1、System Repair Engineer（SREng）的扫描报告；
2、unlocker (下载地址:http://www.cisko.cn/Soft/ShowSoft.asp?SoftID=37)用于删除病毒文件。


在 System Repair Engineer（SREng）的扫描报告中查找病毒文件的办法：

在“正在运行的进程”下面查找注入到进程的dll文件：以★嘎嘎★的报告为例（比较典型）

[PID: 532][C:\WINDOWS\system32\k6s.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\drivers\nmprt.sys] [N/A, N/A]
[C:\WINDOWS\system32\rdzl7.dll] [N/A, N/A]

这个进程和附带的两个文件就是病毒。一般nmprt.sys是昨天发现的共有名称，但今天的报告中发现了随机名字的sys文件。但这3个病毒文件的存放路径是固定的。
exe文件的名字和位数不固定，特征是包含数字。
dll文件是5位包含数字的随机名字。
这个exe进程下可能还寄生其他的dll文件，最典型的就是cnnic的dll文件。本文不讨论cnnic.
dll文件的特征是同时注入到其他进程下，几乎每个进程都有他们的踪迹：比如C:\WINDOWS\Explorer.EXE进程、rundll32.exe、ctfmon.exe下肯定有。

快速判定以上病毒文件的办法是用百度搜索一下文件名字，一般不会有搜索结果的定是病毒无疑。

删除病毒文件不用到安全模式（也进不去），用unlocker即可删除。一次删除不了请重新安装unlocker或重起，多试几次就删掉了。



删除病毒文件后的后遗症是不能进安全模式，原因是病毒文件吧关键的安全模式需要加载的注册表项删除了，请下载以下文件解压后双击，导入注册表即可。
本文出自 51CTO.COM技术博客