一,用第三方的進程管理器干掉winlogon.exe,注意用戶名,用戶名為System的是正常進程
二,打開注冊表編輯器
1,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
? 將值shell = Explorer.exe 1改為shell = Explorer.exe
2,刪除自啟動項
? 到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
? 將Torjan Program(很明顯吧木馬程序)C:\WINNT\winlogon.exe刪了
3,到HKEY_Classes_root\.exe下默認值 winfiles 改為exefile
4.刪除其他無用數據
刪除以下兩個鍵值:
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles
5,搜索iexplore.com,改為iexplore.exe
? 共有這幾項
? HKEY_CLASSES_ROOT\htmlfile\Shell\open\command
? HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command
? HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command
? HKEY_CLASSES_ROOT\ftp\Shell\open\command
6,搜索iexplore.pif 改為%Program Files%\Internet Explorer\iexplore.exe
? 共有這幾項
? HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command
? HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command
? HKEY_CLASSES_ROOT\http\Shell\open\command
7. 搜索explorer.com 改為iexplore.exe
? 就是這項
? HKEY_CLASSES_ROOT\Drive\shell\find\command
8,將以下鍵值的 No 修改為 Yes
? HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations
?
三,打開我的電腦。要用右鍵打開C盤,不然病毒會在運行。
? 以下基本用是隱藏,系統文件。要在文件夾選項中打開查看所有文件選項。
? 大多數文件日期全為2006/06/17,你也可以用這個來找。
1, 刪除%windir%目錄下的
? ? 1.com
? ? ExERoute.exe
? ? explorer.com
? ? finder.com
? ? WINLOGON.EXE
2, ? 刪除%windir%\system32目錄下的
? ? command.pif
? ? dxdiag.com
? ? finder.com
? ? MSCONFIG.COM
? ? regedit.com
? ? rundll32.com
3, 刪除%Program Files%目錄下的
? Internet Explorer\iexplore.com
? Common Files\iexplore.pif
4, 刪除每個分區下的autorun.inf文件,(這個就是不能直接打開分區的原因)
5, 刪除以下文件夾:%windir%\debug
這樣就基本刪了它了,不足之處請高手指出
順便說一下,我是用Total Commander與Registry workshop來找文件和注冊表的