執行Regedit,依次展開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,一看,果然多了個新傢伙Advapi32,一看鍵值,竟然載入的是一個Dll檔案,而這個檔案位於C:WINDOWSDownloaded Program Files目錄下的_IS_0518目錄中。找到了根源就好辦了,先刪除了啟動項,再刪除對應的木馬檔案就行了,但到了C:WINDOWSDownloaded Program Files目錄一看,發現這些檔案根本看不到(開啟了顯示隱藏檔案項)。且重啟之後啟動項又出現了,很顯然,這個木馬監視登錄檔,且檔案隱藏。為了剿滅徹底,以下步驟是進入安全模式後進行的(開機時按住F8鍵或Ctrl鍵不放直到啟動選單出現)。 在第三步之前,我曾嘗試直接用第四步的方法刪除木馬檔案,但發現重啟之後木馬並沒有消失,因此初步判斷該木馬存在備份檔案。
執行Regedit,依次展開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,一看,果然多了個新傢伙Advapi32,一看鍵值,竟然載入的是一個Dll檔案,而這個檔案位於C:WINDOWSDownloaded Program Files目錄下的_IS_0518目錄中。找到了根源就好辦了,先刪除了啟動項,再刪除對應的木馬檔案就行了,但到了C:WINDOWSDownloaded Program Files目錄一看,發現這些檔案根本看不到(開啟了顯示隱藏檔案項)。且重啟之後啟動項又出現了,很顯然,這個木馬監視登錄檔,且檔案隱藏。為了剿滅徹底,以下步驟是進入安全模式後進行的(開機時按住F8鍵或Ctrl鍵不放直到啟動選單出現)。 在第三步之前,我曾嘗試直接用第四步的方法刪除木馬檔案,但發現重啟之後木馬並沒有消失,因此初步判斷該木馬存在備份檔案。
執行Regedit,依次展開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,一看,果然多了個新傢伙Advapi32,一看鍵值,竟然載入的是一個Dll檔案,而這個檔案位於C:WINDOWSDownloaded Program Files目錄下的_IS_0518目錄中。找到了根源就好辦了,先刪除了啟動項,再刪除對應的木馬檔案就行了,但到了C:WINDOWSDownloaded Program Files目錄一看,發現這些檔案根本看不到(開啟了顯示隱藏檔案項)。且重啟之後啟動項又出現了,很顯然,這個木馬監視登錄檔,且檔案隱藏。為了剿滅徹底,以下步驟是進入安全模式後進行的(開機時按住F8鍵或Ctrl鍵不放直到啟動選單出現)。 在第三步之前,我曾嘗試直接用第四步的方法刪除木馬檔案,但發現重啟之後木馬並沒有消失,因此初步判斷該木馬存在備份檔案。
重新建立一個批處理檔案,命名為,內容如下。 cd c: //將當前路徑改為C:盤的根目錄 cd C:WINDOWSDownloaded Program Files //將當前路徑改為C:WINDOWSDownloaded Program Files move _IS_0518 c:bak//將當前目錄下的_IS_0518目錄移動到C:根目錄下並重命名為bak 開啟“我的電腦”,進入C:,刪除Bak目錄,再進入C:windows目錄,刪除Backup目錄,即完成了木馬檔案的清除。