一个是CDOWNEXE，一个是qqjdd 两个东西的表现都差不多:关机要弹出一个对话框,而且QQ最新版会提示机器中了木马病毒

卡巴5最新的升级包可以查到Cdown病毒的一个文件，我已经得到这两个病毒的样本 准备马上给卡巴，希望日后的升级包中可以清除这两个病毒

好了，在卡巴升级包没出来之前，先说下怎么手动清除这两个病毒

1.先把注册表中两个病毒的项删除
Cdownexe的在注册表中找:{AEB6717E-7E19-11d0-97EE-00C04FD91972},有两个位置，把他们删了
qqjdd的在注册表表中找{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}有两个位置，把他们删了
删除Document and setting\LocalSeting\Temp\中的_xiaran.bat
删除Document and setting\LocalSeting\Temp\中的Microsoft.bat 

2.重启电脑

3.删除以下文件:
CDOWNEXE由两个文件组成：cdown.sys和cdown.dll 位置在 \program files\Internet Explorer\PLUGINS中，隐藏文件哈，删除完后,需要为系统免疫，方法是使用在这两个文件所在的位置建立与文件相同名字的文件夹，并把文件夹的属性设定为只读和隐藏。（注意免疫是不可省略的步骤，否则不能达到清除病毒的目的)
qqjdd.exe也是两个文件，isignup.sys 和isignup.dll 位置在\program files\Internet Explorer\Connection Wizard中，也是隐藏文件,删除完后,需要为系统免疫，方法是使用在这两个文件所在的位置建立与文件相同名字的文件夹，并把文件夹的属性设定为只读和隐藏。（注意免疫是不可省略的步骤，否则不能达到清除病毒的目的)

4.删除病毒下载到机器上的后门，就是Document and setting\Administrator\LocalSetting\temp 中的exe 全部删除 建议对这些文件也进行免疫，(病毒在不能下载后门到该文件夹时，会在后门的文件名前自动添加三位数字，比如527xxx.exe,所以这里免疫用处不大，但有一个需要注意的问题，病毒会在该文件下建立以用于QQ号命名的文件夹 并在后台记录用户QQ的使用情况，所以最好在这个目录中添加一个你QQ好为名字的文件 并设置为只读）
[modified on 2007-2-15]电脑上还可能有以下文件,全部删除:
(1)RUNDLLFROMWIN2000.EXE   在\WINDOWS\system32下面找找看。找到先把进程结束掉，在把文件删掉！！要是进程结束不掉就用taskkill /f /im 进程名，强行结束他！！注意：各个参数间要空格 
(2)Updaterun.exe  MS312D93.dll 位置在programe files\common files\system\ 如果删不掉,请结束进程再删，结束updaterun.exe进程，和iexplorer.exe进程 或者到安全模式下删除

5.删除被病毒感染的QQ安装，重新在一个新的位置上安装最新版的QQ

6.基本告一段落，另外需要检测系统盘上的cmd.exe，用搜索的办法检查系统盘上有几个cmd.exe 正确的cmd位置是winnt\system32\中，其他位置的cmd.exe是病毒 删除，并且winnt\system32\中的cmd.exe也被病毒感染 需要删除，删除后，可以到其他相同的系统上拷贝一个cmd.exe放到winnt\system32\中 (请确保拷来的cmd.exe是干净的）

7.删除program files\中 自动安装的软件什么 superutibar啊 乱七八遭的

8.该病毒还可以结束防火墙的进程，使防火墙无法正常开启，这和系统盘上一个名为312D937C的文件夹中的dll有关（AC087512.DLL），把他们全部删除删除（这个文件夹的位置我忘了，请用搜索查找，如果有,很快就可以找得) [modified on 2007-2-15] 

9 木马病毒会修改IE的设置，使用户不能查看电脑中的隐藏文件，为了解决这个问题，需要修改注册表中相关键值，位置在HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\FOLDER\HIDDEN中的NOTHIDDEN的checkvalue改成2 把SHOWALL 中的ckeckvalue改成1