简单的说

检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址，再将可疑的删除。
2. 删除上述可疑键在硬盘中的执行文件。
3. 一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。
4. 检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main和中的几项（如Local Page），如果被修改了，改回来就可以。
5. 检查HKEY_CLASSES_ROOT\exefile\shell\open\command和HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt，.exe等的默认打开程序进行病毒“长生不老，永杀不尽”的。
6. 如果有可能，对病毒的母文件进行反汇编，比如我上次中的那个病毒，通过用IDA反汇编，发现它还偷窃系统密码并建立%systemroot%\system\mapis32a.dll文件把密码送到一个邮箱中，由于我用的是W2K，所以它当然没有得手。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; AskTbPLTV5/5.9.1.14019)

学习路过。