azaaza

杀毒第一步：
显示隐藏文件夹（建议对我的电脑所有操作用资源管理器。）

打开把c:\windows\下的regedit.exe改名为1.com ,双击打开1.com ,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
下面的regedit.exe项,右键删除.regedit32.exe也删除，cmd.exe也删除.顺手也把下面的msconfig.exe也删了.

然后打开HKEY_LOCAL_MACHINE"Software"Microsoft"windows"CurrentVersion"
explorer"Advanced"Folder"Hidden"SHOWALL，
将CheckedValue键值修改为1
这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为 0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）
方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示。

第二步 中断病毒进程。把下面的内容复制存为文本文档，后缀改为reg。双击运行

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Control Panel\Desktop]
"AutoEndTasks"="1"
"HungAppTimeout"="200"
"WaitToKillAppTimeout"="200"
"WaitTOKillService"="200"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="200"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AlwaysUnloadDLL]
@="0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows]
"NoPopUpsOnBoot"=dword:00000001
[HKEY_CLASSES_ROOT\lnkfile]
@="快捷方式"
"EditFlags"=dword:00000001
"NeverShowExt"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{2227A280-3AEA-1069-A2DE-08002B30309D}]
@="Printers"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer]
"Link"=hex:00,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000003
[HKEY_USERS\.DEFAULT\Control Panel\Desktop]
"FontSmoothing"="2"
"FontSmoothingType"=dword:00000002
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"MaxConnectionsPer1_0Server"=dword:00000008
"MaxConnectionsPerServer"=dword:00000008
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control]
"WaitToKillServiceTimeout"="1000"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\epiaumj.exe]
"Debugger"="c:\\病毒类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\epiaumj.exe]
"Debugger"="c:\\破坏类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pgijhph.exe]
"Debugger"="c:\\病毒类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pgijhph.exe]
"Debugger"="c:\\破坏类.exe"

azaaza

第三步，删除所有病毒文件

把C:\WINDOWS\system32\epiaumj.exe
C:\WINDOWS\system32\pgijhph.exe
删除，同时在C:\WINDOWS\system32\下删除创建时间为1980年的文件

再把每个盘符下的可疑文件删除，如runauto之类（很好发现的）

如果有些文件无法删除，可以用unlocker

下载地址：http://www.onlinedown.net/soft/24732.htm

使用方法：1、安装unlocker
2、找到你要删除的文件，点右键，在右键菜单中选择unlocker选项。然后会弹出一个unlocker程序的界面。
3、如果你要删除的文件被进程调用，那么在界面中会看到调用的进程，选中这些进程，然后点unlocker键（在右下方的键中，好象是这个名字）。点击后，你会看到进程被杀掉了（即窗口中进程框中没有进程了）。
4、然后点击左下方的下拉选择框，选中delete选项，再点击unlocker键，文件就会被删除。

（插播）如果进程中有conima.exe这个进程，先结束然后在C:\WINDOWS\system32\下删除
第四步：修复exe文件无法打开。
这个来源于360卫士论坛苏任之原创，http://teyqiu.5d6d.com/thread-234-1-1.html
  

解决exe打不开或者找不到问题_FOR WINDOWS XP.rar (70.44 KB)
  http://bbs.360safe.com/attachment.php?aid=23829
解决exe打不开或者找不到问题_FOR WINDOWS 2000.rar (69.77 KB)
http://bbs.360safe.com/attachment.php?aid=23830
下载以后直接运行。
5删除启动项
在运行中输入msconfig在启动一栏中只留下杀毒软件和输入法
重新启动电脑试试 看看成功没有。
如果有不明白的地方
可以参考http://bbs.360safe.com/viewthrea ... &extra=page%3D1
http://bbs.360safe.com/viewthread.php?tid=175326
外行第一次谈杀毒心得 不要见笑 如果有问题 望指点

[ 本帖最后由 azaaza 于 2007-7-4 08:25 PM 编辑 ]