主题：个人经验总结帖，内容不定，不定期更新 -- 休眠火山

一直以来，在半生不熟的情况下，为不少电脑清了不少病毒，都是瞎胡闹，不过也多少积攒了点经验，在高人眼里是不值一哂，自己却觉得需要记录一下，以备自己使用。

这两天遇到一个老师的电脑只能上内网，不能上外网，已经确认网络没问题，所以问题肯定是电脑身上了。以下是过程：

1.试图进安全模式失败。

2.插u盘，发现vbs常见手段：产生autorun文件，产生vbs文件，文件名是随机数字，隐藏所有文件夹并加上系统属性和隐藏属性，建立快捷方式。

3.运行kv移动版，杀掉一大堆病毒。运行sreng，提示隐藏进程，提示启动项有修改，文件关联被修改。修复安全模式。

4.进安全模式，用kv杀，结果一个都没有了，但进入正常模式后问题依旧。

5.安装360杀毒和安全卫士，基本等于废物，没找到任何问题。顽固木马专杀由于不能上网，所以没法用。

5.用sreng大胆杀掉没有经过验证的可疑服务和驱动，用360结束可疑进程。并删除可疑文件。其中需要提到的就是一个隐藏在多种可能的文件夹下，文件夹名称含%sessionname%的文件，内部有xm为后缀名的文件，还有貌似后缀为pt的文件，直接杀不掉。

6。用最新病毒库的kv再在安全模式下杀。成功杀掉一些以前没有的病毒和木马下载器。进入正常模式后，发现大部分病毒都清得差不多了，上述文件夹和内容可以删除了。使用netstat -on 没有发现可疑进程发数据包。但仍然无法连外网。而且vbs病毒明显仍然起作用。

于是决定先把病毒清理干净再说。

7.经上网查，发现这个病毒替换了系统的正常文件，而这个是我一般尽量不去涉及的（确认是否是正常文件需要两个电脑，一个正常的，费时费力，我一般在确认有问题时才去解决这个问题）。

8.网上解决方法如下

9.继续：

实际杀毒过程同这个有所不同。由于病毒相当于直接修改了explorer，所以首先进入命令行安全模式后，用命令行进行处理，可以防止病毒启动。进入命令行将explorer和smss分别复制到fat32分区，然后复制回来，由于这样不确定是否能够把附加流去掉，所以用了一个很取巧的办法：使用命令行把两个文件复制到FAT32分区后，运行复制后的explorer，这样保证了其干净，然后在新程序下将explorer和smss分别复制到fat32分区，然后复制回来并覆盖。复制过程中提示有流信息丢失，说明方法有效。然后在命令行将所有分区根目录下.vbs文件，autorun文件以及快捷方式全部删除，修改目录属性为可见，非系统。打开注册表，删除所有.vbs所对应不正常的项。删除system目录下的svchost。重启后恢复正常。