| 引用: |
【果冻·布丁的贴子】才刚5:00就下班?
........................... |
这个传奇龙木马与原先那个变化不大。生成的木马文件基本同前。只是手工查杀手续略有变化。
结束WINLOGON.EXE进程,删除所有木马文件.....,之后,你就傻了——任何可执行文件都打不开了!
通过观察,发现一个特点:保留C:\windows\下那个1.com。当然,这样做的后果是——一旦点击桌面上的任何项目,你以前删除的那些文件又统统“复活”了。
没关系!
先用SSM禁止WINLOGON.EXE加载运行,将回收站里的1.com恢复原位。然后重启系统到安全模式。
先运行SREng.EXE,然后将SREng.EXE窗口最小化。接着,删除那些“死灰复燃”的文件(这是为了运行SREng.EXE而保留1.com要付出的代价,共16个。我的硬盘只有C、D两个分区,分区多的硬盘,这个数目还要一些。增加的应该是多出来的那些分区根目录下的autotun.ini和pagefile.pif)。要删除的文件见:http://forum.ikaka.com/topic.asp?board=28&artid=7050264。
最后删除C:\windows\下那个1.com。接下来,使SREng.EXE窗口最大化,选择其面板上的“自动修复”——修复主要文件关联。
好了。重启到普通WINDOWS模式下。.exe文件都可以运行了。接着要做的工作是:把木马篡改的、SREng不能修复的那些注册表项改回来(比较繁琐参见下面的帖子):
http://forum.ikaka.com/topic.asp?board=28&artid=7050264
