一天筆者在網上下載了一部RM電影,電影放到三分之一時,忽然彈出一個IE窗口,趕忙關掉IE,但還是聽到硬碟一陣哢哢聲。筆者心中疑惑,趕忙調出任務管理器看看,果然中招了,多了一個可疑進程:WINLOGON.EXE(注意是大寫)。同時它所在位置也不對,在Windows安裝目錄,而系統的winlogon.exe全部是小寫,並且在Windows目錄下的System32目錄中,看來是中了木馬無疑了。www.sq120.com推薦文章
第一步:結束進程
要去除木馬,首先要中止這個木馬進程,直接用任務管理器中止不了。那就來個更狠的進程管理器——prockiller(下載地址:http://soft.zddd.com/soft/1776.htm)。打開prockiller,選中WINLOGON.EXE,然後選擇“刪除檔”。此操作會將木馬進程直接中止並刪除硬碟上的WINLOGON.EXE檔。
第二步:恢復關聯
木馬往往會修改很多的系統設置,比如EXE檔關聯之類,以便在進程被中止後也可以通過其他的Windows操作來恢復木馬本身。讓我們來看看這個木馬有沒有動什麼設置。使用SRE2.0(System Repair Engineer)(下載地址:http://down1.tech.sina.com.cn/download/download/14207.shtml),果然提示EXE檔找不到,顯然EXE檔關聯被改了,把主程序尾碼名*.exe改成*.com即可運行SRE了。
選擇啟動專案時程式就警告:註冊表值shell被修改了,同時多了兩個啟動項來啟動木馬程式。去掉木馬啟動項,並且去掉shell設置中explorer.exe後面的1。看來這個1是一個1.exe或者1.com(後面的殺毒結果證實了我的猜測)。然後選擇自動修復以便修復EXE關聯。SRE不僅可以修復啟動項,對一些諸如IE主頁被鎖定等“病症”也可以藥到病除。只要選擇自動修復即可還你一個“乾淨”的設置。
第三步:清除木馬
最後用殺毒軟體進行殺毒,因為已經將所有的關聯和啟動項已經修復,木馬很容易就可以被刪除掉,重啟後,系統終於乾淨了。 |
