手工查杀myplayer病毒

开机在D盘能发现myplayer.exe这个文件，首先我们会想到删除，可是如果不把这个文件的批处理文件找到并删除，重启之前依旧会自动生成这个文件。
我们从C盘开始找，用CTRL+F搜索*.ini文件，不要相信网上一些资料所说的某个固定文件，文件是死的，写病毒代码的人是活的，所以要自己认真去找，一个个找开，如果文件里有fn_pif=d:\myplayer.com这一行，那么祝贺你，找的就是它了，我这里的对应文件是nwinsys.ini。内容如下:
[hitpop]
first=1
ver=070922
kv=0
[exe]
fn_pif=d:\myplayer.com
fn=C:\WINDOWS\system\AlxRes070922.exe
[exe_bak]
fn=C:\WINDOWS\system32\inf\scrsys070922.scr
[dll_hitpop]
fn=C:\WINDOWS\system32\winsys32_070922.dll
[dll_start_bak]
fn=C:\WINDOWS\system32\inf\scrsys16_070922.dll
[sys]
bat=c:\myDelm.bat
[dll_start]
fn=C:\WINDOWS\system32\winsys16_070922.dll
[ie]
run=ok
mgck=1
[listion]
run=no
[alexa]
right_tan88=ok
[ver]
type=2
[downfile]
ok=1
alexa=1

接下来就好办了，先删掉这个文件里提到的几个库文件。这时候你别想删掉它的注册项，因为中了myplayer.exe后，任务管理器，注册表,msconfig都是不能找开的，需要到安全模式下做接下来的事情。

进入安全模式以后，先打开注册表编辑器，因为如果你操作慢了，等下就打不开regedit了，查找自启加载项RUN或者AutoRun,如果有类似上面文件名的一定是病毒文件的启动项。删之而后快~~具体键值是 [[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run]

有的文件名不一定是配置文件里的文件名，这个就要自己慢慢找了，利用windows系统的搜索功能，注意用时间排列文件，myplayer不会改变文件修改和创建时间，这点是我们查找病毒文件的好的出发点，我花了四个小时搞定它，目标只有一个，就是解决病毒，方法自己摸索，我这里只是总结一下我的思路。
我们可以利用Autoruns 8.73   IceSword这两个工具分析和查找，大家自己体会，功能很强大。
合理利用组策略，禁止某些固定的病毒执行程序运行。