運行Regedit,依次展開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,一看,果然多了個新傢伙Advapi32,一看鍵值,竟然加載的是一個Dll文件,而這個文件位於C:WINDOWSDownloaded Program Files目錄下的_IS_0518目錄中。找到了根源就好辦了,先刪除了啟動項,再刪除對應的木馬文件就行了,但到了C:WINDOWSDownloaded Program Files目錄一看,發現這些文件根本看不到(開啟了顯示隱藏文件項)。且重啟之後啟動項又出現了,很顯然,這個木馬監視註冊表,且文件隱藏。為了剿滅徹底,以下步驟是進入安全模式後進行的(開機時按住F8鍵或Ctrl鍵不放直到啟動菜單出現)。 在第三步之前,我曾嘗試直接用第四步的方法刪除木馬文件,但發現重啟之後木馬並沒有消失,因此初步判斷該木馬存在備份文件。
運行Regedit,依次展開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,一看,果然多了個新傢伙Advapi32,一看鍵值,竟然加載的是一個Dll文件,而這個文件位於C:WINDOWSDownloaded Program Files目錄下的_IS_0518目錄中。找到了根源就好辦了,先刪除了啟動項,再刪除對應的木馬文件就行了,但到了C:WINDOWSDownloaded Program Files目錄一看,發現這些文件根本看不到(開啟了顯示隱藏文件項)。且重啟之後啟動項又出現了,很顯然,這個木馬監視註冊表,且文件隱藏。為了剿滅徹底,以下步驟是進入安全模式後進行的(開機時按住F8鍵或Ctrl鍵不放直到啟動菜單出現)。 在第三步之前,我曾嘗試直接用第四步的方法刪除木馬文件,但發現重啟之後木馬並沒有消失,因此初步判斷該木馬存在備份文件。
運行Regedit,依次展開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,一看,果然多了個新傢伙Advapi32,一看鍵值,竟然加載的是一個Dll文件,而這個文件位於C:WINDOWSDownloaded Program Files目錄下的_IS_0518目錄中。找到了根源就好辦了,先刪除了啟動項,再刪除對應的木馬文件就行了,但到了C:WINDOWSDownloaded Program Files目錄一看,發現這些文件根本看不到(開啟了顯示隱藏文件項)。且重啟之後啟動項又出現了,很顯然,這個木馬監視註冊表,且文件隱藏。為了剿滅徹底,以下步驟是進入安全模式後進行的(開機時按住F8鍵或Ctrl鍵不放直到啟動菜單出現)。 在第三步之前,我曾嘗試直接用第四步的方法刪除木馬文件,但發現重啟之後木馬並沒有消失,因此初步判斷該木馬存在備份文件。
重新建立一個批處理文件,命名為,內容如下。 cd c: //將當前路徑改為C:盤的根目錄 cd C:WINDOWSDownloaded Program Files //將當前路徑改為C:WINDOWSDownloaded Program Files move _IS_0518 c:bak//將當前目錄下的_IS_0518目錄移動到C:根目錄下並重命名為bak 打開“我的電腦”,進入C:,刪除Bak目錄,再進入C:windows目錄,刪除Backup目錄,即完成了木馬文件的清除。