全面學習手工查殺QQ病毒

1.刪除方法
　　在安全模式下刪除以下檔案：
　　%Windows%（關聯TXT檔案，金山影霸RM圖示）
　　%Windows%System（關聯TXT檔案，金山影霸RM圖示）_
　　%Windows%System（金山影霸RM圖示）
　　%Windows%System
　　%Windows%System
　　%Windows%System32（關聯TXT檔案，金山影霸RM圖示）
　　注意：中的0是數字0，不是字母O。
　　
　　去掉病毒的啟動項資訊：
　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
　　＂taskmgr＂=＂%Windows%System　
　　最後還要恢復TXT檔案關聯。
　　
　　2.刪除方法
　　用工作管理員結束（一個是系統程序無法結束，一個是病毒可以結束），結束可能存在的 。
　　然後刪除以下檔案：
　　%WINDIR%
　　%WINDIR%
　　%System%
　　%System%
　　刪除登錄檔中HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun: %WINDIR%
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices: %WINDIR%
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun: %WINDIR%
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices: %WINDIR%
　　
　　3.刪除方法
　　先結束程序，然後再把執行起來。
　　
　　在登錄檔編輯器裡修改HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL下Checkedvalue的值為1。　　
　　然後刪除以下檔案：
　　%Windows%
　　%System%（0位元組）
　　%System%
　　%System%
　　%System%
　　%System%
　　%System%
　　%System%whboy***（***為數字）
　　編輯檔案中Shell = %System%為Shell （Windows 9x）；

在登錄檔編輯器中定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”，編輯右邊“Shell”的內容，將“ %System%”修改為“”（Windows NT/2000/XP/2003）。
　　一直有變化的主要是%System%目錄下、和這三個檔案，如遇變化與上述內容不同請誤死搬硬套，稍做變通可自行解決
　　　　
　　4.刪除方法
　　在安全模式下刪除：
　　%System%
　　%System%
　　%System%（0位元組）
　　%System%
　　%System%
　　%System%（關聯TXT）
　　刪除病毒的啟動項：
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce
　　windows update = %System%
　　
　　病毒把TXT檔案關聯修改為“%System% %1”，你可以從登錄檔中修改或者使用工具（如REGFIX）進行修復。
　　編輯檔案中Shell = %System%為Shell = （Windows 9x）
　　在登錄檔編輯器中定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”，編輯右邊“Shell”的內容，將“ %System%”修改為“”（Windows NT/2000/XP/2003）。
　　
　　　　
　　蠕蟲病毒，通過QQ傳播，依賴系統：WIN9X/NT/2000/XP.該病毒用Delphi語言編寫，執行後把自己複製到系統＂system32＂目錄下，病毒檔名為＂＂，偽裝成系統檔案，修改登錄檔實現開機自啟動。病毒會修改ini和txt檔案的關聯方式，使用者開啟這兩種檔案時會先執行病毒。
　　病毒執行後會駐留記憶體，查詢並結束防火牆和工作管理員，防止病毒被結束。查詢QQ聊天視窗，自動傳送訊息，＂哈哈。來看看這個。用QQ暱稱為自己速配情侶，看看和你配的叫什麼http://***快看看＂，使用者點選該網址後會中毒。病毒還會從網上下載新的病毒檔案，傳送的QQ訊息內容會隨之更改
　　
　　刪除方法
　　安全模式下刪除%windows%/檔案
　　搜尋登錄檔，所有smss相關的項一概刪除
　　再修改startpage（就是ie預設的首頁）
　　
　　注：%System%資料夾預設為：
　　C:WindowsSystem (Windows 95/98/Me),
　　C:WinntSystem32 (Windows NT/2000),
　　或 C:WindowsSystem32 (Windows XP).
　　
　　6.刪除方法
　　刪除病毒對登錄檔所作的更改
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun:
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun:
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices:
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices:
　　HKEY_CLASSES_ROOTCLSID{9F352324－0FC5－41b4－99E2－E0757AFFFEF6}.
　　然後重新啟動刪除以下檔案：
　　%WINDIR%
　　%system%
　　%system%
　　%System%
　　還有桌面上和系統盤根目錄下和%Documents and Settings%“使用者名稱”下可能生成的 , ,

　　7.刪除方法
　　先用工作管理員結束程序，然後重新執行，接著刪除以下檔案：
　　%Windows%
　　%System%
　　[%System% 和 %System%whboy***（***為數字）]——這兩個檔案如果有的話
　　編輯檔案中Shell = %System%為Shell = （Windows 9x/Me）；
　　在登錄檔編輯器中定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”，編輯右邊“Shell”的內容，將“ %System%”修改為“”（Windows NT/2000/XP/2003）。——重點是那個txt檔案，必須先結束才能夠刪除它。
　　
　　8.刪除方法
　　先用工作管理員結束程序，接著刪除以下檔案（可以通過WinRAR的主程式刪除檔案）：
　　%System%
　　%System%
　　此病毒已經禁用登錄檔編輯器，大家可以在網上搜索解鎖辦法或者使用登錄檔修復工具可以輕鬆解鎖
　　
　　其他的幾個是武漢男生
　　安全模式下，先用工作管理員結束程序，接著刪除以下檔案：
　　%Windir%
　　%System%
　　[%System% 和 %System%whboy***（***為數字）]——這兩個檔案如果有的話
　　編輯檔案中Shell = %System%為Shell = （Windows 9x/Me）；
　　在登錄檔編輯器中定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”，編輯右邊“Shell”的內容，將“ %System%”修改為“”（Windows NT/2000/XP/2003）。
　　！　
　　9.刪除方法
　　在安全模式下刪除：
　　%System%
　　%System%（關聯TXT檔案）
　　%System%
　　刪除病毒加在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunonce下的啟動項：windows update = %System%
　　編輯檔案中Shell = %System%為Shell = （Windows 9x）；
　　在登錄檔編輯器中定位到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon”，編輯右邊“Shell”的內容，將“ %System%”修改為“”（Windows NT/2000/XP/2003）。
　　還要恢復TXT關聯。
　　
　　10.刪除方法
　　到登錄檔編輯器裡刪除這些資訊：
　　HKEY_CLASSES_ROOTCLSID{081FE200－A103－11D7－A46D－C770E4459F2F}
　　
　　[HKEY_LOCAL_MACHINESoftwareCLASSESsname]
　　
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerShellExecuteHooks下的{081FE200－A103－11D7－A46D－C770E4459F2F}
　　
　　HKEY_CLASSES_ROOTCLSID{9F352324－0FC5－41b4－99E2－E0757AFFFEF7}
　　
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerSharedTaskScheduler下的{9F352324－0FC5－41b4－99E2－E0757AFFFEF7}
　　　
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
　　(預設) = ＂winmem＂
　　＂services＂ = ＂%Windows%
　　
　　HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
　　＂services＂ = ＂%Windows%＂
　
　　重新啟動計算機後刪除以下檔案：
　　%Windows%
　　%Windows%（的第二個字母是L）
　　%System%b
　　%System%（的第一個字母是L
　　%System%（的第一個字母是L）
　　%System%（中的0是數字0，不是字母O）
　　%System%
　　%System%
　　%System%
　　%System%
　　%System%

自動傳送一些誘惑性名稱的可執行檔案（圖示是壓縮文件的圖示）
　　開啟工作管理員，結束掉和（注意那是數字1）
　　然後讓Windows顯示隱藏檔案，找到以下檔案並且將其刪除：`
　　%System%
　　%System%notepad
　　%Windir%System
　　QQ目錄中的（注意是數字1不是字母l，別刪錯了）
　　然後開啟登錄檔編輯器刪除：
　　HKEY_LOCAL_MACHINESoftwareClassesMSipv和HKEY_CURRENT_USERSoftwareClassesMSipv下的MainSetup、MainUp、MainVer三項DWORD鍵值
　　最後通過登錄檔修復工具修復EXE和TXT檔案關聯，重新啟動即可。