1、检查注册表中RUN、RUNSERVEICE等几项,先备份,记下可以启动项的地址,再将可疑的删除。
2、删除上述可疑键在硬盘中的执行文件。
3、一般这种文件都在WINNT,SYSTEM,SYSTEM32这样的文件夹下,他们一般不会单独存在,很可能是有某个母文件复制过来的,检查C、D、E等盘下有没有可疑的.exe,.com或.bat文件,有则删除之。
4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USERSOFTWAREMicrosoft Internet ExplorerMain中的几项(如Local Page),如果被修改了,改回来就可以。
5、检查HKEY_CLASSES_ROOTinifileshellopencommand和 HKEY_CLASSES_ROOTtxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt,.ini等的默认打开程序让病毒“长生不老,永杀不尽”的。
6、如果有可能,对病毒的母文件进行反汇编,比如我上次中的那个病毒,通过用IDA反汇编,发现它还偷窃系统密码并建立 %systemroot%systemmapis32a.dll 文件把密码送到一个邮箱中,由于我用的是W2K,所以它当然没有得手。
至此,病毒完全删除!笔者建议有能力的话,时刻注意系统的变化,奇怪端口、可疑进程等等。现在的病毒都不象以前那样对系统数据破坏很严重,也好发现的多,所以尽量自己杀毒(较简单的病毒、木马)。
标签: 木马
