用了2天的时间,终于把这一系列病毒杀光光,方法总结如下,以飨后中招者。

1 采用ProcessExplorer杀掉如下进程这个是最有效的方式
   要采用"kill process tree"项
severe
kabuwj
conime

注解:
ProcessExplorer是由Sysinternals 公司出品的优秀的进程查看工具,虽然它不能显示隐藏进程,但是由于它直观、清晰的进程查看方式,成为了在分析问题的时候使用率颇高的软件. 
 
2 采用autoruns删掉被病毒屏蔽的软件
severe
kabuwj

同时,把autoruns的HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下的所有进程全部删掉

注解:
Sysinternals公司出品,可查看、删除注册表及Win.ini文件等处的自启动项目。如果怀疑有木马或病毒或者系统启动太慢,用本工具看看自启动项吧。 此新版中,可查看各个用户的启动项,而且删除 Userinit 项目时会发出安全警告,以及其它一些改进,推荐更新!

3 采用killbox删掉进程对应的文件
c: > windows\system32\severe.exe
c: > windows\system32\kabuwj.exe
c: > windows\system32\kabuwj.dll 
c: > windows\system32\conime.exe
如果删除不掉的如dll,请选择重起时删除的选项

4在开始菜单的运行中输入regedit启动注册表

利用查找功能删除severe.exe、oso.exe、kabuwj.exe、conime.exe
注意:如果出现诸如C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL OSO.exe 之类的,请删除OSO.exe

5运行usbcleaner再次杀毒

6系统修复与清理

在注册表[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
建议将原CheckedValue键删除,再新建正常的键值:"CheckedValue"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] 
NoDriveTypeAutoRun键的值,是否要改,要改为什么,视乎各人所需,一般默认为91(十六进制的)此键的含义,请搜索网上资料,在此不再赘述

HOSTS文件的清理可以用记事本打开%systemroot%\system32\drivers\etc\hosts,清除被病毒加入的内容,正确的文件如下:
127.0.0.1       localhost