一,用第三方的進(jìn)程管理器干掉winlogon.exe,注意用戶名,用戶名為System的是正常進(jìn)程
二,打開注冊(cè)表編輯器
1,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
? 將值shell = Explorer.exe 1改為shell = Explorer.exe
2,刪除自啟動(dòng)項(xiàng)
? 到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
? 將Torjan Program(很明顯吧木馬程序)C:\WINNT\winlogon.exe刪了
3,到HKEY_Classes_root\.exe下默認(rèn)值 winfiles 改為exefile
4.刪除其他無用數(shù)據(jù)
刪除以下兩個(gè)鍵值:
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles
5,搜索iexplore.com,改為iexplore.exe
? 共有這幾項(xiàng)
? HKEY_CLASSES_ROOT\htmlfile\Shell\open\command
? HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command
? HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command
? HKEY_CLASSES_ROOT\ftp\Shell\open\command
6,搜索iexplore.pif 改為%Program Files%\Internet Explorer\iexplore.exe
? 共有這幾項(xiàng)
? HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command
? HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command
? HKEY_CLASSES_ROOT\http\Shell\open\command
7. 搜索explorer.com 改為iexplore.exe
? 就是這項(xiàng)
? HKEY_CLASSES_ROOT\Drive\shell\find\command
8,將以下鍵值的 No 修改為 Yes
? HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations
?
三,打開我的電腦。要用右鍵打開C盤,不然病毒會(huì)在運(yùn)行。
? 以下基本用是隱藏,系統(tǒng)文件。要在文件夾選項(xiàng)中打開查看所有文件選項(xiàng)。
? 大多數(shù)文件日期全為2006/06/17,你也可以用這個(gè)來找。
1, 刪除%windir%目錄下的
? ? 1.com
? ? ExERoute.exe
? ? explorer.com
? ? finder.com
? ? WINLOGON.EXE
2, ? 刪除%windir%\system32目錄下的
? ? command.pif
? ? dxdiag.com
? ? finder.com
? ? MSCONFIG.COM
? ? regedit.com
? ? rundll32.com
3, 刪除%Program Files%目錄下的
? Internet Explorer\iexplore.com
? Common Files\iexplore.pif
4, 刪除每個(gè)分區(qū)下的autorun.inf文件,(這個(gè)就是不能直接打開分區(qū)的原因)
5, 刪除以下文件夾:%windir%\debug
這樣就基本刪了它了,不足之處請(qǐng)高手指出
順便說一下,我是用Total Commander與Registry workshop來找文件和注冊(cè)表的