77家的会客厅²⁰¹⁰

　　昨天浏览了某一网站，俺们家McAfee报告有病毒，看来又是网站被放木马了。也没注意，反正有俺家小麦挡着呢。今天下午一开机，就报有病毒，并且还有一个说删除移动不成功，未采取操作，看了一下路径，是在IE的临时文件夹里的，还有两个被杀掉的，是在c:\windows下面的，看来我是已经中上了。根据小麦提供的信息，打开C盘，去掉XP的隐藏显示，果然有三个病毒目录。一个叫SysDayN6，还有两个叫Sys????后面四个随机字母或数字。这些文件夹下面就有svchost.exe和ghook.dll不用说，肯定是病毒了，在网上查了一下，据说是个游戏盗号木马。看看进程，果然，有好几个未知程序，还有几个用户名是你登录名的svchost.exe进程，全KILL掉就行了，虽然暂时没用。这个病毒可恶在，偶们家小麦杀不掉她，并且用微软的windows defender也不管用。好了，废话不多说了，下面说如何清除病毒。

1、重启电脑进入安全模式（不用带命令行）

2、先看任务管理器，看有没有随机启动的未知进程，杀掉，不过估计没有，安全模式默认是只启动系统启动必须的进程的。

3、进入C盘，删除上面说的三个文件夹，然后再在注册表里搜索那三个文件夹的名，搜出来的项全部删除。

4、进入c:\windows，此目录下一般有三个未知程序winform.exe,mpps???.exe,cds???.exe，其实主要看看windows目录下有没有无显示图标的exe文件就行，那里面就一个taskman.exe是无图标型的exe文件的，taskman.exe是任务管理器的程序。

5、进入c:\windows\system32，用列表(list)方式显示所有内容，再点最后的修改日期，用日期进行倒排序，然后你会看到很多个名字很奇怪的exe以及dll文件，看最后的修改日期，如果是当天的或是头一天的，直接删除就可以了，全是病毒。

6、彻底清空你的IE临时文件夹，不要光在IE选项里清，清不干净。要直接去到物理目录，如c:\temp\Temporary Ineternet Files，这里有一个目录content.ie5是不管你怎么设置查看隐藏文件属性，都是看不到的，所以只有你手动在地址栏里输入才能进入，把里面东西全数删除。

7、在“我的电脑”上点右键，选“管理”，点击弹出窗口左边的“服务”，会看到至少两个类似1779BAA这样名字而又没有简介的服务，你可以直接禁用掉，而我们现在做的是把这个服务删除，记下名字，在开始菜单“运行”里输入“cmd”，进入DOS窗口，然后运行“sc delete 1779BAA”来删除你找到的服务，删除完了之后，你刷新看一下“服务”窗口是否还有类似的服务。

8、在开始菜单的运行里输入“msconfig”，选“启动”选项卡，把里面的未知启动项全删除就OK了。

好了，这下算是彻底了，重启你的电脑继续你的网上之旅吧。