早上查找资料，上baidu 找，结果打开1个网站的页面，maxthon卡死，随后跳出个realplayer的页面。。

　　就知道中毒了。。

　　先看进程，有个非常可疑的“6123t.exe ”，肯定是毒了，还能是什么，开始杀

　　1，打开冰刃，只有1个6123t.exe，别的一切正常，查看路径 c:6123t.exe，结束这个进程

　　进C盘，居然没系统+隐藏，真嚣张。。

　　rar备份，然后直接删除

　　（我备份的目的是为了上传到“病毒样本”的版块）

　　2，打开文件夹选项，显示隐藏+显示系统

　　3，进system文件夹，为什么进这里？因为木马都喜欢这。

　　进去后马上就发现了好几个exe文件，都是隐藏+系统属性的，然后再查看创建日期，全是2008-5-29的时间

　　这些文件属性不正常，文件名怪异，时间吻合我中毒的时间。删除！

　　4，再进入system32文件夹，这里的文件比较多，看起来很是累，这里有个大家介绍个小技巧

　　右键--排列图标，把”修改时间“和”按组排列“选上，这样可以很容易的显示出病毒文件。。

　　发现了个”.vbs“病毒文件，还有N多的DLL文件，发现在正常模式下不能删除

　　同时在drivers文件夹内发现3个驱动文件，同样不能删除

　　5，文件判断完毕，下面开始注册表的清理工具

　　打开”木马辅助查找器“

　　找到”启动项管理“，全部删除就可以了

　　”文件关联管理“，点”自动修复“

　　6，上面的第5步有个小问题，appinit_dlls不为空，值为我们在第4部发现的N多DLL文件。

　　我用SRENG修复，发现一修复完，病毒又自动修改回去。试了几次都一样

　　没办法，手动吧。打开注册表（运行--regedit），找到appinit_dlls的值，然后一样是修改成空，病毒一样自动改回来。。

　　看来是这些DLL文件已经注入进程了，病毒一发现appinit_dlls被修改成正常值，则立即修改。。

　　病毒DLL最喜欢注入的进程就是IE和explorer.exe，那就用任务管理器结束掉explorer.exe（我这个时候没开浏览器）

　　再次修改appinit_dlls,好了，可以修改了。

　　7。病毒文件判断完毕，注册表也清理完毕，重启，进入安全模式！

　　8，开机狂按F8，进人安全模式，一进入马上进入system32,然后那些改死的DLL文件和驱动文件。。

　　成功删除。别着急，清理下系统垃圾，有可能有什么遗漏的病毒文件隐藏在temp文件夹里

　　有自己写的小工具--"电脑系统垃圾清理工具FileClean",很快，系统垃圾清理完毕。。

　　先不要退出安全模式，看第9步。。

　　9，在安全模式下全盘杀毒！！！

　　这一步我没有操作，因为我认为病毒应该杀完了，而且完全杀毒挺浪费时间。

　　不过还是写出来，给菜鸟朋友看，这样还是比较安全的措施。

　　10，重启进入正常系统，msconfig没有看到可疑的启动项目，C盘里的也没有先前出现的病毒文件。

　　病毒清除完毕