案例来源：http://forum.xilu.com/msg/peaset/f/173.html
这是一堆超级超级变态的病毒，隐藏进程5个，连接网络下载病毒程序到本地执行，因此，清除过程必须严谨，请看清楚后再操作。

一、准备工作：
SRE的下载和使用方法见：
http://hi.baidu.com/peaset/blog/item/3114a7fb17dd19224e4aeadf.html
IceSword下载和使用方法见：
http://hi.baidu.com/peaset/blog/item/b92b44dacbcb19dab6fd4894.html
_____________________________________________________________________

二、清除步骤：
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
    清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。

2、用IceSword禁止进程创建：文件——设置——勾选“禁止进程创建”。

3、用IceSword结束所有红色的隐藏进程。

4、用SRE删除以下注册表项（如果有的话）：

<rffeuv><C:\DOCUME~1\Skunk\LOCALS~1\Temp\servicer.exe>
<load><C:\WINDOWS/system32/AUT0CHK.PIF>
<CoolSwitch><C:\WINDOWS\system32\taskswitch.exe>
<Cmaudio><RunDll32 cmicnfg.cpl,CMICtrlWnd>
<Hupoo><"C:\WINDOWS\system32\Hupoo.exe " >
<ltnward><C:\WINDOWS\system32\ltnward.exe>
<svrhost><C:\WINDOWS\system32\svrhost.exe>
<kernel32><C:\WINDOWS\Kernel32.exe>
<><C:\Program Files\Common Files\Microsoft Shared\MSClientDataMgr\MsInfo.Dll>
<><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys>
<><C:\Program Files\Internet Explorer\IEXPLORE.Sys>  
<><C:\Program Files\Internet Explorer\IEXPLORE.Dat>
<><C:\Program Files\Internet Explorer\IEXPLORE.win>

5、用SRE删除以下服务项（如果有的话）：

Cryptographic Machine / ClipArt
DCOM Server Process Launher / DC0r
Microsoft Update Service / BRGNS2
sdffgcb24345 / dsfg3
Windows Management Instrumentation Driver / WMID
Remote Procedure Call System(RPCS) / RpcS
Remote Procedure Call System(RPCS1) / RpcS1

6、用SRE删除以下驱动项（如果有的话）：

00 / 00
sptd / sptd
bffcdeig / bffcdeig
caibbgif / caibbgif
paraudio / paraudio
vaxscsi / vaxscsi
WINIO / WINIO

7、用SRE删除以下BHO（如果有的话）:

IEMonitor Class

8、用IceSword删除以下文件或者文件夹（如果有的话）：

C:\WINDOWS\system32\kl.exe
C:\WINDOWS\system32\s3fvod.exe
C:\WINDOWS\SYSTEM32\WBEM（这个文件夹全删）
C:\WINDOWS\system32\wmid.exe
C:\WINDOWS\system32\Rpcs1.exe
C:\WINDOWS\system32\Rpcs.exe
C:\Program Files\DeskAdTop （这个文件夹全删）
C:\WINDOWS\System32\drivers\9024781.sys
C:\WINDOWS\system32\drivers\bffcdeig.sys
C:\WINDOWS\system32\drivers\caibbgif.sys
C:\WINDOWS\system32\drivers\paraudio.sys
C:\WINDOWS\System32\Drivers\sptd.sys
C:\WINDOWS\System32\Drivers\vaxscsi.sys
E:\Tencent\253396804\MyRecvFiles\winio.sys
C:\DOCUME~1\Skunk\LOCALS~1\Temp\TmpD.tmp.rom
C:\DOCUME~1\Skunk\LOCALS~1\Temp\servicer.exe
C:\WINDOWS/system32/AUT0CHK.PIF
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\Hupoo.exe
C:\WINDOWS\system32\ltnward.exe
C:\WINDOWS\system32\svrhost.exe
C:\WINDOWS\Kernel32.exe
C:\WINDOWS\system32\cmicnfg.cpl
C:\Program Files\Common Files\Microsoft Shared\MSClientDataMgr\MsInfo.Dll
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\Program Files\Internet Explorer\IEXPLORE.Sys
C:\Program Files\Internet Explorer\IEXPLORE.Dat
C:\Program Files\Internet Explorer\IEXPLORE.win
C:\WINDOWS\system32\drivers\etc\hosts （这个文件被病毒利用来屏蔽百度搜索）
C:\WINDOWS\System32\drivers\(这个目录里的凡是以纯数字命名的文件全删)
—————————————————————————————————————
上面的都做完了之后，用下XP安全补丁程序。
下载地址：http://hi.baidu.com/peaset/blog/item/67d44eb52f1d17cf37d3ca8c.html

最后重新启动电脑。病毒就被搞定了！
-------------------------------------------------------------------------------------------------------------------------------
本文由ALPHA'S STUDIO原创，转载请注明出处：http://hi.baidu.com/peaset/
如果您不愿意保留版权信息,请勿转载.请保持对作者起码的尊重!尊重他人也是善待自己.