手动删除“下载者病毒”方法

最近又中了下载者，都烦死了
那我就解剖他看看，NND

病毒运行后，首先.创建C:\Documents and Settings\当前用户名\Local Settings\Temp\IXP000.TMP
复制自身到创建的文件夹并运行，调用命令行：
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"wextract_cleanup0"="rundll32.exe C:\WINDOWS\SYSTEM32\advpack.dll,DelNodeRunDLL32,C:\Documents and Settings\当前用户名\Local Settings\Temp\IXP000.TMP"
释放：C:\Documents and Settings\当前用户名\Local Settings\Temp\b-PEavp.exe
Set date=%date% 
date 2004-10-09
@echo Off & setloc l enableextensions
Ec o Ws cript.Sleep 1000 >
Set /a i = 5
:Timeout
If %i% == 0 Goto Next
setlo al
Set /a i = %i% - 1
cs cript //nologo fyzero.vbs 
Goto Timeout
Goto End
:Next 
dcte %date
高明啊：把时间改成2004-10-09对.付杀软
释放C:\Documents and Settings\当前用户名\Local Settings\Temp\b-mie.exe并运行，复制自身到：
C:\WINDOWS\winllogon.exe

创建服务：
[HKLM\System\CurrentControlSet\Services\IE_WinServerName]
显示名：IE_WinServerName
描述：Windows CreaterIE
可执行文件的路径：C:\WINDOWS\winllogon.exe

创建批处理C:\WINDOWS\Deleteme.bat删除自身。
Deleteme.bat内容：
:try
del "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\b-mie.exe"
if exist "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\IXP000.TMP\b-mie.exe" goto try
del %0
先连接hxxp://www.ysjjj.com/yz/2007R2.txt读取里面.的内容，根据txt文件里的地址下载新的病毒。

手动清除方法：1，断开网络，断开后他就.不能在下载咯，哈哈
2。删除文件
C:\WINDOWS\winllogon.exe
C:\WINDOWS\Deleteme.bat
3。删除注册表
[HKLM\System\CurrentControlSet\Services\IE_WinServerName]
[HKEY_CLASSES_ROOT\CLSID\{DD7D4640-4464-48C0-82FD-21338366D2D2}\InProcServer32]
@="C:\Program Files\Internet Explorer\InfoMs.tdm"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{DD7D4640-4464-48C0-82FD-21338366D2D2}"=
4。重新启动
5。删除文件
C:\WINDOWS\Dz.exe
C:\Program Files\Internet Explorer\InfoMs.sys
C:\Program Files\Internet Explorer\InfoMs.tdm
C:\Program Files\Internet Explorer\InfoMs.tp3
6。清空IE临时文件夹和系统.临时文件夹
7。修改回系统.正常时间

然后基本就OK拉