一、请先去把系统设置为“显示隐藏文件”,因为病毒以隐藏属性伪装,不做此设置将无法看到它,设置的方法如下(如果系统已经做了此设置可以跳过这一步):
打开“我的电脑”;
依次打开菜单“工具/文件夹选项”;
然后在弹出的“文件夹选项”对话框中切换到“查看”页;
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩,让它变为不选状态;
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项;
去掉“隐藏已知文件类型的扩展名”前面的对钩,也让它变为不选状态;
最后点击“确定”。
二、打开“开始/运行”,输入“regedit”后“确定”以打开注册表编辑器,进入到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun键下,在右边列中,找到一个名为“;Rundll”的值,如果找到请双击打开看,查看并记下“数值数据”中指示的文件及路径名,一般为“C:WINNTSystem32XXXX.exe”的形式(但并不固定,这要根据具体的环境而变化),注意其中的“XXXX.exe”代表的是任意值,并不固定,而不是4个X,所以这时一定要记清这个“XXXX.exe”所代表的文件名,记下后然后从注册表中删除这个“;Rundll”值;
三、按“Ctrl+Alt+Del”键弹出任务管理器,找到在上面第二步中记下的“XXXX.exe”的进程(注意这里的XXXX.exe是具体的名称而不是4个X)。找到有相同的进程后选中它并点击“结束进程”以结束掉木马进程;
四、打开资源管理器进入到 “系统目录WinntSystem32”下(如果您的win2000/nt/xp安装在C盘则就是 C:WinntSystem32)。找到XXXX.exe和XXXX.dll文件然后直接删除它们(当然,这里的XXXX所代表的仍然不是4个X,而是具体的名称);如果在删除过程中发现XXXX.dll删除不掉,而是报告“文件正在使用中无法删除”,则可以注销或重启一下电脑,然后再按此方法找到并删除它就可以了。
至此,如果一切顺利您就应该可以清除掉此木马了。
|