在杀毒之前大家最好有3件武器在手，第一：hjackthis ，扫描系统之利器。第二：可以修改文件关联的软件，我用的是 全能助手Windows优化王 ，它不只能修复文件关联的问题，它还有很多其他的功能，是一款不错的软件。第三：系统进程监视的软件，这里推荐大家用 IceSword ，不但可以发现隐藏的系统进程，还可以监视系统进程的创建。好了，如果3件武器都有了，那么我们就可以杀毒了。


这个病毒，我研究了一下，最主要的文件就是 MSWDM.EXE 。我没有研究它的原代码，但是所有的病毒的产生都是由它一手造成的。如果是windows XP 系统，那么在 c:\windows\system32 下能找到它。 2000系统的话，在 c:\winnt\system32 下能找到它。

这个病毒可以说无所不用其极，它修改可执行文件的关联，还修改HOSTS文件，将大多数门户网站修改为一个固定IP，在后台启动 IE 浏览器做鬼鬼祟祟的事情。

在杀毒之前大家最好有3件武器在手，第一：hjackthis ，扫描系统之利器。第二：可以修改文件关联的软件，我用的是 全能助手Windows优化王 ，它不只能修复文件关联的问题，它还有很多其他的功能，是一款不错的软件。第三：系统进程监视的软件，这里推荐大家用 IceSword ，不但可以发现隐藏的系统进程，还可以监视系统进程的创建。好了，如果3件武器都有了，那么我们就可以杀毒了。

首先，清除我上篇文章里说的各种文件，如果有个别清除不了的，用hjackthis 1.99.1版本里带的KillBox清除之。

然后，修改可执行文件的关联，有一个文件叫 EXERoute.exe ，正常的系统是没有它的，如果大家在c:\winnt 或者c:\windows 下发现它，就说明你的可执行文件关联被它修改了，用优化王或者其他的软件修改过来。如果大家手头没有这样的软件，可以通过注册表直接修改过来，路径如下：[HKEY_CLASSES_ROOT\exefile\shell\open\command]

病毒将它修改成@="\"EXERouter.exe %1\" %*"

正确的值应该是：
@="\"%1\" %*"

大家在杀毒的时候一定要将icesword打开，显示系统进程，随时刷新，如果看到有可疑进程立刻结束。

这个病毒在进程里常出现的进程就是 foxrar.exe 和 IEXPLORE.exe 这两个。他们都是隐藏的，不用类似icesword这类的软件是不能发现的。

最后，将注册表里的病毒启动项目全都用 hjackthis 修复。观察一下 c:\winnt\temp 或者 c:\windows\temp 下是否自动生成扩展名为tmp的文件。

补充：在上一篇我忘了还有一些病毒文件的名字。 

1.com ：  在c:\winnt 或者 c:\windows 下 。

EXERouter.exe ： 在c:\winnt 或者 c:\windows 下。

WINLOGON.exe ： 在c:\winnt 或者 c:\windows 下。

还有一些病毒文件的名字，我记不清了，一会我在感染一下病毒，把这些名字都记录在案，给大家发上来。

谢谢大侠！前几天中了欢乐时光病毒，系统速度象蜗牛害我重作了几...

谢谢大侠！前几天中了欢乐时光病毒，系统速度象蜗牛害我重作了几次系统。现如今还提心吊胆。