1、安装并运行Unlocker解套软件。这个软件是右键扩充工具,安装后,它便能整合于鼠标右键的操作当中,当使用者发现有某个文件或目录无法删除时,只要按下鼠标右键中的“Unlocker”,那么程序马上就会显示出是哪一些程序占用了该目录或文件,接着只要按下弹出的窗口中的Unlock”就能够为你的文件解套。(因为病毒文件是寄生在其他系统文件里的,所以要把病毒解套出来才能看到它的真实面目,才便于杀掉它). Unlocker 不同于其它解锁软件的部分在于它并非强制关闭那些占用文件的程序,而是以解除文件与程序关连性的方式来解锁,因此不会像其它解锁程序一样因为强制关闭程序而造成使用者可能的数据遗失。 安装运行Unlocker后,在 C:\WINDOWS\system32 下找到病毒文件(是一个DLL文件,由字母和数字组成的,卡巴斯基能查到这个病毒但删不了,可以用卡巴斯基找到这个病毒文件名),找到带病毒的文件后,右击这个文件,在下拉菜单中选择unlocker进行解锁(安装完软件后会在右键菜单上生成一个unlocker的菜单项)。解锁后可用手动删除.也可用卡巴斯基删除.
删除system32里带病毒的dll文件后,再进入C:\WINDOWS\system32\drivers 里找到×.sys文件(×跟之前那个dll文件同名,只是扩展名不一样)用同样的方法先解锁后用手动删除。删除后记到清空回收站。然后再运行regedit打开注册表编辑器,分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset003(或002)\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项)至此,可恨的Trojan-Downloader.Win32.QQHelper.mo被杀掉了,重启计算机,卡巴斯基就不再报警尖叫了.
但是该病毒还没彻底删除干净,还有抓子(钩子)与外界相连,一但时机成熟又从病毒网站下载该病毒运行。所以要把抓子一起干掉,这个抓子在注册表:
HKEY-LOCA-MACHINE/sysTEM/controlset001/Enum/Root/LEGACY_NUTFPV20 里(也许你机子里的病毒文件名不是这个nutfpv20,但都在Root项下),这个抓子在常规下是删除不了的,必须要借助于以下工具。
2、运行IceSword冰刃专杀软件(此软件是免安装的)。打开后点“注册表”,按照地址HKEY-LOCA-MACHINE/sysTEM/controlset001/Enum/Root/LEGACY_NUTFPV20找到NUTFPV20(NUTFPV20是病毒文件名,也许你的不是这个文件名,但性质是一样的),删除右边栏里NUTFPV20的所有键值。至此大功告成!
