explorer.exe 木馬解除方法
前段時間可能也是這樣,能上網,就是不能瀏覽網頁,其他的都
這個病毒很狡猾,把l改成了1
病毒或木馬的這種做法已經很久了,貌似系統行程,其實是假的。
「Windows Explorer用於控制Windows圖形Shell,包括開始選單、工作管理欄,桌面和文件管理。這是一個用戶的Shell,在我們看起來就像工作條,桌面等等,或者說它就是檔案總管。它對Windows系統的穩定性是比較重要的。注意它的正常路徑是 C:\Windows 目錄,否則可能是 W32.Codered 或 W32.mydoom.b@mm 病毒。」
explorer.exe 木馬解除方法
發現一個病毒,在同事的電腦上。症狀就是一個叫做exp1orer.exe的行程總是殺不死。明顯這個exp1orer.exe不是系統行程。找到該檔案的啟動目錄和最近才產生的文件,寫了下面的一個批次處理。一邊殺死行程,一邊移除文件。
----------------------------
rem delvi.bat
:loop
attrib -h -r -s exp1orer.exe
del exp1orer.exe
attrib -h -r -s mshosts.exe
del mshosts.exe
attrib -h -r -s c:\winnt\intrenat.exe
del c:\winnt\intrenat.exe
attrib -h -r -s interapi32.dll
del inetapi32.dll
attrib -h -r -s interapi64.dll
del inetapi64.dll
attrib -h -r -s mfcd3o.dll
del mfcd3o.dll
goto loop
----------------------------
結果發現interapi64.dll移除不了。從而造成一開啟一個套用程式就會產生exp1orer.exe。
搜尋註冊表,發現:
[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}]
@=「hookmir「
[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}\InprocServer32]
@=「C:\\WINNT\\system32\\interapi64.dll「
「ThreadingModel「=「Apartment「
[HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}\ProgID]
@=「interapi64.classname「
mir對付傳奇這個遊戲的病毒?緊接著再次搜尋註冊表,關鍵字{081FE200-A103,找到下面的兩個
[HKEY_CLASSES_ROOT\interapi64.classname]
@=「hookmir「
[HKEY_CLASSES_ROOT\interapi64.classname\Clsid]
@=「{081FE200-A103-11D7-A46D-C770E4459F2F}「
------------------------
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
「{081FE200-A103-11D7-A46D-C770E4459F2F}「=「hookmir「
把它們統統移除後,重新啟動電腦。
再去移除interapi64.dll,OK!
總結一下可以啟動就載入的地方:
1、我們熟悉的Run/Winlogon之類的地方
2、IE的插件
3、ShellExecuteHooks
|