手工清除恶邮差（Supnot）蠕虫病毒

        1．使用资源管理器查看进程，注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒（或由病毒生成的后门软件），甚至其它的一切不常见的进程都有可能是，如果不能确定，找一台服务器上的进程来观察（服务器应该不会被感染）。
2．将病毒程序（后门）的进程结束掉，对于不能结束的，可以使用附件中的pskill.exe结束掉（命令格式pskill 进程名）。
3． 打开服务，在服务列表中将没有描述服务进行筛选，查找是否有Browser Telnet Event Thread Windows Management Extension……的服务，依次删掉注册表中的
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBRWWTELK]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesprom0n.exe]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows Management Extension]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindow Remote Service]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun(RunServices]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun(RunServices]
的相关的健值(还有WinVNC的进程，没有记住是什么健值)
4．删掉
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdll_reg]
[HKEY_CLASSES_ROOTApplicationswinrpc.exe]的健值，
5. 并修改[HKEY_CLASSES_ROOTtxtfileshellopencommand]的右侧的默认健值为 %SystemRoot%system32NOTEPAD.EXE %1,此时，.txt的文件无法正常打开，可以点击文本文件的右键选择其它方式，选择使用Notepad即可。
6．删掉系统system32目录下的以下程序（大部分可执行程序的大小都为78,848字节）： winrpcsrv.exe 、 winrpc.exe 、 wingate.exe 、 syshelp.exe 、rpcsrv.exe 、 iexplore.exe 、 prom0n.exe（注意中间的是数字0） 、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、 winvnc.exe
7. 清空C:Documents and SettingsDefault User（或Default Uesr..WINNT）Local SettingsTemporary Internet FilesContent.IE5目录下除了desktop.ini的所有文件，该路径下，发现有一些后门软件。
8．关闭所有目录的完全共享！――这是关闭了该程序还可以通过网络感染的途径。
9. 重新启动计算机，观察是否还有类似进程出现，尤其是irftpd.exe，这个程序是由上述第3步的服务程序自动生成的。由于该蠕虫先后出现多个变种，建议使用专杀工具来查杀。

        新欢乐时光VBS/Redolf的清除办法

        1、删除
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunKernel3
2 键值；
参照其他系统，恢复 HKEY_CLASSES_ROOTdllFile 下键值；
参照其他系统，恢复 HKEY_CURRENT_USERIdentities  UserID  SoftwareMicrosoftOutlook Express  OEVersion　 Mail 下相关键值；
参照其他系统，恢复 HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsMail 下相关键值；
参照其他系统，恢复 HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0OutlookOptionsMail 下相关键值；
3、删除文件
参照其他系统，恢复 %Windows%web 目录下 folder.htt 文件；
删除 Kernel32.dll 或者 Kernel.dll 文件；删除 kjwall.gif；
查找所有存在 KJ_start 字符串的文件，删除文件尾部的病毒代码。
由于该病毒利用 Windows 资源管理器的视图模板进行感染，所以必须对计算机所有磁盘进行检查，不能遗漏，否则很快又会再次感染。在查杀过程中一定不能打开资源管理器，否则也不能查杀干净。