BIer 老陈

哈哈，最近有点忙，写完上篇之后就停下来了，今天继续完成我的手工杀毒实战下篇：

朋友告诉我它叫落雪病毒。呵呵，我终于知道它的“芳名”了。

实战之前，先介绍一下，我们会用到的工具。这些工具网上都能down得到（如果你不会download的话，我看。。。你也不适合看本文。。。）
·KillBox 是文件删除工具。如果病毒文件不能直接delete的话，可以用它来删
·IceSword 是杀进程工具。Windows任务管理器不能杀的进程，都可以用它来杀
·SREng 是系统诊断配置工具。用来修复exe文件关联问题

这些程序下载后，如果不能运行的话，可以把文件名的.exe后缀改称.com，这样就能顺利运行。这是由病毒引起。好，开始杀毒了：

第一步：打最新的Windows补丁；给你的防毒软件升级（我推荐使用卡巴斯基）。

第一步：进入安全模式。事先把那些工具都放在桌面上，进入安全模式后，就能直接用了，不需要再打开我的电脑（或资源管理器）。下面的步骤中，要避免打开我的电脑（或资源管理器），因为这样很容易引起病毒发作。

第二步：使用IceSword看看，有没有程序名叫C:\WINDOWS\smss.exe的smss.exe的进程，有的话把它杀掉。注意是C: \WINDOWS\smss.exe，而不是C:\WINDOWS\system32\smss.exe，前者是病毒，后者是正常的系统进程。如果还发现 什么可疑的进程，也可以杀掉。

第三步：使用KillBox把下面的病毒文件全部删除：
D:\autorun.inf
D:\command.com
C:\WINDOWS\smss.exe
C:\WINDOWS\1.com
C:\WINDOWS\finders.com
C:\WINDOWS\exerouter.exe
C:\WINDOWS\EXP10RER.com
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\rund1132.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\Debug\DebugProgram.exe
C:\Program Files\Internet Explorer\inexplore.com
我这里假设你的系统是安装在c:\windows，如果请在删除shi修改相关路径。

第四步：打开注册表（开始菜单->运行...->regedit）。在注册表中把与上面十多个病毒文件有关的信息搜索出来，并且删掉。 请重点检查[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\RUN，把里面跟病毒有关的启动信息删除。这都是苦力活，耐心去干吧，努力之后见彩虹！

第五步：使用SREng，把exe文件关联修复正常。打开系统修复->文件关联的标签页，会看到.EXE不正常的信息，在其前面打钩，点击修复按钮，OK！

介绍完了，Good luck to you!