1.运行regedit

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

修改内容 为 Explorer.exe

2.安全模式删除c:\windows\system32\sys.exe

3.搜索名称为*.exe的文件夹，都删除

在我的winxp sp2上有效，目前无病毒窗口弹出

–

※ 来源:·水木社区 newsmth.net·[FROM: 59.66.122.*]

http://www.newsmth.net/bbscon.php?bid=78&id=234853&ftype=3&num=594

此木马感染u盘/移动硬盘等移动储存介质

现象:
双击 u盘/移动硬盘，没反映。等一会后弹出对话框：Adober.exe error，请察看AdobeR.exe.log。并且U盘里多了一个AdobeR.exe文件和AdobeR.exe.log文件。并且右键点击可移动磁盘在菜单最上面是Auto这一选项。
进程中 出现 adober.exe ,电脑速度缓慢

清除方法:
1、硬盘
（1）任务管理器里结束 AdobeR.exe
（2）用SREng 修复(删除对应注册表启动项) ,也可以直接手动删除
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

在SREng中 “启动项目” “注册表” 鼠标左键在对应要修复的项上单击 然后点击”删除”
（3）删除文件 C:\WINDOWS\AdobeR.exe

2、u盘/移动硬盘
（1）先设置一下文件夹选项
我的电脑 菜单项“工具” “文件夹选项” “查看”
“隐藏受保护的操作系统文件（推荐）” 不勾选
“隐藏文件和文件夹” 设置 “显示所有文件和文件夹”
“隐藏已知文件类型的扩展名” 勾选
（2）鼠标右键在 u盘/移动硬盘 上单击 然后选择 打开
删除 u盘/移动硬盘 上的
autorun.inf
AdobeR.exe
AdobeR.exe.log
及其他的 可执行文件

建议
1、去打印店 打印时 最好用 u盘 写保护。
2、对于在其他地方使用过的 u盘/移动硬盘 或者 别人的 u盘/移动硬盘 要使用 鼠标右键打开的方式 不要双击。
3、文件夹选项的常规设置
我的电脑 菜单项“工具” “文件夹选项” “查看”
“隐藏文件和文件夹” 设置 “显示所有文件和文件夹”
“隐藏已知文件类型的扩展名” 勾选
4、关闭自动播放（xp home版及2000系统没有组策略）
开始 运行 输入 gpedit.msc 回车
组策略 “本地计算机”策略 计算机配置 管理模板 系统
然后再右边的“关闭自动播放”上双击
在弹出的属性框中 选择 “已启用” 关闭自动播放中选择“适用于所有驱动器”
5、如果中毒了，杀毒软件查不出，杀毒前先把 病毒文件提交给 杀毒软件厂商

出处：http://www.newsmth.net/bbscon.php?bid=78&id=239133&ftype=3&num=610

手工清除rose病毒

病毒名称：代理木马变种GZ (Trojan.Agent.gz)
病毒类型：木马病毒
病毒危害级别：★★★
病毒发作现象及危害：
病毒采用Visual Basic语言编写。该病毒会通过U盘、移动硬盘等进行传播，会试图记录用户的键盘输入信息，从而盗取用户的网络游戏、QQ、银行卡账号等隐私信息，并发送给黑客。由于其传播机制，目前在学校机房、网吧等小型局域网络中传播较广。

手工删除：
一、清除内存中的病毒

在任务管理器中找到所有名为“rose.exe”的进程，单击鼠标右键，选择“结束进程”。

二、删除病毒文件
1、打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。

2、在“我的电脑”中用鼠标右键点击“C：”盘，选择“打开”，注意此处一定不要双击盘符打开磁盘！

3、删除掉C盘根目录下的“autorun.inf”和“rose.exe”文件。如果根目录下存在“system32”文件夹也将其一并删除。如果提示文件不能被删除，请重新打开任务管理器查看是否已经结束掉了所有“rose.exe”进程。

4、如果计算机上还存在其它分区，如：D：、E：等，也要用上面的方法打开磁盘分区，并删除这些分区根目录下的“autorun.inf”、“rose.exe”以及“systemfile.com”文件。

5、进入Windows目录下的system32目录（默认为C:\windows\system32），删除掉下面的“run.reg”和“systemdate.ini”文件。

三、修复注册表
1、点击“开始”菜单，选择“运行”，输入“regedit.exe”并确定，打开注册表编辑器。

2、打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run一项，在右边的窗格中找到“dll”一项，将其删除。

四、删除优盘、移动硬盘上的病毒文件
这个病毒通过优盘等进行传播，因此在计算机杀毒后也要对这些移动存储设备进行彻查，防止重复感染。

按住键盘上的“Shift”键，插入优盘。然后用和清除硬盘上病毒同样的操作，清除掉移动存储设备上的病毒。

五、后期检查
重新启动计算机，然后打开任务管理器，查看是否有“rose.exe”进程存在，如果没有，则说明病毒已经清除干净。

出处：http://www.027x.net/bbs/read.php?tid=4853

本文档将给出一个易操作的单机用户介绍一些容易操作的注意事项，以期减少受到骚扰的可能性。

1、尽量减少在公网上下载程序（包括一些非标准格式的文档），尤其不要在一些小网站上下载。如果真的需要，可以请朋友代为从教育网下在，或者从 ww.pconline.com.cn；www.skycn.net等大型网站上下载程序。安装的过程中请注意安装组件选项，不要选择“安装第三方程序”。“安装中文上网”“安装XX助手”等选项。

2、pop本地的邮件，附件需谨慎打开，保守的建议是：不要打开附件，无论是陌生人还是熟人的，只打开在msg消息，电话，或者当面确认过的附件。

3、对于网上qq，msn消息中出现的网址，只有在确定无毒的情况下才可以打开（确认是人发出的而不是病毒发出的消息；确认是朋友介绍的网页而不是陌生人的钓鱼）

4、除非几个常用的网站，当上陌生网站的时候，建议（一定）使用firefox或者opera等非IE内核的浏览器。

5、在自己机器上需要常备几个软件：Lavasoft aawsepersonal（http://www.lavasoftusa.com/software/adaware/）；hijackthis（http://www.newsmth.net/att.php?p.78.227853.11.0.6127.zip）；IceSword（http://www.xfocus.net/tools/200605/IceSword1.18.rar）;RootkitRevealer(http://www.newsmth.net/att.php?p.78.227853.11.0.3685577.zip)。当发现有异常的时候，请用上诉几个程序查询一下，并将日志或者截屏发送给对电脑比较熟悉的朋友，寻求帮助。其中RootkitRevealer是清除工具，可靠性比较大，在没有朋友能及时帮助的情况下，可以使用。

6、请一定要及时更新杀毒软件，没有更新的杀毒软件跟没有杀毒软件效果相同。

7、请一定不要相信杀毒软件，杀毒软件能够查杀一部分恶意程序，但是很多恶意程序是不可能被查杀得。请一定要保持警惕，不要认为有了杀毒软件就金刚铁布衫了。

8、尽量少的在机器上输入诸如银行帐号，各类密码之类的保密信息，尤其少在公共机器上使用，尽少使用网络银行。一来大多数机器都有或多或少的木马，二来电子银行不够安全

9、重要的密码（银行，重要email，常用聊天工具）请不要使用123，生日，电话等，请一定使用数字，字母以及特殊符号组成，组成的规律只有您知道。对于临时注册使用的帐号密码，请和常用密码有所区别。

可以在settings－－Proactive Defence－－Enable ApplicationActivity analyzer－－settings中去掉“Microsoft Windows Task Manager protection”前面的勾。

原文：http://www.newsmth.org/bbscon.php?bid=78&id=257113&ftype=3&num=691

国外的软件，功能强大
就保护注册表来说，他的功能已经惊人的强大了
可以自定义保护规则，操作需要小小的探索一下，不是很复杂
有免费版本和收费版本，网址为：http://www.ghostsecurity.com/regdefend/

设置的按钮为 主界面“首页”－>“配置”，接下来出现的界面上
其它主界面按钮没有什么太大作用

昨晚捣鼓了一个晚上，后来发现有的病毒用google寻找解决方法会更便捷一些。
大家都发log，版主也累得够呛，自己也相当晕。

IE-bar的解决方法只有两步：
1.C:\Program Files\Common Files\IE-Bar目录下运行uninstall.exe
2.重启，安全模式下运行killiebar.exe文件(见附件)

killiebar下载：http://wp.xiaojb.com/wp-content/uploads/2006/09/killiebar.exe

–
一些言辞渐陈旧
曾话不惜苦与忧
与 前事未知去或留
非
旧 门
话

※ 修改:·sihecun 于 Sep 19 21:32:54 修改本文·[FROM: 221.221.26.*]
※ 来源:·水木社区 newsmth.net·[FROM: 210.34.20.*]

原文：http://www.newsmth.net/bbstcon.php?board=Virus&gid=256540

GOOGLE了一下SVOHOST，发现好多人遇到了这个问题，这个哥们的手工杀毒是最全的，江民有一个魔波专杀工具
http://www.jiangmin.com/download/mocbotkiller.exe，这个工具只删除autorun.inf，不能删除sxs.exe，所以最好手工检查一下所有的磁盘。

开始->运行，输入cmd后，在每个磁盘目录下运行一下命令：

attrib -a -s -h -r sxs.exe
attrib -a -s -h -r autorun.inf
del sxs.exe
del autorun.inf

清除病毒工作完成。