为什么眼镜蛇不咬阿三:大家帮个忙,怎么除去它?

清除TopFox方法
http://bbs.kill.com.cn/viewthread.php?tid=5069

手工清除：
这是瑞星反病毒咨询网上的有关信息，你看看
“狐狸王变种AD(Worm.QQ.TopFox.ad)”病毒:警惕程度★★★，蠕虫病毒，通过QQ传播，依赖系统:WIN 9X/NT/2000/XP。
病毒运行后，会向好友自动发送具有诱惑性名字的病毒文件，往往含有“美女”、“免费电影”等词汇，诱骗用户点击运行。用户运行后即会被感染，致使中毒电脑上的一些常用软件无法正常运行。并且，该病毒会盗取用户的个人信息，如QQ账号、密码等。
反病毒专家建议电脑用户采取以下措施预防该病毒:建立良好的安全习惯，不打开可疑邮件和可疑网站;关闭或删除系统中不需要的服务;很多病毒利用漏洞传播，一定要及时给系统打补丁;安装专业的防毒软件进行实时监控，平时上网的时候一定要打开防病毒软件的实时监控功能。

手工删除：
一、清除内存中的病毒
1、由于该病毒禁用了系统任务管理器，我们可以使用第三方的进程管理软件（如：Prcview等）进行操作。在进程列表中找到名为“wmimgr.exe”和“comime.exe”项，结束它们。
2、如果用户使用的是WindowsXP系统，可以运行“ntsd –c q –pn wmimgr.exe”和“ntsd –c q –pn comime.exe”结束病毒的进程。

二、删除病毒文件
1、在“我的电脑”中进行设置，显示所有的隐藏文件和系统文件。
2、删除掉系统目录下的“wmimgr.exe”、“DHelp.dll”、“comime.exe”和“msinthk.dll”几个文件。
3、删除掉Windows目录及下面wbem目录中的“DHelp.dll”文件。
4、删除掉QQ目录及下面QQ游戏目录（QQGame）中的“QQDHelp.dll”文件。
5、删除掉Local Setting\temp下面的“~!KqVo4c.exe”和“~H32Jvk.jpg”文件。

三、恢复被病毒禁用的系统功能
1、由于该病毒禁用了注册表编辑器，因此要先解除限制。运行“gpedit.msc”打开组策略编辑器，找到“用户配置－》管理模板－》系统”，找到“阻止访问注册表编辑器”打开，选择“已禁用”并确定，即可解除注册表编辑器的限制。
2、在“组策略编辑器”中找到“用户配置－》管理模板－》系统－》Ctrl+Alt+Del选项”，找到“删除‘任务管理器’”打开，选择“已禁用”并确定，即可解除任务管理器的限制。

四、修复病毒修改的注册表项目
打开注册表编辑器，删除掉“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下面的“mssysint”和“Windows Management Instrumentation”两项。

五、修复被病毒破坏的文件
1、从操作系统安装盘的I386目录下找到“explorer.ex_”、“notepad.ex_”和“iexplore.ex_”文件，如果操作系统安装过Service Pack，则解压缩相应的SP，从它的I386目录下复制这些文件。
2、使用expand命令提取上述文件。如：“expand explorer.ex_ explorer.exe”。
3、将提取出的这些文件复制到系统目录下的dllcache目录中，默认为“C:\Windows\system32\dllcache”
4、将“explorer.exe”、“notepad.exe”复制到Windows目录下，默认为“C:\Windows”。将“iexplore.exe”复制到IE的目录下，默认为“C:\Program Files\Internet Explorer”。
5、重新安装QQ。

用WinRAR看到那个文件 就把它删掉俄勒勒

隐藏了，把他找到，在安全模式下 kill

http://cchospital.bokee.com/ 电脑医院博客网

卡巴斯基好使~~~

打开windows任务管理器，察看是否有可疑的进程wmimgrnt.exe在运行，如果有把它结束。（Rundll32.exe本身不是病毒，有可能一个dll文件在运行，他可能是病毒或恶意程序之类的东西。）
若提示无法结束，再察看控制面板〉管理工具〉服务，看有没有与之相关的 服务在运行，把它停止。同时设法查找这些恶意程序文件（如system32文件夹中是否有不明dll或exe文件，C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或染毒文件），然后删去，注意别删了系统文件！

最近中了个病毒。是以QQ文件的形式传给我的。说是好友给我的视频照片，可是一接受
打开后才发现是病毒，叫TopFox.现在每次开机都会自动运行。或者一打开QQ的登陆页面也
会运行！我用杀毒软件也没杀掉。哪位高手可以指点一下。给我个又准又狠的杀毒方法？

病毒运行后有以下行为：
一、将自己分别复制到以下目录：
1.%SYSDIR%\WMIMGR.EXE；
2.%SYSDIR%\DHelp.dll；
3.%WINDIR%\DHelp.dll；
4.%SYSDIR%\Wbem\DHelp.dll；
（"DHelp.dll"文件并不是动态库文件，而是一个可执行文件）

二、修改注册表以下键值：
1.HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion
\policies\system 增加数据项："disabletaskmgr"数据值为：0
2.HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion
\policies\system 增加数据项："disableregistrytools"数据值为：0X00000001
3.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\Currentversion\Run 增加数据项："LoadPFW"数据值为："WMIMGR.EXE"

三、修改本机计算机以下文件，使这些文件被运行时会启动"DHelp.dll"文件，以达到病毒自启动的目的：
1.%WINDIR%\EXPLORER.EXE
2.%WINDIR%\NOTEPAD.EXE
3.C:\ProgramFiles\IEXPLORE.EXE
4.%SYSDIR%\DllCACHE\EXPLORER.EXE
5.%SYSDIR%\DllCACHE\NOTEPAD.EXE
6.%SYSDIR%\DllCACHE\IEXPLORE.EXE

处理方法：

一、先运行注册表编辑器：定位到
1.HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion
\policies\system 删除数据项："disabletaskmgr"＝0
2.HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion
\policies\system 删除数据项："disableregistrytools"＝0X00000001
3.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\Currentversion\Run 删除数据项："LoadPFW"＝wmimgr.exe
4.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除
"mssysint" = comime.exe 5.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

删除 "Windows Management Instrumentation" = wmimgr.exe

二、清理完注册表垃圾后定位到下面位置清空里面的所有文件
C:\Documents and Settings\当前用户名\Local Settings\Temp
（2000/Xp/2003系统）
C:\windows\temp（98/ME）

三、重启到安全模式下，手动删除下面的文件
%SystemDir%\wbem\dhelp.dll
%SystemDir%\dhelp.dll
%SystemDir%\wmimgr.exe
%SystemDir%\comime.exe
%SystemDir%\system32\msinthk.dll

四、因为以下文件被修改，所以不得不删除这些文件，然后从安装光盘里提取新的程序文件以补充。
1.%WINDIR%\EXPLORER.EXE
2.%WINDIR%\NOTEPAD.EXE
3.C:\ProgramFiles\IEXPLORE.EXE
4.%SYSDIR%\DllCACHE\EXPLORER.EXE
5.%SYSDIR%\DllCACHE\NOTEPAD.EXE
6.%SYSDIR%\DllCACHE\IEXPLORE.EXE

五，同时请卸载QQ，手动删除剩下的文件夹，重新安装QQ，以免病毒再次发做