看进程，有个非常可疑的“6123t.exe ”，肯定是毒了，还能是什么，开始杀

1，打开冰刃，只有1个6123t.exe，别的一切正常，查看路径 c:\6123t.exe，结束这个进程
进C盘，居然没系统+隐藏，真嚣张。。
rar备份，然后直接删除
（我备份的目的是为了上传到“病毒样本”的版块）
（冰刃下载：http://www.antidu.cn/html/7/2007/9/antidu_2007923130549.html）

2，打开文件夹选项，显示隐藏+显示系统
（具体操作，可以看 http://www.antidu.cn/html/3/2008/1/antidu_200811993101.html ）
（给菜鸟朋友用，工具：http://www.antidu.cn/html/7/2008/5/virus_200853214634.html ）

3，进system文件夹，为什么进这里？因为木马都喜欢这。
进去后马上就发现了好几个exe文件，都是隐藏+系统属性的，然后再查看创建日期，全是2008-5-29的时间
这些文件属性不正常，文件名怪异，时间吻合我中毒的时间。删除！

4，再进入system32文件夹，这里的文件比较多，看起来很是累，这里有个大家介绍个小技巧
右键--排列图标，把”修改时间“和”按组排列“选上，这样可以很容易的显示出病毒文件。。
发现了个”.vbs“病毒文件，还有N多的DLL文件，发现在正常模式下不能删除
同时在drivers文件夹内发现3个驱动文件，同样不能删除

5，文件判断完毕，下面开始注册表的清理工具
打开”木马辅助查找器“（下载：http://www.antidu.cn/html/7/2007/9/antidu_2007923125849.html）
找到”启动项管理“，全部删除就可以了
”文件关联管理“，点”自动修复“

6，上面的第5步有个小问题，appinit_dlls不为空，值为我们在第4部发现的N多DLL文件。
我用SRENG修复，发现一修复完，病毒又自动修改回去。试了几次都一样
没办法，手动吧。打开注册表（运行--regedit），找到appinit_dlls的值，然后一样是修改成空，病毒一样自动改回来。。
看来是这些DLL文件已经注入进程了，病毒一发现appinit_dlls被修改成正常值，则立即修改。。
病毒DLL最喜欢注入的进程就是IE和explorer.exe，那就用任务管理器结束掉explorer.exe（我这个时候没开浏览器）
再次修改appinit_dlls,好了，可以修改了。

7。病毒文件判断完毕，注册表也清理完毕，重启，进入安全模式！

8，开机狂按F8，进人安全模式，一进入马上进入system32,然后那些改死的DLL文件和驱动文件。。
成功删除。别着急，清理下系统垃圾，有可能有什么遗漏的病毒文件隐藏在temp文件夹里
有自己写的小工具--"电脑系统垃圾清理工具FileClean",很快，系统垃圾清理完毕。。
工具下载：http://www.antidu.cn/html/7/2008/1/antidu_2008124113451.html
先不要退出安全模式，看第9步。。

9，在安全模式下全盘杀毒！！！
这一步我没有操作，因为我认为病毒应该杀完了，而且xx杀毒挺浪费时间。
不过还是写出来，给菜鸟朋友看，这样还是比较安全的措施。

10，重启进入正常系统，msconfig没有看到可疑的启动项目，C盘里的也没有先前出现的病毒文件。


病毒xx完毕

本人使用 AVG Anti-Spyware木马专杀工具也可以xx

xx绿色xx软件 内有汉化版(装事件记得语言选择英文,之后再用汉化就OK)