14.http://www.4755.net 删除方法

如果系统是Windows 9x，病毒将系统原来的Internat.exe和Rundll32.exe复制到C盘根目录，把自己以Internat.exe和Rundll32.exe文件名复制到它们原来的位置，所以在删除了病毒文件后要把C盘根目录下病毒“好心”备份的原系统文件复制回去。

在安全模式下删除：
%Windows%\Cqdll.dll
%Windows%\delttoul.exe
%Windows%\lsass.exe
%Windows%\MlcrosoftSound.wav（MlcrosoftSound.wav的第二个字母是L）
%Windows%\rundll32.exe
%Windows%\services.exe
%Windows%\smss.exe
%Windows%\ywin32.dll
%System%\cq0dll.dll
%System%\hiddukel.dll
%System%\huangjiaju.exe
%System%\lnterapi32.dll（lnterapi32.dll的第一个字母是L）
%System%\lnterapi64.dll（lnterapi32.dll的第一个字母是L）
%System%\slsorve.exe
%System%\SVCH0ST.EXE（SVCH0ST.EXE中的0是数字0，不是字母O）
%System%\winc1.exe
%System%\winc2.exe
%System%\winmem.exe
%System%\WinSocks.dll
%System%\yyd55dg.dll
%System%\yyd55dg.exe
%ProgramFiles%\explorer.exe

删除病毒建立的启动项信息：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 翼闪QQ空间站
(默认) = winmem
loadMecq0 = %ProgramFiles%\explorer.exe
SysDll32_ = %Windows%\delttoul.exe
services = %Windows%\services.exe
smss = %Windows%\smss.exe
slSorvice = %System%\slsorve.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
ws_dd = %Windows%\lsass.exe
services = %Windows%\services.exe
smss = %Windows%\smss.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
26 = %System%\slsorve.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ws_dd = %Windows%\lsass.exe
smss = %Windows%\smss.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
smss = %Windows%\smss.exe

还要删除：
[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}]
[HKEY_LOCAL_MACHINE\Software\CLASSES\LNTERAPI64.classname]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks]下的{081FE200-A103-11D7-A46D-C770E4459F2F}
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

编辑WIN.INI文件中run=%Windows%\smss.exe为run= （Windows 9x）；
在注册表编辑器中定位到HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows，修改右边“run”的内容，将“%Windows%\smss.exe”删除，改为空（Windows NT/2000/XP/2003）。

编辑SYSTEM.INI文件中Shell = Explorer.exe %Windows%\lsass.exe为Shell = Explorer.exe（Windows 9x）；
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”，编辑右边“Shell”的内容，将“Explorer.exe %Windows%\lsass.exe”修改为“Explorer.exe”（Windows NT/2000/XP/2003）。

恢复被修改的起始页信息：
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page，建议设置为“about:blank”

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page，建议设置为“about:blank”

15.http://mm5i.com删除方法

在安全模式下删除以下文件：
%Windows%\csrss.exe（透明图标）
%System%\001.exe
%System%\444.reg
%System%\chk.exe
%System%\chk20.exe
%System%\HMRes.dll
%System%\huanyuan.exe
%System%\pj.exe
%System%\pojie.exe
%System%\SimCom.dll
%System%\winpass.exe（透明图标）
%System%\Ws2help32.dll
%System%\YZDLL32.DLL
%System%\huangjiaju.exe（0字节）

删除%Windows%\csrss.exe的四个启动项，分别在：
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]

恢复被修改的Start Page（yyue.net）设置：
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main
"Start Page" = "about:blank"

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
"Start Page" = "about:blank"

16.http://***www.sou99.com 和 http://www.qq46.com/home?:
删除注册表中这几个：
bbs.13ip.com

HKLM\software\microsoft\windows\currentVersion\run: csrss = "%windir%\csrss.exe"
HKCU\software\microsoft\windows\currentVersion\run: csrss = "%windir%\csrss.exe"
HKLM\software\microsoft\windows\CurrentVersion\Runservices: csrss = "%windir%\csrss.exe"
HKCU\software\Microsoft\Windows\CurrentVersion\Runservices: csrss = "%windir%\csrss.exe"
然后重新启动计算机，删除%windir%下的csrss.exe即可。

17.http://www.vmqq.com：

在安全模式下删除以下文件：
%System%\Service.exe
%System%\slime.exe
%System%\slserve.exe
%System%\SP00LSV.DLL（注意是数字0不是字母o）
%System%\SP00LSV.EXE（注意是数字0不是字母o）
%System%\system32.exe
删除它们的启动项及NTdhcp.exe的启动项即可。

18.QQ大盗
症状
“QQ大盗”病毒可以利用IE浏览器mht漏洞，通过利用该漏洞编写的恶意网页代码，自动下载一个网上的chm文件， “QQ大盗”病毒即内嵌其中并开始自动运行。
1、 该木马程序运行后，将在系统文件夹生成：%SystemDir%\NTdhcp.exe，28400字节。

 并添加注册表项：
[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“NTdhcp” = %SystemDir%\NTdhcp.exe
这样，在Windows启动时，木马得以自动运行。
2、 “QQ大盗”病毒（Trojan/PSW.QQpass.br）的盗取目标是用户的QQ号、密码和详细的QQ资料信息。
清除:
首先运行任务管理器，查找并结束掉NTdhcp.exe进程
按照病毒文件所在位置System\NTdhcp.exe找到系统目录下的病毒文件，手工删除，。运行REGEDIT注册表编辑器，定位到
[HKEY_LOCALMACHINE\Software\Microsoft\Windows\CurrentVersion\Run]，将RUN下面的键值“NTdhcp” = %SystemDir%\NTdhcp.exe删除。

19.http://www.19ku.com：
在安全模式下删除
%System32%\notepad
%System%\notepad
%System%\taskmgr.exe
%windows%\notepad

删除%System%\taskmgr.exe时注意:打开任务管理器，结束进程里的两个taskmgr.exe之中的上面的一个，再去删除taskmgr.exe，OK！！！

不能把systern32文件夹里的taskmgr.exe删除，那可是真的任务管理器程序。再，记住病毒发生的时间非常重要