[分享]：手工清除Vbs.Redlof.a病毒方法。

wcc1972

近两天论坛上有问关于这个病毒的问题，所以把这篇文章贴上来，希望对需要的坛友有点帮助！

病毒名：新欢乐时光变种

英文名：Vbs.Redlof.a[/COLOR]
别名：红色结束符、Script.Redlof.e、VBS.KJ.A等。[/COLOR]


介绍：

与以前的新欢乐时光病毒相比，Vbs.Redlof.a变种采用了新的加密方法，将自己的代码随机组合，代码都经过改变，更加隐蔽，使大多数杀毒软件难以进行查杀。该变种会感染 html、htm、jsp、vbs、php、asp，等脚本文件，同时也会感染邮件文件，感染后的机器与以前的欢乐时光状态相似，系统资源被大量消耗，速度其慢无比。

感染后特征：

1、在系统中的 /Windows/System32 中生成 inet.vxd 和 setup.txt 两个文件。

2、与以前快乐时光相似，会在文件夹下生成 desktop.ini 和 folder.htt 文件。

3、在 Windows 9X 系统中，在System目录下生成Kernel.dll 文件；在 Windows 2000/XP 中生成生成Kernel32.dll 文件。

清除方法：

1、清除 HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Run\ 中的 Kernel32 键值，使病毒无法随系统启动；

2、删除%Windows%System32 中生成 inet.vxd 和 setup.txt 两个文件。

3、删除在 Windows 9X 系统中，在System目录下生成Kernel.dll 文件；在 Windows 2000/XP 中生成生成Kernel32.dll 文件。如果无法删除，先关闭进程中相关内容。如果无法关闭，参考下面的处理方法。

4、用搜索工具查找并删除由病毒产生的 desktop.ini和 folder.htt 文件。





参考：用windows自带工具杀进程

用Windows自带的工具就能杀大部分进程：

命令格式：c:\>ntsd -c q -p PID

只有System、SMSS.EXE和CSRSS.EXE不能杀。前两个是纯内核态的，最后那个是Win32子系统，ntsd本身需要它。ntsd从2000开始就是系统自带的用户态调试工具。被调试器附着(attach)的进程会随调试器一起退出，所以可以用来在命令行下终止进程。使用ntsd自动就获得了debug权限，从而能杀掉大部分的进程。ntsd会新开一个调试窗口，本来在纯命令行下无法控制，但如果只是简单的命令，比如退出(q)，用-c参数从命令行传递就行了。Ntsd 按照惯例也向软件开发人员提供。只有系统开发人员使用此命令。有关详细信息，请参阅 NTSD 中所附的帮助文件。用法:开个cmd.exe窗口，输入：

ntsd -c q -p PID

把最后那个PID，改成你要终止的进程的ID。如果你不知道进程的ID，任务管理器－>进程选项卡－>查看－>选择列－>勾上"PID（进程标识符）"，然后就能看见了。

此外，xp下还有两个tasklist和tskill。tasklist能列出所有的进程和相应的信息。tskill能查杀进程，语法很简单：tskill 程序名。

汉妮

你这上面的东东也不能查杀病毒，运行还是死机。不能查出来。