三 点Icesword左侧的"文件",找到上面记下的路径里的两件文件,删除.然后找到C:D:E:等各个分区根目录下的autorun.inf和*****.exe,*****.exe就是autorun.inf里面写着的程序名,我这里是epijcxh.exe.
图4


现在AV终结者病毒对Autorun.inf文件进行了改进,右键不会出现Auto的字样,双击也可以进入分区,但不管右键点打开进入还是双击进入,都会运行病毒文件,这就是许多人只格C盘重装后马上又中毒的原因.要删除这几个文件必须要用第三方的软件,比如Winrar,Icesword,Totalcmd等资源管理器软件,或者Windows的cmd命令行,否则进入分区后就运行了病毒程序,前面的所做的一切都要重新来一遍.

注意:删除了Autorun.inf和*****.exe之后,不管右键还是双击都进不去这个分区了,如果想找到某个文件或运行某个程序,可以直接在地址栏中输入 c: 或 d: 等等然后回车来进入这个分区

四 现在轮到Autoruns出场了,运行Autoruns,点"用户登录",找到病毒写入注册表的启动命令.点右键删除这两个.后面显示的是"未找到文件",因为我们刚才在Icesword里面已经把这两件文件删除了.
图5
 

然后再点映像劫持,把除了最后的Your Image File Name Here without a path      c:windowssystem32ntsd.exe之外的全都删除,累啊,这么多....删完后应该是这样的,
图6
 

到此,AV终结者病毒基本已经清除了.但是....呵呵,一听到但是,就知道还没完.因为我们仅仅清除了AV终结者,AV终结者所下载下来的木马我们还没有杀.大家都注意到了图3中红色的iexplorer进程了吧,这就是AV终结者下载下来的灰鸽子木马进程.Icesword可以发现隐藏进程并用红色表示,在Windows任务管理器下是看不到这个进程的.一般情况下这种红色进程都不是什么好鸟~

文章开始已经说了AV终结者有很多类型,并不是每一种都像"永久下载者"这样只写入注册表启动项.所以SREng这时候就派上用场了,使用SREng扫描,把注册表启动项,服务,驱动这些都检测一遍,结合Icesword可以一起把木马也清除掉.因为SREng的使用需要对电脑的服务项和驱动项都比较了解,电脑初学者可以使用SREng的智能扫描扫一个报告发到一些大论坛上请高手指导你哪些要删.这里我就不详细演示怎么手动杀掉灰鸽子了,使用SREng和Icesword很容易就可以清除掉.