一開機，感覺速度比平常慢好多，于是查看一下進程，發(fā)現(xiàn)有兩個smss.exe,我知道這個是系統(tǒng)進程，可一般只會運行一個的，為什么今天有兩個在運行？而且其中一個占內(nèi)存竟達10M以上，正常情況下只占300K左右。于是得出結(jié)論：中毒了。
按照本人平常手工殺毒的步驟開始殺毒：
1.結(jié)束病毒進程，禁用病毒服務(wù)
2.查找病毒文件及其變種文件
3.查找注冊表的啟動項或其它項中關(guān)于該病毒的項值
在執(zhí)行第一步時，發(fā)現(xiàn)smss.exe這個進程不容易殺掉，試過在安全模式下也不行，但我記得有一個命令是可以強制結(jié)束指定進程的，這個命令就是：ntsd，不過需要加上一些參數(shù)，先ntsd /?查看一下幫助，經(jīng)過一番研究，發(fā)現(xiàn)可以通過pid結(jié)束指定進程，命令如下：
ntsd -c q -p pid
將pid換成病毒進程對應(yīng)的pid就可以了，這個pid可以通過任務(wù)管理器中查到.
接下來的兩步都很順利，重起系統(tǒng)后發(fā)現(xiàn)病毒已經(jīng)被清除。
以下是殺毒全過程：

殺病毒的時候沒有記錄步驟,以下是憑記憶記錄下來的:
假設(shè)你的系統(tǒng)是winxp在C盤:
先將系統(tǒng)文件及隱藏文件設(shè)置成可查看
1.結(jié)束smss.exe(注意別看錯了)進程:
ntsd -c q -p 進程號
2.刪除C:\windows(2000是winnt)下的這幾個病毒文件:
rund1132.com
regedit.com
MSCONFIG.COM
dxdiag.com
command.pif
3.刪除C:\windows\system32下的這幾個病毒文件:
smss.exe
finders.com
EXP10RER.com
exerouter.exe
1.com
4.刪除C:\Program Files\Internet Explorer\IEXPLORE.com
5.刪除C:\Program Files\Common Files\IEXPLORE.pif
6.刪除C:\WINDOWS\Debug\DebugProgram.exe
7.刪除其它盤符根目錄（如D盤，E盤)下的病毒文件pagefile.pif和Autorun.inf文件(這是病毒偽裝成

頁面文件,并讓其自動播放,這樣在雙擊這個盤的時候就會自動運行病毒)
8.刪除注冊表中的Run下的病毒自運行項
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TProgram"="C:\Windows\smss.exe"
9.做完以上步驟,你會發(fā)現(xiàn)所有的執(zhí)行程序(exe)雙擊都無法運行,這是因為病毒在注冊表中改寫了exe

的關(guān)聯(lián),將以下內(nèi)容復(fù)制到記事本,保存為"*.reg",然后雙擊即可恢復(fù)關(guān)聯(lián):

Windows Registry Editor Version 5.00
; by 水晶魚[31449581]
[HKEY_CLASSES_ROOT\*]

[HKEY_CLASSES_ROOT\.exe]
"Content Type"="application/x-msdownload"
@="exefile"

[HKEY_CLASSES_ROOT\exefile]
@="Application Extension"

10.嘿嘿,別以為這樣就搞定了,病毒很可惡,啟動的時候還會提示"找不到文件1",這個簡單,把注冊表中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon的"shell"項目的值

改為"explorer.exe"

?