开机启动项病毒

一、查杀此毒的关键是禁止c:\WINDOWS\system32\wscript.exe运行。wscript.exe是系统程序，不是病毒。但它是此毒运行的必要条件。
禁止wscript.exe的办法有：
1、在“软件限制策略”中禁掉c:\WINDOWS\system32\wscript.exe（图1）
2、将I386、dllcache、system32三个文件夹中wscript.exe的后缀去掉。这时，“windows文件保护”机制被触发，用户会收到系统报警：windows系统文件被替换为不可识别的版本。不必理会（因为这是用户去除wscript.exe后缀的结果）。在提示对话框中分别点击“取消”、“是”。
只要上述任何一种操作成功，便打断了此毒“连环套”式的感染环节，病毒主体无法运行（图2）。

二、结束c:\WINDOWS\system32\wscript.exe进程。

三、用IceSword找到并删除下列病毒文件：

c:\windows\.vbe

c:\windows\system32\.vbe

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.vbs

四、删除病毒添加的注册表内容：
展开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
删除： <LENOVO-CE316418><.vbe> []
注1：这个服务名是病毒拷贝的本地计算机名。不同的电脑，此名不同。
注2：如果是采用第二种办法禁wscript.exe，杀完毒后，请恢复I386、dllcache、system32三个文件夹中wscript的后缀。

用nod32试试

这是