一,用第三方的进程管理器干掉winlogon.exe,注意用户名,用户名为System的是正常进程
二,打开注册表编辑器
1,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将值shell = Explorer.exe 1改为shell = Explorer.exe
2,删除自启动项
到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
将Torjan Program(很明显吧木马程序)C:\WINNT\winlogon.exe删了
3,到HKEY_Classes_root\.exe下默认值 winfiles 改为exefile
4.删除其他无用数据
删除以下两个键值:
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles
5,搜索iexplore.com,改为iexplore.exe
共有这几项
HKEY_CLASSES_ROOT\htmlfile\Shell\open\command
HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command
HKEY_CLASSES_ROOT\ftp\Shell\open\command
6,搜索iexplore.pif 改为%Program Files%\Internet Explorer\iexplore.exe
共有这几项
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command
HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command
HKEY_CLASSES_ROOT\http\Shell\open\command
7. 搜索explorer.com 改为iexplore.exe
就是这项
HKEY_CLASSES_ROOT\Drive\shell\find\command
8,将以下键值的 No 修改为 Yes
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations
三,打开我的电脑。要用右键打开C盘,不然病毒会在运行。
以下基本用是隐藏,系统文件。要在文件夹选项中打开查看所有文件选项。
大多数文件日期全为2006/06/17,你也可以用这个来找。
1, 删除%windir%目录下的
1.com
ExERoute.exe
explorer.com
finder.com
WINLOGON.EXE
2, 删除%windir%\system32目录下的
command.pif
dxdiag.com
finder.com
MSCONFIG.COM
regedit.com
rundll32.com
3, 删除%Program Files%目录下的
Internet Explorer\iexplore.com
Common Files\iexplore.pif
4, 删除每个分区下的autorun.inf文件,(这个就是不能直接打开分区的原因)
5, 删除以下文件夹:%windir%\debug
这样就基本删了它了,不足之处请高手指出
顺便说一下,我是用Total Commander与Registry workshop来找文件和注册表的