如发现有乱码， 请直接从这里浏览原文
正文摘录:

列表，然后切换到REGsHOT，点击“2sTsHOT”，再点击“cOMPARE”比较病毒发作前后注册表的变化(图4)，输出一个注册表变动的文件(图5)，将文件另存为进行保存(文件类型可以是HTML也可以是TXT，在REGsHOT上方的两个单选框选择，建议保存为TXT文件.因为病毒有时可以感染HTML文件，如熊猫烧香病毒)，导出变化的注册表项。接下来我们就要对这两个导出文件进行研究，将文件拖放到主机系统里，保存下来慢慢研究，先打开REGSHOT生成的比较文件，可以看到它所做的修改。如图5所示删除了一个键，增加了15个键，删除了8个值.增加了30个值.修改了5个值，再打开文件对比，它与注册表对比要长得多，看起来比较繁琐，我们可以通过搜索CREATE，WRITE和DELETE的方法找出创建、修改和删除的文件记录，可以看到病毒生成的文件主要存放在wINDOws＼IME＼和根目录下的Thumbs.dn文件夹下，以及生成了根目录下的Autorun.inf文件(图6)。然后搜索write，搜到的文件也是这些，再搜索DEI.ETE，发现删除的文件是上面的所有病毒生成的TMP文件，如果发现非病毒生成的文件被删除，可到其它计算机中拷贝过来。下面该清除病毒了，先关闭虚拟机，在弹出的提示中选择关闭电源并删除修改，再次重启虚拟机时又会恢复到原样。然后启动中毒的计算机进入安全模式，使用冰刃(IcEswORD)终止IME目录下的svcHOST.exe(图7)，删除上述文件，反修改注册图7表，就可以清除病毒了。本文抛砖引玉，有不当之处还请指正.希望大家在以后的手工杀毒的道路上越走越好。(本文所涉及到的F『LEMON、~EGSHOT和冰刃已收录到光盘中)墨