引用:

【delxu的贴子】[PID: 1340][C:\WINNT\System32\rundll32.exe] [Microsoft Corporation, 5.00.2134.1] [C:\WINNT\system32\guard.tmp] [N/A, ] 把PID 1340的进程rundll32.exe 杀掉后，C:\WINNT\system32\guard.tmp可以被删除了，但是C:\WINNT\system32\下的dll文件仍然无法删除，注册表项删除了还是会重建。 [PID: 3520][C:\WINNT\Explorer.EXE] [Microsoft Corporation, 5.00.3700.6690] [C:\WINNT\system32\ksdgr.dll] [N/A, ] 把PID 3520的 Explore.exe 杀掉，SHELL都没了，C:\WINNT\system32\ksdgr.dll还是不能删除 ………………

Explore.exe是桌面进程哦!


结束掉所有的进程,除系统正常的进程外,ICESWORD设置禁止线性创建.

超级顽固广告病毒Adware.Look2me清除办法

Adware.look2m系列病毒。
病毒特征：不断弹出广告页面。属于源自国外的病毒。
杀毒软件查杀：瑞星、卡巴等国内杀毒软件不能查到。用ewido anti-spyware 4.0加强版本，扫描内存，发现WINNT\system32\onesvr32.dll等多处感染，应用清除，无法清除，隔离失败。启动自安全模式，扫描内存，清除，仍旧失败。
手动注册表查杀：失败

清除办法：Look2Me Uninstaller Link（http://www.ad-w-a-r-e.com/cgi-bin/UnInstaller）
进入页面下载uninstaller,运行，输入key:11fzFBd5BBWZ（key值随机产生的，请仔细观察浏览页。上面有，是全英文的，稍微耐心点）,重启。

启动后用ewido anti-spyware扫描内存，look2me已被清除。


原link:
http://post.baidu.com/f?kz=135756594

另外一篇强贴：


Adware.Look2Me的分析与解决办法Look2Me的来历：

Look2Me为美国明尼阿波利斯市的NicTech网络公司所有，最早的源头来自于该公司发布的一款反间谍软件SpyBan，SpyBan曾经在国外最著名的下载网站Download.com收录下载过，由于SpyBan拒绝向Download.com透露安装部件细节等原因，被Download.com撤了下来。SpyBan也的确能清除一些间谍软件，但同时也把这个顽固的Look2Me给用户装了上去

流氓特性：
悄悄在用户机器上安装后，不停弹出各种网页，但大多是由www.a-d-w-a-r-e.com来指向的页面，页面内容就是广告内容，五花八门，要啥有啥,另外还收集根据用户访问网页的信息，并反馈到服务器上，再根据信息进行调整

电脑表现：
在\WINDOWS\system32\下随机生成变量的dll文件，并隐藏为只读文件，并让winlogon.exe调用它
在Hijackthis日志里表现为
O20 - Winlogon Notify: Run - C:\WINNT\system32\f6l0lg3m16.dll
在注册表里表现为【dll文件名及键值会变化】
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
.........
上面这些并不全，只是简单的描述了下，但对我们来说，如何处理它才是最关键的

解决办法：
还没有找到完全手工处理它的方法，有一些但并没有效果，那么只有借助工具了。

工具一：借助F-Secure公司发布的专杀工具，运行f-look2me.exe后，按“Y”继续，完成后重新启动
专杀工具下载页面
【注意：网上比较多的look2me专杀工具，比如cleanup、L2MRemover、、spy sweeper、KillLook2Me、l2mfix等等，并非有效，可能是由于变种的缘故，但f-look2me应该是目前更有效】

工具二：借助http://www.a-d-w-a-r-e.com 解铃还须系铃人，NND，具体方法如下

进入页面 http://www.a-d-w-a-r-e.com/cgi-bin/UnInstaller
到页面最下端，点击“I Accept”
页面跳转后，该页面上有一个KEY,比如KEY: wZcI1v33yhpI 下载UnInstaller，安装并输入KEY，完事之后重新启动即可