首先,打开任务管理器,停止非法进程.可能的非法进程包括ntdllf.exe、netcompt.exe、comptnt.exe和ptsnopt.exe。对xp用户,也可在cmd下,tasklist列出系统的进程,然后用tskill分别对上述非法进程杀之.
其次,更改注册表设置,具体为:开始-》运行-》regedit进入注册表,在HKEL_LOCAL_MACHINE\software\microsoft\windows\currentVersion\Run项目中,删除系统启动时加载的非法项目,可能的项为:Cmpnt(名称)/REG_SZ(类型)/c:\windows\driver.com(键值),或者其他名称的非法项目。
同时查找RunOnce、RunService等currentVersion目录下名字含Run的目录,检查是否有非法键值,如shell(名称)、mainsv.exe(键值)。接着,检查HKEL_LOCAL_MACHINE\SYSTEM\controlSet001\control\Session Manager项目,删除非法项,如PendingFileRenameOperations(名称)/REG_MULTI_SZ(类型)/"??c:\windows\system\loadms.exe"(键值)。
再次,删除c:\windows\system目录下的病毒执行文件,可能的文件名称有:ntdllf.exe、mainsv.exe、netcompt.exe、netcomptnt.exe、ptsnopt.exe、loadms.exe和loadmsnt.exe,一般为.exe文件,能够比较明显的分辩出来。(因为此目录文件多为.dll形式)
最后,在dos环境下删除各盘符下的autorun.inf和Iexplores.exe文件,具体命令为:
D:>attrib autorun.inf -s -h -r (去掉该文件的系统、隐藏、只读属性)
D:>del autorun.inf
D:>attrib Iexplores.exe -s -h -r
D:>del Iexplores.exe
D:>dir /a (查看目录下所有文件,此时将看不到以上两个文件了!^_^)
当然你也可以各盘符下在工具栏---文件夹选项--查看下,选显示所有文件和文件夹,同时去除隐藏受保护的系统文件前的勾,显示出上面的两个文件,杀之!病毒即可清除!
