v
电脑维修|电脑知识|电脑学习|电脑交流& S+ {0 @! |  ^; c" h
1、点击“开始”菜单，选择“运行”，输入“regedit.exe”并确定，打开注册表编辑器。 2 h& I$ M' M% m: N- x: M
电脑维修|电脑知识|电脑学习|电脑交流1 X1 T: \: j. \1 ?/ A4 r
2、打开HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，在右边的窗格中找到“Realplayer.exe”一项，将其删除。 5 F0 R$ Z1 ~' Z/ f" T

0 j' X2 Q5 W7 {' j0 R& ~/ d: N3、打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，在右边的窗格中找到“Realplayer.exe”一项，将其删除。
5 j# q: i+ m9 n( C5 b电脑维修|电脑知识|电脑学习|电脑交流
& y9 C! v2 `% p& V+ X$ D0 m; y4、打开HKEY_LOCAL_MACHINE\SOFTWARE，将其下的“Microsoft NT”目录整个删除（包含其下的子项）。 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』- u. G& \0 ~) C0 ?& {

' v) K6 s* _' s/ h/ ^" \: {电脑维修|电脑知识|电脑学习|电脑交流5、打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft，将其下的“RunDown”目录整个删除（包含其下的子项）。 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』( o/ `+ K, u: F6 ~0 {3 z$ ]
『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』: [" ~" g! t& m: M4 ]' R
四、修复IE首页
8 i( W# B1 E: t9 H. ~8 r8 u' t$ `0 i
打开IE浏览器，点击菜单“工具”－》“Internet选项”，打开“常规”选项页，在“主页”处自行设置IE的主页地址。
4 r* ]' q# ?/ ?
; d* g1 B& h3 C0 Mpcfix.job.topzj.com用杀毒软件清除： ' ]! i8 _$ l/ N8 ]& h# y' Q2 y

9 O! n( r6 w6 P+ x3 e『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』由于该病毒变种繁多，DLL文件名称不固定，手工清除有一定困难，建议用户使用瑞星杀毒软件进行清除。清除该病毒时需注意以下两点：
. |; {/ |3 X1 {/ E( u3 p$ c『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』5 a1 A7 z* W8 p1 }
1、必须在杀毒软件的查杀目标中勾选“内存”
6 Q/ c! x+ P7 [3 [pcfix.job.topzj.com7 X  M8 i3 _* B3 t$ I
由于该病毒会注入到系统进程当中，因此查杀该病毒必须先对内存进行检查，否则可能出现查杀失败。
7 I+ ]8 w3 c1 d
$ D7 ^$ v* i% ~/ k4 Fpcfix.job.topzj.com2、杀毒后需重新启动计算机
  Q! X& u3 m  o$ Y1 b电脑维修|电脑知识|电脑学习|电脑交流8 Q- a' {4 j0 G' U; K
瑞星在查到该病毒时会提示用户“重新启动计算机后删除文件”。用户只需在杀毒完毕后立即重新启动计算机即可清除该病毒。

手工查杀rose
# i1 j* F* P. s9 J. ]8 o( i
+ \' |; }  Z& L7 H& L# ]% Y/ @: B* C病毒名称：代理木马变种GZ (Trojan.Agent.gz) 6 ~0 P+ K( H+ O/ f5 ~- f' W
病毒类型：木马病毒
! b2 L0 e) a% W% c; w' vpcfix.job.topzj.com病毒危害级别：★★★
" a2 U- k& y0 n6 Ipcfix.job.topzj.com病毒发作现象及危害： 电脑维修|电脑知识|电脑学习|电脑交流$ @8 \- ?6 Y) A3 ^6 E9 ~% Z) Q
病毒采用Visual Basic语言编写。该病毒会通过U盘、移动硬盘等进行传播，会试图记录用户的键盘输入信息，从而盗取用户的网络游戏、QQ、银行卡账号等隐私信息，并发送给黑客。由于其传播机制，目前在学校机房、网吧等小型局域网络中传播较广。
8 f" Q- s( }+ m; E5 G1 Z3 W- V5 ?pcfix.job.topzj.com手工删除：
  ?2 Z' b& `/ n$ y『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』一、清除内存中的病毒 , A' ^( ?/ n: R+ e, Z; w3 e
在任务管理器中找到所有名为“rose.exe”的进程，单击鼠标右键，选择“结束进程”。 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』) P: i8 V4 m/ z
电脑维修|电脑知识|电脑学习|电脑交流7 c  K. \2 O; w: [1 C2 Q7 W
。img_maxwidth) {this.resized=true; this.width=img_maxwidth;}">
2 D  j1 |. r* [/ [1 H电脑维修|电脑知识|电脑学习|电脑交流察看原图　发送到手机 电脑维修|电脑知识|电脑学习|电脑交流, k# w! h2 Y. T* a% w

$ N+ O( w" ^1 y二、删除病毒文件 % s9 k4 m, f6 u2 Q4 [$ c+ M
1、打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。 电脑维修|电脑知识|电脑学习|电脑交流& Y! y+ F& B8 V" @) [' s* w3 k
2、在“我的电脑”中用鼠标右键点击“C：”盘，选择“打开”，注意此处一定不要双击盘符打开磁盘！ ; o& A3 O) l$ i( p/ Q
4 W$ a. W  _  ^3 V) M) _
img_maxwidth) {this.resized=true; this.width=img_maxwidth;}">
; b# `) f) a6 K/ z察看原图　发送到手机 5 R5 w5 c: C3 [- j9 N$ J
pcfix.job.topzj.com; I# X& S4 M9 \
3、删除掉C盘根目录下的“autorun.inf”和“rose.exe”文件。如果根目录下存在“system32”文件夹也将其一并删除。如果提示文件不能被删除，请重新打开任务管理器查看是否已经结束掉了所有“rose.exe”进程。 ! J: G7 K$ @, P

* }3 A3 Q. D" ?2 _8 V+ B电脑维修|电脑知识|电脑学习|电脑交流img_maxwidth) {this.resized=true; this.width=img_maxwidth;}">
! I' f3 `! p; I- q) {; g6 tpcfix.job.topzj.com察看原图　发送到手机
/ q  s2 B: `; Z- O. E『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』
$ H" F$ U* D4 Q$ _5 w% A) B4、如果计算机上还存在其它分区，如：D：、E：等，也要用上面的方法打开磁盘分区，并删除这些分区根目录下的“autorun.inf”、“rose.exe”以及“systemfile.com”文件。 pcfix.job.topzj.com3 M% z) X0 B2 }: B
5、进入Windows目录下的system32目录（默认为C:windowssystem32），删除掉下面的“run.reg”和“systemdate.ini”文件。
) u9 g* Q3 x) G2 `5 k三、修复注册表
2 Q% s7 D4 E- ]% z0 k3 f1、点击“开始”菜单，选择“运行”，输入“regedit.exe”并确定，打开注册表编辑器。
9 u4 L' p7 l# C; q2、打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun一项，在右边的窗格中找到“dll”一项，将其删除。 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』' H( K$ b& `0 c" M1 Z7 E4 R1 G; y& T/ {
0 }0 ?) _, k: u7 p) I
img_maxwidth) {this.resized=true; this.width=img_maxwidth;}">
1 k; V$ D# ^" p8 r& Y察看原图　发送到手机 9 ]& \( X! x; ~4 R2 e7 O0 X( K

4 j& Q" |" s$ \: Z$ F电脑维修|电脑知识|电脑学习|电脑交流四、删除优盘、移动硬盘上的病毒文件
+ ?) a' `$ t0 P: ?7 W这个病毒通过优盘等进行传播，因此在计算机杀毒后也要对这些移动存储设备进行彻查，防止重复感染。 电脑维修|电脑知识|电脑学习|电脑交流0 O3 r. j4 y$ ]* l: s% S
按住键盘上的“Shift”键，插入优盘。然后用和清除硬盘上病毒同样的操作，清除掉移动存储设备上的病毒。
  o' ^/ I, O5 j0 e6 S/ k& ]9 B' h* U五、后期检查 pcfix.job.topzj.com9 w: }1 a4 h$ q. o
重新启动计算机，然后打开任务管理器，查看是否有“rose.exe”进程存在，如果没有，则说明病毒已经清除干净。

手工清除QQ尾巴 ! ~. ~" K; P" \5 U; j; T( G: ^

% W& U9 f. r: K' l, b5 M+ M2 Zpcfix.job.topzj.com1、http://www.18hi.com删除方法 ) i8 i% y; u0 B
7 |7 b2 M( \7 c: d4 u+ S2 p! |  S
在安全模式下删除以下文件： 电脑维修|电脑知识|电脑学习|电脑交流! `; R* d* h* k4 }/ K3 K; x
%Windows%\N0tepad.exe（关联TXT文件，金山影霸RM图标）
2 M* w/ _: z; F# S$ G%Windows%\System\N0tepad.exe（关联TXT文件，金山影霸RM图标）
  o  A/ j) r& a- ]( h* v+ k%Windows%\System\taskmgr.exe（金山影霸RM图标） / `7 k/ J) n- [4 s
%Windows%\System\win.dll
3 o: J8 s4 d" Z7 i# n%Windows%\System\windll.dll pcfix.job.topzj.com7 p& d. O' W- l2 ]
%Windows%\System32\N0tepad.exe（关联TXT文件，金山影霸RM图标） ' o: C6 L1 M- x8 I' R4 S

* n+ R3 ?7 m* ~% c, J注意：N0tepad.exe中的0是数字0，不是字母O。
& ~+ H7 X  i9 x0 i+ v
- s2 {; d- d( \. m  r电脑维修|电脑知识|电脑学习|电脑交流去掉病毒的启动项信息：
$ j* N; M% k( I% C7 @0 i# [电脑维修|电脑知识|电脑学习|电脑交流! X8 |4 g: V7 U0 H- o8 }
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] - I9 e7 s5 t) F0 o- o
"taskmgr"=" %Windows%\System\taskmgr.exe" 8 K$ C( E( v$ A! @2 R$ ^$ Y: i5 y0 ]
1 k7 e; y' B9 R; B
最后还要恢复TXT文件关联。 电脑维修|电脑知识|电脑学习|电脑交流( o3 K9 z1 S7 q- K6 V8 B* K+ z

0 o3 \/ r8 m  h# I1 e2、http://dvd.qq92.com删除方法
# Q! w7 d' ~" y1 T- n电脑维修|电脑知识|电脑学习|电脑交流
- ]# ?. L/ e$ [  C6 n6 E电脑维修|电脑知识|电脑学习|电脑交流用任务管理器结束smss.exe（一个是系统进程无法结束，一个是病毒可以结束），结束可能存在的intrenat.exe winsym.exe winpass.exe。
8 S: s5 M. W- e4 }* ^2 h1 upcfix.job.topzj.com『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』2 a& s' q7 C7 m3 [/ l# l
然后删除以下文件：
: @( L  f1 C. _9 y9 g; K! T%WINDIR%\intrenat.exe
" e2 w( @" {  L+ P; ]pcfix.job.topzj.com%WINDIR%\smss.exe
" U3 w$ _4 r. j4 f+ R  jpcfix.job.topzj.com%System%\winsym.exe
& g/ T1 e2 ~& E%System%\winpass.exe
7 A7 e+ X8 n2 R" E( d5 a电脑维修|电脑知识|电脑学习|电脑交流
+ X, R5 h! [+ M( Y9 ^* H删除注册表中 电脑维修|电脑知识|电脑学习|电脑交流3 {  \) j% x8 ?( Y7 w# {

# A& X! J9 n! w4 eHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe
  u( D$ a- b5 L, S( V# q2 V& q2 ~HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe
4 o  m1 ]3 j8 b8 b4 n电脑维修|电脑知识|电脑学习|电脑交流HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run: %WINDIR%\smss.exe 电脑维修|电脑知识|电脑学习|电脑交流$ b1 y# g' {6 V) D0 l! _/ g6 E
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices: %WINDIR%\smss.exe % X5 k7 q6 c+ P8 b

: `, ?9 g' G" N  J1 C, Xpcfix.job.topzj.com3、http://www.joyiex.com删除方法 6 x# S- b% V2 I! t: a. z' o

. i) j5 m# O# h: x  x7 Z: w! W( C先结束Explorer.exe进程，然后再把Explorer.exe运行起来。
2 l3 D0 }* f- ~
2 S  E' o& d% u; Q! \在注册表编辑器里修改HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL下CheckedValue的值为1。 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』0 _6 }/ d+ A; K5 q7 a2 l  x
电脑维修|电脑知识|电脑学习|电脑交流2 v# h" a3 N3 @
然后删除以下文件：
' M* u. K2 Y/ G0 o* {* Q4 H电脑维修|电脑知识|电脑学习|电脑交流7 f( u, a+ ], T3 y( ?$ x
%Windows%\bak.exe pcfix.job.topzj.com) C$ z+ }0 _; C. C; e
%System%\huangjiaju.exe（0字节）
4 G8 P, q5 ^: y& V# n3 b6 t  m%System%\cc1.exe
6 I' g0 w3 x3 ?  g4 g! _; ]%System%\cc2.exe , u; d5 s" x) k" S
%System%\cc3.exe 电脑维修|电脑知识|电脑学习|电脑交流5 b8 {9 r  a9 B+ }$ e
%System%\whboy.exe
; v* V4 }& j1 [& Q. t4 {pcfix.job.topzj.com%System%\whboy.txt
" s" e5 d; |% d! m" r, b& T, z0 O5 `" f%System%\whboy***.txt（***为数字）
6 H4 K% S% \1 ^& v2 R0 M2 \
- o' {$ l& i3 j$ Q『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe（Windows 9x）；
7 V; T+ H5 [' T& Q% E: O
+ G7 E' R9 x7 y& v在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”，编辑右边“Shell”的内容，将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”（Windows NT/2000/XP/2003）。 3 ~+ }: d! Z+ y' z0 H

. G& y4 l! ?! \2 B一直有变化的主要是 %System%目录下cc1.exe、cc2.exe和cc3.exe这三个文件，如遇变化与上述内容不同请误死搬硬套，稍做变通可自行解决。
- A8 R3 L4 c& u2 t8 w
7 `' }# Y7 r- e2 c5 ?8 m4 I  N* opcfix.job.topzj.com4、http://www.mydj2005.com删除方法 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』8 ]% l% j8 m& _# @" a' m4 q

. _/ x4 w7 |; M9 w! @. T( r' O) F在安全模式下删除： pcfix.job.topzj.com! }1 y% S3 _- F! K# |
%System%\down1.exe
+ u" d! ], T# T" i6 Z( m0 e3 P%System%\down2.exe pcfix.job.topzj.com6 [. i& m7 L, f+ B! R8 o2 Y' u7 C
%System%\huangjiaju.exe（0字节）
4 h. i( B3 [" I! v  Y. T4 T%System%\migpwda.exe
+ ]3 o( l/ M4 R" Upcfix.job.topzj.com%System%\migpwdb.exe 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』4 E2 Y) o7 B% e% l, E- f  V
%System%\migpwdc.exe（关联TXT）
& K2 r* X: n" r' u; R
* W, ]% C# r) l『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』删除病毒的启动项：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』) o; y' g# u9 r5 F' q/ u
windows update = %System%\migpwda.exe
) I) H5 ?) p5 x4 Q. J) h: f8 b电脑维修|电脑知识|电脑学习|电脑交流电脑维修|电脑知识|电脑学习|电脑交流4 L5 f, w5 `3 X8 p9 w0 i6 _7 _* {% s
病毒把TXT文件关联修改为“ %System%\migpwdc.exe %1”，你可以从注册表中修改或者使用工具（如REGFIX）进行修复。
2 Z6 Y- M3 ~  Q+ K7 @
2 \/ B  l8 V8 H  Z0 b编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\migpwdb.exe为Shell = Explorer.exe（Windows 9x）； pcfix.job.topzj.com; k$ k$ M% k$ z$ N7 }  \
电脑维修|电脑知识|电脑学习|电脑交流5 v$ q' J4 r: n: f, X
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”，编辑右边“Shell”的内容，将“Explorer.exe %System%\migpwdb.exe”修改为“Explorer.exe”（Windows NT/2000/XP/2003）。
& \( p4 {5 L/ S5 Q
9 D( Z" b8 W' y. P7 M. u: i电脑维修|电脑知识|电脑学习|电脑交流5、QQ速配 pcfix.job.topzj.com1 N; z2 u7 F# t$ {' {( g

2 a, i7 Z. ?4 w5 [8 E5 Y3 f蠕虫病毒，通过QQ传播，依赖系统：WIN9X/NT/2000/XP.该病毒用Delphi语言编写，运行后把自己复制到系统"system32"目录下，病毒文件名为"Explorer.exe"，伪装成系统文件，修改注册表实现开机自启动。病毒会修改ini和txt文件的关联方式，用户打开这两种文件时会先运行病毒。
7 V- ]: d8 ^) m( G1 Q7 i! epcfix.job.topzj.com" N$ m$ M( _" |' H0 Q" v0 \) j
病毒运行后会驻留内存，查找并结束防火墙和任务管理器，防止病毒被结束。查找QQ聊天窗口，自动发送消息，"哈哈。来看看这个。用QQ昵称为自己速配情侣，看看和你配的叫什么http://***快看看"，用户点击该网址后会中毒。病毒还会从网上下载新的病毒文件，发送的QQ消息内容会随之更改。 3 B3 o4 t1 O2 r- D

) i* h9 {8 g2 O' r/ Q6 k『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』删除方法
+ W* `) W7 S9 i0 k' @( Epcfix.job.topzj.com
5 e2 O: B' r5 y: E6 w% \pcfix.job.topzj.com安全模式下删除 %Windows%/smss.exe文件
  Q- i, h9 p- w) F' i$ {/ G搜索注册表，所有smss相关的项一概删除 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』' q0 Q6 v9 o) r. R9 c/ x4 S
再修改startpage（就是ie默认的首页） pcfix.job.topzj.com+ e, G* J% R) A9 X7 a

) z. S$ i; @7 d6 R/ z6、http://www.91tg.net/rm.asp?.rm删除方法
2 ~& K7 [' G5 M1 l6 o* K
. {& r  P; R* K删除病毒对注册表所作的更改： 『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』. g5 _. W* ?: ?3 h/ p( U) Y( A
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: member.exe
9 z: z1 E5 Z* ^% X" Mpcfix.job.topzj.comHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: services.exe
0 Z5 O3 A6 z( n& g# GHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: member.exe 电脑维修|电脑知识|电脑学习|电脑交流- U/ E) M' d0 N4 Y4 q" ?+ W
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: services.exe ) e* O9 a7 [9 m, P& W% A0 o
HKEY_CLASSES_ROOT\CLSID\
5 [* T: _% m4 h. Z' |& ?电脑维修|电脑知识|电脑学习|电脑交流& P5 g( h/ f' X! m
然后重新启动删除以下文件： 5 `% p( i' ]+ g  Q
%WINDIR%\services.exe $ W0 H9 ^) g$ T+ t
%System%\browscue.dll " p7 o- {3 J% x# c, F3 F
%System%\member.exe ; n2 B# R4 N. N7 k
%System%\winsocks.dll pcfix.job.topzj.com9 s, w+ O: N1 V( A" c4 |6 {

1 ^: Y9 E, S2 _: @2 x. R( g还有桌面上和系统盘根目录下和%Documents and Settings%\“用户名”下可能生成的a1.exe , a2.exe , a3.exe。

4199...7939病毒的解决
% ^/ ^9 g2 u# L7 u& @+ h5 ~" Qpcfix.job.topzj.com『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』* x* |. a9 _8 K5 t
4199病毒解决 " {5 u; e3 ?+ p( ~: l0 l
首先打开注册表
' i) Q2 Q9 ~7 e1 c; W8 `9 S8 x8 @『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』然后在里面查找所有的：www.4199.com
- P% A% h! P" N  y电脑维修|电脑知识|电脑学习|电脑交流把查出来的带www.4199.com 的建全部删除
" L7 x! p% l* L5 M『上海馨欣网络科技有限公司』pcfix--home『馨欣电脑医院』然后在搜索里找到 qqst.dll和rsrc.dll 把他们分别剪贴到桌面