yenne lee:在系统进程中的名字为mir0.dat,此进程的文件也删掉了，可是启动exe文件又自动加载

来病毒很容易被激活而且不容易被清除。

病毒修还改了以下两个注册表值数据，使系统不能显示所有文件：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

\NOHIDDEN
"CheckedValue"数据被改为0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

\SHOWALL
"CheckedValue"数据被改为0

清除建议：
恢复注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

\NOHIDDEN
把右边"CheckedValue"值数据改为2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

\SHOWALL
把右边"CheckedValue"值数据改为1

设置显示所有文件，断开网络，关闭所有应用程序，结束mir0.dat的进程后删除病毒相关文件：
%ProgramFiles%\Internet Explorer\wsock32.dll
%ProgramFiles%\Internet Explorer\wsock32.dll.tmp
%Windows%\mir0.dat
%Windows%\Hooks.dll
%System%\wintemp.dll
全盘搜索wsock32.dll，把60-80K左右的wsock32.dll（病毒文件）都删除，系统的wsock32.dll一般是20

-30K左右，还是比较容易区分的。

来在 -------- 月亮上面全是水 地址是：http://ylsmqss.bokee.com/4672748.html

病毒在正常模式下启动了
所以删不掉

先看这个文件在什么文件夹 ，在安全模式下删掉

这说明，你删除的仅仅是其他不相关的东西，木马已经进入了你的系统目录（例如：windows\system32里）

现在的问题是：
1、你得找到病毒的根，它肯定在windows\system32里
2、通过注册表，找到病毒的根，因为病毒开机就运行，在注册表中的RUN里面肯定能找到它！找到后，你先记下来它的路径（用来在硬盘中找到它的具体文件）
3、删除它的注册表键值
4、重新启动计算机，这时候这个病毒不再开机就运行了，所以可以删除它了，按照你记下来的路径及病毒文件名，找到它并删除
----------------------------------------------------------
注册表的开机运行是在：
进入注册表编辑器(点开始—运行—输入regedit—回车)
逐项进入分支：
HKEY_LOCAL_MACHINE
-Software
--Microsoft
---Windows
----CurrentVersion
-----Run
看Run里面(右侧窗口里)有没有它，有就删除

另外在HKEY_CURRENT_USER的相同分支下，也有Run，必须也要看看！

再推荐一款杀木马软件EWIDO3.5，我用些软件杀了200多个木马，最后系统恢复正常。
最新专业杀木马软件ewido3.5正式版下载

ewido已全面升级到3.5正式版
增加查杀间谍软件程序
支持中文界面
可能会有部分误报 查杀时应谨慎
安装时可选择不安装实时监控等 也可在后台禁止ewido的自动运行
下载地址：
http://download.ewido.net/ewido-setup.exe

到安全模式下删，先看这个文件在什么文件夹

在DOS下删