BIer 老陈

哈哈，最近有点忙，写完上篇之后就停下来了，今天继续完成我的手工杀毒实战下篇：

朋友告诉我它叫落雪病毒。呵呵，我终于知道它的“芳名”了。

实战之前，先介绍一下，我们会用到的工具。这些工具网上都能down得到（如果你不会download的话，我看。。。你也不适合看本文。。。）
·KillBox 是文件删除工具。如果病毒文件不能直接delete的话，可以用它来删
·IceSword 是杀进程工具。Windows任务管理器不能杀的进程，都可以用它来杀
·SREng 是系统诊断配置工具。用来修复exe文件关联问题

这些程序下载后，如果不能运行的话，可以把文件名的.exe后缀改称.com，这样就能顺利运行。这是由病毒引起。好，开始杀毒了：

第一步：打最新的Windows补丁；给你的防毒软件升级（我推荐使用卡巴斯基）。

第一步：进入安全模式。事先把那些工具都放在桌面上，进入安全模式后，就能直接用了，不需要再打开我的电脑（或资源管理器）。下面的步骤中，要避免打开我的电脑（或资源管理器），因为这样很容易引起病毒发作。

第二步：使用IceSword看看，有没有程序名叫C:\WINDOWS\smss.exe的smss.exe的进程，有的话把它杀掉。注意是C: \WINDOWS\smss.exe，而不是C:\WINDOWS\system32\smss.exe，前者是病毒，后者是正常的系统进程。如果还发现 什么可疑的进程，也可以杀掉。

第三步：使用KillBox把下面的病毒文件全部删除：
D:\autorun.inf
D:\command.com
C:\WINDOWS\smss.exe
C:\WINDOWS\1.com
C:\WINDOWS\finders.com
C:\WINDOWS\exerouter.exe
C:\WINDOWS\EXP10RER.com
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\rund1132.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\Debug\DebugProgram.exe
C:\Program Files\Internet Explorer\inexplore.com
我这里假设你的系统是安装在c:\windows，如果请在删除shi修改相关路径。

第四步：打开注册表（开始菜单->运行...->regedit）。在注册表中把与上面十多个病毒文件有关的信息搜索出来，并且删掉。 请重点检查[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows \CurrentVersion\RUN，把里面跟病毒有关的启动信息删除。这都是苦力活，耐心去干吧，努力之后见彩虹！

第五步：使用SREng，把exe文件关联修复正常。打开系统修复->文件关联的标签页，会看到.EXE不正常的信息，在其前面打钩，点击修复按钮，OK！

介绍完了，Good luck to you!

        我这篇文章尽量写得通俗易懂一些，让更多的计算机普通使用者看得懂，并能帮助他们解决问题。

        很不幸，我中了“D:\autorun.inf、command.com”病毒。这种病毒在本文编写之前，好像还没有准确的命名，所以我暂且把它命名为“D:\autorun.inf、command.com”病毒！

        这个病毒发作的表现是：用户不能执行exe后缀的文件；它会关闭电脑上的杀毒软件，并且阻止他们启动；在D盘下有autorun.inf、 command.com两个文件，手工删除他们后，会自动恢复，无法删除；Ctrl+Alt+Delete（或Ctrl+Shift+Esc）打开 Windows任务管理器发现里面有两个smss.exe的进程，其中一个是系统的进程，另外一个是病毒进程（一般是内存使用最少的那个）。

        病毒的自我保护能力很顽强，直接把D盘下的autorun.inf、command.com这两个文件删除是没用的，删除后他它们会自动还原。用了很多杀 毒软件（卡巴斯基、诺顿、KV、EWIDO、木马助手、Windows清理助手）也不能清除。这个病毒具有很强的复制能力，由于病毒会自动检测进程，如果 发现被关闭，就会继续产生病毒进程。而且这个病毒很顽强，它释放了很多病毒文件，还修改了很多注册表信息。杀毒的关键就是找出这些病毒文件，把它们强制删 除。（未完待续）