现在我们来彻底将病毒的启动请出我们的电脑吧（注意：这个时候建议先不要运行杀毒软件，避免还有残留的我们没发现的病毒残留文件通过映像劫持再度重生！）

    开始菜单-运行-输入“regedit”打开注册表

 
    使用模糊查询搜索我们刚才的病毒文件。不要包括扩展名，因为有的地方是以名字做注册表项的，我们同时勾选 项、值、以及数据。确保不放过一个敌人！

    我们找到一个CLSID 为{A490017A-017A-4901-7A49-17A9017A4901}的项里面保存着病毒名称和路径：

    我们删除这个项，然后按下F3继续搜索下一个，找到就把它删除。这里要注意一个问题。如果你搜索出来的注册表项里面有很多个值，千万不要盲目删除项。只要删除包含病毒文件名称和路径的部分就可以了！避免系统崩溃！接下来删除映像劫持部分的注册表内容搜索Image File Execution Options既可来到

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个位置。你会发现里面几乎包含了所有你知道的杀毒软件的进程名，病毒就是通过识别这些进程名来进行劫持的。所以有的时候你可以通过修改程序的名称。比如把360safe.com改为xxx.exx就可以运行了。当然不是绝对。例如对AV终结者就是无效的，因为他识别的是窗体标题。所以你可以发现的杀毒软件他们推出的专杀工具一般都是.com的扩展名，而且运行时候是没有标题的。这个就是为了防止被感染或者被强制关闭。

    二话不说。删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个项。它所包含的子项也将一起被删除。这样就不会被劫持了。现在重新启动系统吧！你的电脑又是一片蓝天了！