病毒一般加启动项、加进程、加服务、分区根目录自动运行、关联文件类型等，
针对其，每次按如下先后步骤清除：
1、杀进程
三键打开任务管理器，关闭所有可疑进程。
2、停服务
查看服务列表中有异常，如有不明服务，先停止，再修改启动类型为禁用。
3、清理前台启动项
开始--程序--启动中，看看有没有异常启动。学习中国
开始--运行，msconfig，启动加载项，取消可疑启动项前面的勾。顺便察看其它
标签中的system.ini、win.ini有无异常。
4、清理注册表启动项
开始--运行，regedit，主要查看HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE两个
大项下的SOFTWARE\Microsoft\Windows\CurrentVersion下的Run、RunOnce、
RunOnceEx三个小项下有无可疑的启动值，如有则删除；察看上述两个大项下的
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中有无可疑，包括病
毒可能会修改其中的键值，如“Shell”正常的值应该是“Explorer.exe”（不带
后缀，双引号不算）、“Userinit”正常的值应该是“C:\WINDOWS\system32
\userinit.exe,”（不带后缀，逗号必须保留，双引号不算）。
5、恢复正常的文件类型关联（如果病毒没有修改关联，可跳过此步）
根据网上的文章，修改各文件类型关联为正常。
6、清理病毒文件
在分区盘符上点右键选择“打开”进入各个分区（如果此法还无法进入，可以在
浏览器地址栏输入“盘符：回车”进入），点击工具菜单栏--文件夹选项--查看
，勾选“显示所有文件和文件夹”、取消勾选“隐藏受保护的操作系统文件”、
取消勾选“隐藏已知文件类型的扩展名”，确定。查看分区根目录中有无可疑的
文件，主要是autorun.inf和病毒文件，包括伪装成图片图标的非图片类型文件，
如有全部删除之。提示：删除之前最好右键“编辑”打开查看病毒调用信息文件
的内容（如autorun.inf），以便找到病毒是否还写入到系统的其它目录位置以及
具体病毒文件名。
进入c:\windows和c:\windows\system32文件夹中，综合步骤3、4中在启动项中获
得的病毒文件位置信息以及步骤6提示中获得病毒文件信息，删除所有病毒文件，
并察看是否存在其它的可疑文件，可以使用搜索文件名功能来快速定位，也可以
使用搜索文件创建日期来查找与病毒文件同时间生成的其它可疑文件。
至此，病毒基本全部清除完毕。
注意：
1、以上某些步骤如果未发现异常，可以跳过。
2、在病毒没有完全清除之前，不要打开其它无关的文件和程序，更不要重启。
3、如果病毒修改了ie设置（如默认主页、ie插件等），请根据网上资料修改注册
表中的相应ie属性设置值以恢复正常。可以在注册表中搜索所有被改动后的网址
，删除之。另外，根据这个的提示，还可以在注册表和硬盘中搜索所有病毒文件
名并删除之。

hareqj