全面學習手工查殺QQ病毒

1.刪除方法
　　在安全模式下刪除以下文件：
　　%Windows%（關聯TXT文件，金山影霸RM圖標）
　　%Windows%System（關聯TXT文件，金山影霸RM圖標）_
　　%Windows%System（金山影霸RM圖標）
　　%Windows%System
　　%Windows%System
　　%Windows%System32（關聯TXT文件，金山影霸RM圖標）
　　注意：中的0是數字0，不是字母O。
　　
　　去掉病毒的啓動項信息：
　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
　　＂taskmgr＂=＂%Windows%System　
　　最後還要恢復TXT文件關聯。
　　
　　2.刪除方法
　　用任務管理器結束（一個是系統進程無法結束，一個是病毒可以結束），結束可能存在的 。
　　然後刪除以下文件：
　　%WINDIR%
　　%WINDIR%
　　%System%
　　%System%
　　刪除註冊表中HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun: %WINDIR%
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices: %WINDIR%
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun: %WINDIR%
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices: %WINDIR%
　　
　　3.刪除方法
　　先結束進程，然後再把運行起來。
　　
　　在註冊表編輯器裏修改HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL下Checkedvalue的值爲1。　　
　　然後刪除以下文件：
　　%Windows%
　　%System%（0字節）
　　%System%
　　%System%
　　%System%
　　%System%
　　%System%
　　%System%whboy***（***爲數字）
　　編輯文件中Shell = %System%爲Shell （Windows 9x）；

在註冊表編輯器中定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”，編輯右邊“Shell”的內容，將“ %System%”修改爲“”（Windows NT/2000/XP/2003）。
　　一直有變化的主要是%System%目錄下、和這三個文件，如遇變化與上述內容不同請誤死搬硬套，稍做變通可自行解決
　　　　
　　4.刪除方法
　　在安全模式下刪除：
　　%System%
　　%System%
　　%System%（0字節）
　　%System%
　　%System%
　　%System%（關聯TXT）
　　刪除病毒的啓動項：
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce
　　windows update = %System%
　　
　　病毒把TXT文件關聯修改爲“%System% %1”，你可以從註冊表中修改或者使用工具（如REGFIX）進行修復。
　　編輯文件中Shell = %System%爲Shell = （Windows 9x）
　　在註冊表編輯器中定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”，編輯右邊“Shell”的內容，將“ %System%”修改爲“”（Windows NT/2000/XP/2003）。
　　
　　　　
　　蠕蟲病毒，通過QQ傳播，依賴系統：WIN9X/NT/2000/XP.該病毒用Delphi語言編寫，運行後把自己複製到系統＂system32＂目錄下，病毒文件名爲＂＂，僞裝成系統文件，修改註冊表實現開機自啓動。病毒會修改ini和txt文件的關聯方式，用戶打開這兩種文件時會先運行病毒。
　　病毒運行後會駐留內存，查找並結束防火牆和任務管理器，防止病毒被結束。查找QQ聊天窗口，自動發送消息，＂哈哈。來看看這個。用QQ暱稱爲自己速配情侶，看看和你配的叫什麼http://***快看看＂，用戶點擊該網址後會中毒。病毒還會從網上下載新的病毒文件，發送的QQ消息內容會隨之更改
　　
　　刪除方法
　　安全模式下刪除%windows%/文件
　　搜索註冊表，所有smss相關的項一概刪除
　　再修改startpage（就是ie默認的首頁）
　　
　　注：%System%文件夾默認爲：
　　C:WindowsSystem (Windows 95/98/Me),
　　C:WinntSystem32 (Windows NT/2000),
　　或 C:WindowsSystem32 (Windows XP).
　　
　　6.刪除方法
　　刪除病毒對註冊表所作的更改
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun:
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun:
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices:
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices:
　　HKEY_CLASSES_ROOTCLSID{9F352324－0FC5－41b4－99E2－E0757AFFFEF6}.
　　然後重新啓動刪除以下文件：
　　%WINDIR%
　　%system%
　　%system%
　　%System%
　　還有桌面上和系統盤根目錄下和%Documents and Settings%“用戶名”下可能生成的 , ,

　　7.刪除方法
　　先用任務管理器結束進程，然後重新運行，接着刪除以下文件：
　　%Windows%
　　%System%
　　[%System% 和 %System%whboy***（***爲數字）]——這兩個文件如果有的話
　　編輯文件中Shell = %System%爲Shell = （Windows 9x/Me）；
　　在註冊表編輯器中定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”，編輯右邊“Shell”的內容，將“ %System%”修改爲“”（Windows NT/2000/XP/2003）。——重點是那個txt文件，必須先結束才能夠刪除它。
　　
　　8.刪除方法
　　先用任務管理器結束進程，接着刪除以下文件（可以通過WinRAR的主程序刪除文件）：
　　%System%
　　%System%
　　此病毒已經禁用註冊表編輯器，大家可以在網上搜索解鎖辦法或者使用註冊表修復工具可以輕鬆解鎖
　　
　　其他的幾個是武漢男生
　　安全模式下，先用任務管理器結束進程，接着刪除以下文件：
　　%Windir%
　　%System%
　　[%System% 和 %System%whboy***（***爲數字）]——這兩個文件如果有的話
　　編輯文件中Shell = %System%爲Shell = （Windows 9x/Me）；
　　在註冊表編輯器中定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”，編輯右邊“Shell”的內容，將“ %System%”修改爲“”（Windows NT/2000/XP/2003）。
　　！　
　　9.刪除方法
　　在安全模式下刪除：
　　%System%
　　%System%（關聯TXT文件）
　　%System%
　　刪除病毒加在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce下的啓動項：windows update = %System%
　　編輯文件中Shell = %System%爲Shell = （Windows 9x）；
　　在註冊表編輯器中定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”，編輯右邊“Shell”的內容，將“ %System%”修改爲“”（Windows NT/2000/XP/2003）。
　　還要恢復TXT關聯。
　　
　　10.刪除方法
　　到註冊表編輯器裏刪除這些信息：
　　HKEY_CLASSES_ROOTCLSID{081FE200－A103－11D7－A46D－C770E4459F2F}
　　
　　[HKEY_LOCAL_MACHINESoftwareCLASSESsname]
　　
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerShellExecuteHooks下的{081FE200－A103－11D7－A46D－C770E4459F2F}
　　
　　HKEY_CLASSES_ROOTCLSID{9F352324－0FC5－41b4－99E2－E0757AFFFEF7}
　　
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerSharedTaskScheduler下的{9F352324－0FC5－41b4－99E2－E0757AFFFEF7}
　　　
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
　　(默認) = ＂winmem＂
　　＂services＂ = ＂%Windows%
　　
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
　　＂services＂ = ＂%Windows%＂
　
　　重新啓動計算機後刪除以下文件：
　　%Windows%
　　%Windows%（的第二個字母是L）
　　%System%b
　　%System%（的第一個字母是L
　　%System%（的第一個字母是L）
　　%System%（中的0是數字0，不是字母O）
　　%System%
　　%System%
　　%System%
　　%System%
　　%System%

自動發送一些誘惑性名稱的可執行文件（圖標是壓縮文檔的圖標）
　　打開任務管理器，結束掉和（注意那是數字1）
　　然後讓Windows顯示隱藏文件，找到以下文件並且將其刪除：`
　　%System%
　　%System%notepad
　　%Windir%System
　　QQ目錄中的（注意是數字1不是字母l，別刪錯了）
　　然後打開註冊表編輯器刪除：
　　HKEY_LOCAL_MACHINESoftwareClassesMSipv和HKEY_CURRENT_USERSoftwareClassesMSipv下的MainSetup、MainUp、MainVer三項DWORD鍵值
　　最後通過註冊表修復工具修復EXE和TXT文件關聯，重新啓動即可。