【回复“哀怜里”的帖子】
依次点击“开始”>>“运行”,输入“REGEDIT”,点击“确定”(或回车),打开“注册表编辑器”,分别定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders,将它们下边的"Startup"值修改恢复为原来指向的目录,如“C:\WINDOWS\Start Menu\Programs\启动”(Windows 9X),又如“C:\Documents and Settings\Administrator\「开始」菜单\程序\启动”和“%USERPROFILE%\「开始」菜单\程序\启动”(Windows 2000/XP),修改完成后关闭注册表编辑器,接下来重新启动计算机。重新启动后,因为病毒没有能再自动运行起来,所以我们就可以直接删除掉病毒文件,直接删除%Windows%\Html\目录和%System%\wininet32.dll。
这个木马的样本我还没有,所以也不能确定%Windows%\Html\scanregw.exe的图标是不是像以前那个一样是文本文件的图标,另外%Windows%\Html\目录也可能是隐藏的。
