发布于:2007-06-22 20:18:22
来自:水利工程/水利软件
[复制转发]
口,赶忙关掉IE,但还是听到硬盘一阵咔咔声。笔者心中疑惑,赶忙调出任务管理器看看,果然中招了,多了一个可疑进程:WINLOGON.EXE(注意是大写)。同时它所在位置也不对,在Windows安装目录,而系统的winlogon.exe全部是小写,并且在Windows目录下的System32目录中,看来是中了木马无疑了。www.sq120.com推荐文章
第一步:结束进程
要去除木马,首先要中止这个木马进程,直接用任务管理器中止不了。那就来个更狠的进程管理器——prockiller(下载地址:http://soft.zddd.com/soft/1776.htm)。打开prockiller,选中WINLOGON.EXE,然后选择“删除文件”。此操作会将木马进程直接中止并删除硬盘上的WINLOGON.EXE文件。
第二步:恢复关联
木马往往会修改很多的系统设置,比如EXE文件关联之类,以便在进程被中止后也可以通过其他的Windows操作来恢复木马本身。让我们来看看这个木马有没有动什么设置。使用SRE2.0(System Repair Engineer)(下载地址:http://down1.tech.sina.com.cn/download/download/14207.shtml),果然提示EXE文件找不到,显然EXE文件关联被改了,把主程序后缀名*.exe改成*.com即可运行SRE了。
选择启动项目时程序就警告:注册表值shell被修改了,同时多了两个启动项来启动木马程序。去掉木马启动项,并且去掉shell设置中explorer.exe后面的1。看来这个1是一个1.exe或者1.com(后面的杀毒结果证实了我的猜测)。然后选择自动修复以便修复EXE关联。SRE不仅可以修复启动项,对一些诸如IE主页被锁定等“病症”也可以药到病除。只要选择自动修复即可还你一个“干净”的设置。
第三步:清除木马
最后用杀毒软件进行杀毒,因为已经将所有的关联和启动项已经修复,木马很容易就可以被删除掉,重启后,系统终于干净了。
【返回首页】
全部回复(1 )
只看楼主 我来说两句 抢板凳回复 举报