手工删除Worm.Downloader.cr.34304病毒

（手工清除适合有经验管理维护windows操作系统的用户，误操作可能会带来意外损失，以下手工清除方案由网友清新阳光提供，原文：http://hi.baidu.com/newcenturysun/blog/item/19c2bf64d3fc41f3f7365482.html）

一、清除病毒主程序
下载冰刃 http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip
sreng http://download.kztechs.com/files/sreng2.zip
1.解压IceSword122cn.zip把Icesword.exe改名为1.com（使用AV终结者专杀后，可不用修改，既能运行）运行 切换到进程窗口，结束%system32%\crsss.exe进程 （注意是crsss.exe不是csrss.exe，一定不要搞错）

2.点击左下角文件按钮 删除如下文件%system32%\crsss.exe和每个分区下的niu.exe和autorun.inf（一定不要落下这一步)

二、修复

被病毒破坏的系统
1.打开sreng启动项目，注册表。删除所有红色的IFEO映像劫持项目，并删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下的    <crsss><C:\WINDOWS\system32\crsss.exe>         [N/A]

2.还是使用sreng，修复任务管理器的正常使用。
步骤：系统修复-Windows Shell/IE，勾选“允许在Windows 2000/XP/Server 2003中使用任务管理器”，设置主页为"about:blank"
允许Internet Explorer选项窗口和选项窗口的所有内容，然后点击修复

3.sreng中系统修复-高级修复，修复安全模式

4.找一台未被感染病毒的与中毒电脑系统相同的电脑 导出未中毒电脑的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden整个键的内容，另存为一个扩展名为reg的文件，复制到带毒电脑上，双击导入。
本贴的附件中提供这个fixhidden.reg的文件，下载后解压，在中毒后的电脑上双击就可以导入。

三、清除病毒下载的木马（由于下载的木马随时变化，所以本文中的方法仅供参考，强烈建议您使用金山毒霸升级后全面杀毒）

使用金山清理专家的文件粉碎器找到以下DLL文件，将其删除。
C:\WINDOWS\system32\kvmxdma.dll
C:\WINDOWS\system32\rsmycpm.dll
C:\WINDOWS\system32\kvdxcma.dll
C:\WINDOWS\system32\avwgcmn.dll
C:\WINDOWS\system32\ratbdpi.dll
C:\WINDOWS\system32\raqjapi.dll
C:\WINDOWS\system32\rsjzbpm.dll
C:\WINDOWS\system32\avzxdmn.dll
C:\WINDOWS\system32\kawdbzy.dll
C:\WINDOWS\system32\rarjbpi.dll
C:\WINDOWS\system32\mypern0.dll

2.打开sreng ，“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：Windows dvne RunThem / dvne

在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”，选中以下项目，点“删除服务”，再点“设置”，在弹出的框中点“否”：
acpidisk / acpidisk，系统修复，高级修复，重置winsock

3.重启计算机
双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定，删除如下文件
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\msavp.dll
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\system32\drivers\acpidisk.sys
c:\progra~1\yqiz文件夹

最后再次提醒大家一定要关闭电脑的自动播放功能，不要让此类恶性U盘病毒再如此肆意传播了！