[阅读: 562] 2006-06-25 14:51:33
http://www.sysinternals.com/Utilities/ProcessExplorer.html
用这东西看当前进程有没有可疑的,如果有干掉
explorer也要干掉,因为可能已经挂接.exe 了,如果你通过windows本身的shell启动,木马会跟进的
然后http://www.kztechs.com/
用这个
修复注册表
重启
进入后,马上启动processexplorer,用Ctrl+R ---> [path]\xxxx.exe的方式打开process explorer
然后观察进程窗口,有没有木马先启动自己,然后启动其他程序的情况,不要用双击文件浏览器方式,因为搞不好还有监视的
然后要打开显示隐藏文件,然后到system32/ windows/下面隐藏的东西都瞧一下吧
顺便把他们的文件名记下,然后搜索注册表,看看里面有没有类似的键值
注意,打开regedit32时,建议用那个process explorer指定打开,如果用start->run打开,一定要输入完整的文件名,譬如regedit32.exe
不主动、不拒绝、不负责任!
One Small Step for BSD.
One Giant Step for PCs