以下项目如果存在的话：在sreng里的启动项里删
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [N/A]
<随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\crasos.exe> [N/A]
<随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\c0nime.exe> [N/A]
<随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\rundl132.exe> [N/A]
<随机字串><C:\DOCUME~1\用户名\LOCALS~1\Temp\winlog0n.exe> [N/A]
<sysload><C:\windows\system32\sysload3.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><C:\DOCUME~1\用户名\LOCALS~1\Temp\upxdnd.exe> [N/A]
<cmdbcs><C:\DOCUME~1\用户名\LOCALS~1\Temp\cmdbcs.exe> [N/A]
<sysload><C:\windows\system32\sysload3.exe> [N/A]
==========================================================================================
打开冰刃,进程,中止以下进程,
iexplore.exe
sysload3.exe
上面启动项里的exe文件如果在进程中的话,中止
==========================================================================================
右键单击explorer-->模块信息,强行解除以下文件
lgsy0.dll
rav20.dll
gjzo0.dll
msxo0.dll
upxdnd.dll
==========================================================================================
在sreng里,系统修复-->host文件-->重置
==========================================================================================
好了,现在基本上大局己定了,收尾工作开始
进入C:\DOCUME~1\用户名\LOCALS~1\Temp目录,删以下文件:
c0nime.exe
crasos.exe
gjzo0.dll
iexpl0re.exe
lgsy0.dll
lgsy1.dll
msxo0.dll
rav20.dll (这个绝,居然伪装成瑞星文件)
rundl132.exe
upxdnd.exe
upxdnd.dll
winlog0n.exe

PS:上面8个全靠sysload3.exe释放,
==========================================================================================
进入windows目录删cmdbcs.exe
==========================================================================================
进入system目录,删以下文件:
1.exe一直到7.exe
cmdbcs.dll
sysload3.exe
==========================================================================================
清空临时文件夹里面的所有东西，包括
C:\Documents and Settings\<用户名>\Local Settings\Temp
C:\WINDOWS\TEMP
Internet临时文件夹（控制面板--〉“Internet选项”---〉“删除文件”---〉勾选“包括临时文件夹”--〉确定）
==========================================================================================
PS:下面这个是病毒配置文件清单,对应中毒者system32目录下的1.exe~7.exe
[config]
Version=1.0.6
NUM=7
1=http://61.153.247.76/cald/01.gif
2=http://61.153.247.76/cald/02.gif
3=http://61.153.247.76/cald/03.gif
4=http://61.153.247.76/cald/04.gif
5=http://61.153.247.75/cald/05.gif
6=http://61.153.247.75/cald/06.gif
7=http://61.153.247.75/cald/07.gif
hos=http://if.iloveck.com/test/hos.gif
UpdateMe=http://a.2007ip.com/5949645046.exe (居然还有自动升级程序,汗)
tongji=http://if.iloveck.com/test/tongji.htm
更绝的是它会自动检测软驱,并且自我复制到软驱中

至于感染exe文件,我还没有发现,呵呵,

近期好多人中这个毒,

望置顶

引用:

【newcenturymoon的贴子】这个病毒主要是感染文件 呵呵 ………………

有什么症状没?

我exe文件,html文件,bat文件全试了一遍,没感染的现象发生呀,

引用:

【newcenturymoon的贴子】如果要有其他分区应该可以发现 虚拟机里好像只有一个分区不好发现 ………………

呵呵,我虚拟机中确实只有一个分区

PS:如果真这样,大家都跟我学吧,买个160G硬盘,不分区,就一个区用,呵呵,

引用:

【newcenturymoon的贴子】启动记事本 是为了感染文件 ………………

呵呵,启动记事本是为了使1.exe~7.exe释放病毒文件

引用:

【kk痞子李的贴子】大侠们救命啊 我机器好象就被感染了！ 正迷惑中？ 有能1V1帮我解决的吗？ PS:冰刃哪里有下？ 还有，我按楼主的方法清除完，但我还有被感染的程序是不是还会反复中啊？ ………………

如果真和7楼说的一样,估计还会中

引用:

【csyken的贴子】右键单击explorer-->模块信息,强行解除以下文件 lgsy0.dll rav20.dll gjzo0.dll msxo0.dll upxdnd.dll 请问楼主,..菜鸟小弟不明白这项这么操作..可以写详细一点么? ………………

你运行冰刃就知道了,

引用:

【emptyzero的贴子】请问是否染毒的所有程序都得重装，能否清除 另外：确切地说感染系统盘之外的所有EXE文件，并不准确，因为我发现我D盘的QQ、WORD、PPT、SSM、KAV（中毒时未开）都未感染，但同为OFFICE家族的EXCEL却感染了（当时也没开） 还有如果将所有的病毒文件清除了，运行染毒文件并没多大影响，源头已断，只会调用IE和记事本程序及写注册表RUN项，但并无危害 ………………

应该不会这么简单,由于我在虚拟机上做的试验,估感染这一项,没查出来,

我感觉如果exe真被感染了的话,病毒肯定会死灰复燃

引用:

【kk痞子李的贴子】根据个人经验，楼住说的那些文件并不全对 不过主要的还是有的， 次病毒重点是 TEMP 里边的文件！ 一定要彻底清除掉！ ………………

sysload3.exe这个是病毒的主程序,

1.exe~7.exe全是由他们释放,

然后1.exe~7.exe再自行释放temp中和system32中的病毒文件

呵呵,看这个,http://vi.duba.net/

金山毒霸里排名老二