Win32.FunLove.4099
FunLove是一个非破坏性的内存驻留的Win32病毒，它感染本地驱动器和网络驱动器上的PE格式文件，因为有网络传播能力，它以一个感染的工作站为基地，通过对当前用户写授权的网络资源进行传播。虽然FunLove病毒对数据没有直接的破坏性，但也会占用系统资源，降低运行速度。下面介绍手工清除方法：
Windows 9X系统上：
⒈断开网络，备份重要文件；
⒉将病毒生成的FLCSS.exe文件删除；
⒊用启动盘引导系统，在DOS下查找并清除。
Windows 2000/NT系统上：
若Windows 2000/NT系统的NTFS硬盘分区患有此毒，处理比较烦琐。因为使用DOS软盘引导后不认硬盘分区，所以无法杀毒。在患毒的Windows 2000/NT系统下又杀不干净病毒。
推荐消除方法为：
⒈断开网络，备份重要文件将，病毒生成的FLCSS.exe文件删除；
⒉将患毒的硬盘挂接在无毒的机器上作为从盘；
⒊用无毒的主盘引导机器后，查找并清除从盘中的病毒。

欢乐时光（Happytime）
“欢乐时光”（Happytime）是一个VB源程序蠕虫。它专门感染.htm、.html、.vbs、.asp和.htt文件。它作为电子邮件的附件，并利用Outlook Express的功能缺陷把自己传播出去。它利用一个被人们所知的Microsoft Outlook Express的安全漏洞，可以在你没有运行任何附件时就运行自己。它利用Outlook Express的信纸功能，使自己复制在信纸的Html模板上，以便传播。这和“Wscript.KakWorm”病毒很相似，当你发信出去时，“欢乐时光”的源病毒隐藏在HTML文件上。只要你在Outlook Express上预览了隐藏有病毒的HTML文件，甚至你都不用打开它，它就能感染你的电脑。
清除“欢乐时光”病毒方法：
⒈在C:WindowsWeb文件夹下，搜索文件和文件夹，名为“*.htt”；
⒉删除找到的文件；
⒊更改注册表，并删除键值： HKEY_CURRENT_USERSoftwareHelpCount HKEY_CURRENT_USERSoftwareHelp
FileName ；
⒋重新启动机器；
⒌升级IE到6.0。

I-Worm.BadTrans.II
“I-Worm.BadTrans.II”是一种蠕虫病毒，如果邮件Client程序上没有修补漏洞，只要读邮件，被设置了储藏键盘输入内容的特洛伊木马，就会通过邮件传播。该蠕虫病毒运行时，会将自己拷贝到Windows的System目录下，并命名为KERNEL32.EXE，并将它加到注册表HKLMSOFTWAREMicrosoftWindows
CurrentVersionRunOnce中，使自己能在下次Windows启动时运行。同时还会生成一个dll文件：KDLL.DLL，该文件是储藏输入键盘内容功能的特洛伊木马。
下面介绍手动清除方法：
Windows 9X系统上：
⒈按Alt+Shift+Ctrl 键，结束Kernel32.exe的进程；
⒉在 Windowssystem 下查找Kernel32.exe 、Kdll.dll文件并删除它们；
⒊删除注册表中HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnceKemel32=Kemel32.exe的主键。
Windows 2000/NT系统上：　　
⒈在Windows 2000/NT下结束进程 ；方法：按Alt+Shift+Ctrl 键出现任务管理器窗口，在进程选项中，查找Kernel32.exe文件，选中后结束程序进程；
⒉回到系统目录 WINNT
system32 删除文件Kernel32.exe和KDLL.dll；
（⒊删除注册表中HKEY_LOCAL_
MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunOnceKemel32=Kemel32.exe的主键；
最后，别忘了升级IE6.0。

尼姆达（Nimda）
在手工查杀尼姆达（Nimda）时，需注意不同的平台采取不同的方法。
对于Windows 98用户：
⒈打开进程管理器，查看进程列表，结束其中进程名称为“xxx.tmp.exe”以及“Load.exe”的进程（其中xxx为任意文件名）；
⒉切换到系统的TEMP目录，寻找文件长度为57344的文件，删掉它们；
⒊切换到系统的System目录，寻找大小为57344字节名称为Riched20.DLL的文件并删掉它；
⒋继续在系统的System目录下寻找名称为load.exe，删掉它；
⒌如果遇到Office运行异常，请将Windows 98安装目录下的压缩包内的RICHED20.DLL文件复制到C:windowssystem下，替换掉到原有的RICHED20.DLL文件；
⒍如发现C:盘共享，请打开共享文件夹管理，将共享“C$”去除；
⒎打开System.ini文件，在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”，则改为“shell=explorer.exe”；
⒏升级IE到6.0版本。
对于Windows2000 Professional/Server /Advanced server/ NT4 Server：
⒈首先安装IIS补丁及IE相应的最新补丁； 
⒉将服务器隔离，断开所有网线；          
⒊将IIS服务的Scripts目录中TFTP*.exe和ROOT.exe文件全部移除；
⒋当受到尼姆达病毒的入侵后，系统中会出现一些新的共享，如C、D等，应该将其共享属性去掉；
⒌另外，查看一下administrators组中是否加进了“guest”用户，如果是，请将guest用户从administrators组中删除；
⒍彻底清除Nimda病毒，查找与清除方式同Windows 98系统；
⒎恢复网络连接；
⒏如果按照以上步骤仍无法解决问题，说明IIS补丁安装有问题.请重新安装IIS补丁；
⒐如果用户服务器不提供Web服务，请将Web服务停止.，这样比较安全。

蠕虫Zoher
蠕虫Zoher病毒通过邮件传播，邮件的主题为Fw: Scherzo!，附件名称为：javascript.exe。
邮件内容为意大利文。该病毒的突出特点在于：此病毒会自动从http://banners.interfree.it/网站下载一个名为list.txt病毒文件，它会自动搜索本地邮件地址簿中的所有邮件地址，并按地址发送。
目前，list.txt文件的破坏性不是很强，市面上的最新版杀毒软件都可清除，最后一定不要忘了升级IE到6.0。

红色代码III
红色代码III是针对中文 Windows 操作系统的攻击性病毒，CodeRed III 与 CodeRed II 都将对简体中文/繁体中文 Windows 系统进行双倍的攻击。这里所介绍的清除方法对CodeRed II、CodeRed III型都有效，手动清除方法如下（如果不幸中了此病毒，应该立即关闭所有 80 端口的 Web 服务，避免病毒继续传播）：
⒈清除的 Web 服务器中的两个后门文件C:Inetpubscripts oot.exe、C:progra~1common~1system MSADC
oot.exe。
⒉清除本地硬盘中C:explorer.exe 和 D:explorer.exe。先要杀掉进程explorer.exe，打开任务管理器，选择进程。检查是否进程中有两个“exploer.exe”。如果找到两个“exploer.exe”，说明木马已经在你的机器上运行了，在菜单中选择 查看 -> 选定列 -> 线程计数，按确定。这时会发现显示框中增加了新的一列“线程数”。检查两个“exploer.exe”， 显示线程数为“1”的“exploer.exe”就是木马程序。结束这个进程。删除掉C:exploer.exe和D:exploer.exe了，这两个程序都设置了隐藏和只读属性。需要设置“资源管理器”的查看->选项->隐藏文件为“显示所有文件”才能看到它们。
⒊清除病毒在注册表中添加的项目：HKLMSOFTWAREMicrosoft
WindowsNTCurrentVersionWinlogon，删除键值为0FFFFFF9Dh的SFCDisable 键，或将键值改为0。
⒋将HKLMSYSTEM
CurrentControlSetServicesW3SVC
ParametersVirtual RootsScripts键值由“，，217” 改为 “，，201”。
⒌将HKLMSYSTEM
CurrentControlSetServicesW3SVC
ParametersVirtual Rootsmsadc键值由“，，217” 改为 “，，201”。
⒍删除HKLMSYSTEM
CurrentControlSetServicesW3SVC
ParametersVirtual Roots键值为：C:，，217的主键。
⒎删除HKLMSYSTEM
CurrentControlSetServicesW3SVC
ParametersVirtual Roots键值为：D:，，217的主键；
⒏重新启动系统，以确保 CodeRed.v3 彻底清除。最后，不要忘了为操作系统打上最新的补丁。
笑哈哈Shoho
“笑哈哈”病毒，又名Worm.Shoho.110592，是一种基于Windows的常驻内存型病毒，通过E-mail方式传播，利用IE的漏洞自动执行，并向Microsoft Outlook 地址簿中的邮箱反复发送自身，造成邮箱堵塞，还会随机删除当前目录下的文件，造成系统启动困难。
下面介绍手工清除方法：
⒈选择“开始->运行”，输入Regedit命令，修改注册表文件；
⒉ 双击如下条目： HKEY_
LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun；
⒊在窗口右侧中寻找并删除如下项：WINL0G0N.EXE = “%windows% WINL0G0N.EXE” ；双击如下条目：
 HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun ；
⒋在窗口右侧中寻找并删除如下项：WINL0G0N.EXE = “%windows%
WINL0G0N.EXE”； 
⒌双击如下条目：HKEY_USER
DefaultSoftwareMicrosoft WindowsCurrentVersionRun； 
⒍在窗口右侧中寻找并删除如下项：WINL0G0N.EXE = “%windows% WINL0G0N.EXE”，最后别忘了升级IE到6.0。
Sircam
手动清除方法：
⒈清空回收站，因为Sircam.sys文件将隐藏在回收站中 ；
⒉在DOS模式下打开Autoexec.bat文件，如果有“@win ecycledsirc32.exe”的字段则删除；
⒊更改注册表，将regedit.exe 改名为 regedit.com；
⒋进入dos模式，键入“copy regedit.exe regedit.com”；
⒌回到Windows模式，进入注册表编辑器，查找主键：HKEY_CLASSES
_ROOTexefileshellopencommand，删除其原有键值，并将其键值改为 “%1”%*，查找主键 HKEY_LOCAL_MACHINE
SoftwareSirCam 并将其删除，再查找主键HKEY_LOCAL_MACHINESoftware
MicrosoftWindowsCurrentVersion
RunServices，在其右侧的窗口中，如果有 Driver32. 则删除。
混客绝情炸弹
“混客绝情炸弹”是一种危害极大的新型病毒。它并不传播，只是将病毒做在网页内，当用户在不知情的情况下打开含病毒的网页，病毒就会发作。爆发现象有多种，如修改IE默认主页、关机直至破坏系统、格式化硬盘等。由于这种病毒是在异地对本地客户机进行破坏，所以一般的防火墙很难对它进行有效的防范。同时反病毒专家告诫用户，陌生人介绍的网站一定要谨慎登录。
下面介绍手工清除方法：
⒈清除以下键值HKCUSoftware
MicrosoftInternet ExplorerMainStart Page；
⒉删除以下键HKLMSoftware
MicrosoftInternet Explorer MainWindow TitleHKCUSoftware MicrosoftInternet Explorer MainWindow Title；
⒊删除以下主键（包括子键）
HKCUSoftwareMicrosoftWindows
CurrentVersionPoliciesExplorer
HKCUSoftwareMicrosoftWindows
CurrentVersionPoliciesSystem
HKCUSoftwareMicrosoftWindows
CurrentVersionPoliciesWinOldApp
HKLMSoftwareMicrosoftWindows
CurrentVersionWinlogon；
⒋最后自己手工清除收藏夹中的连接。
死者Goner
“死者Goner”是一种典型的网络蠕虫病毒，主要有三种传播方式：
⒈通过Outlook电子邮件地址簿向用户发送带有蠕虫病毒附件文件的邮件；
⒉通过IRC聊天工具传送病毒文件，插入mIRC SCRIPT脚本使染毒机器可以用来进行DDOS攻击；
⒊通过ICQ聊天程序，判断ICQ的版本，如果版本正确则将自身发给在线的网友。
采用手动方式清除：
⒈在纯DOS模式下，键入：CD WINNTSYSTEM或在Windows的系统目录，键入：DEL GONE.SCR，删除gone.scr文件；
⒉接着回到Windows，启动注册表编辑器，HKEY_LOCAL_MACHINE
SoftwareMicrosoftWindowsCurrentVersion
Run，删除其中名称中含有“gone.scr”的键值；
⒊删除mIRC目录中的REMOTE32.INI 文件；
⒋删除MIRC.INI文件，用以前的备份文件中恢复该文件；
⒌重新启动系统。

中国黑客
“中国黑客”病毒主要危害体现在四个方面：
⒈跨系统性：此病毒做了两套不同的感染机制，可以分别在Windows 9X系列和Windows NT系列的操作系统中正确运行；
⒉智能性：在Windows 9X系列操作系统中，此病毒可以获得系统的最高权限，并采用双线程机制，用一个系统级别更高的母线程监视跟踪另一个子线程的运行，当母线程发现子线程被杀掉时，它会马上再产生出一个子线程，继续在内存中活动，造成大部分杀毒软件失效；
⒊隐蔽性：在Windows NT系列操作系统中，由于任何病毒都无法进入核心态，此病毒则将自己的病毒线程注入到浏览器（Explorer.exe）的内存进程空间中，这样一般用户都无法看到病毒进程，也就无法发现此病；
⒋自动性：此病毒生成的EML文件利用了Outlook的漏洞，在用户预览邮件的情况下都可发现；
⒌强传播性：可以利用局域网上的共享文件夹进行传染，其传播特点类似“尼姆达”病毒，因此对于某些不具备全网同时杀毒功能的杀毒软件时，将意味着不拔掉网线，在网络环境下，根本无法彻底清除该病毒。另外，此病毒还可以通过寻找用户邮件地址簿向外乱发邮件，从Internet网上进行广泛传播。
对于这种新型病毒，目前可以到下面的网址下载专杀工具：
http://www.iduba.net/download/othertools/Duba_RunOuce.EXE和
http://www8.pconline.com.cn/download/download.phtml?id=92891。

文章转载地址：http://www.365master.com/kt_article_show.php?article_id=1423&categ_code=10041003