查杀木马病毒的过程 Noteped.exe
电脑之家 导读:为大家通过一些电脑高手查杀病毒的过程的实例教程来教给您如何查杀电脑的病毒!
一、发现木马
那天打开一个纯文本文件的时候,Norton突然报告发现病毒,拒绝访问该文件。纯文本文件里怎么会有病毒?带毒的程序竟是E:WinNTSystem32 oteped.exe。
二、分析
“PWSteal.Trojan”看名字应该是一个木马,它居然能强行将TXT文件的打开方式与noteped.exe关联。右键单击任一文本文件打开属性窗口,从这里我们就可以清晰看到文件的打开方式已经变成了“noteped”,但只要Norton没有关闭,这类文件就无法打开。noteped.exe不就是记事本吗?
打开E:WinNTSystem32目录,赫然发现notepad.exe、noteped.exe两个程序并列在一起,细看后才发觉它们有一字之差。于是笔者立刻将病毒库升级到最新,并对电脑进行一次全面的查毒,结果在E:WinNTSystem32目录下还发现了三个病毒文件(Outlook.exe、Winet.exe、Explorer.exe)。
三、解决办法
用Norton查杀该木马时,提示无法删除或隔离它们,看来只有靠自己了。为了看看木马还有没有漏网的同伙,笔者以木马创建日期(2000.01.01)、文件大小(147KB)为条件在电脑中又“搜索”了一遍,结果还是只有四个染毒文件。
进入E:WinNTSystem32找到这四个文件,立刻对它们实施“极刑”,不过系统提示“explorer.exe文件正在使用无法删除”,于是笔者按下“Ctrl+Alt+Del“打开任务管理器,查看进程竟然看到了两个explorer的进程,其中肯定有一个是木马进程。它的进程路径应该为E:WinNTSystem32explorer.exe,而真正的桌面的进程路径为E:WinNTexplorer.exe。结束木马进程,顺利删除explorer.exe.。
重启机器后,木马的四个“同伙”居然又回来了。另外还有一个奇怪的现象就是,如果将木马的“同伙”放入回收站,这时只要选中被删除的noteped.exe,就会发现硬盘灯在狂闪而且还原功能项会在“还原此项目”和“还原所有项目”之间切换(图4)。哎!这可把笔者这菜鸟难住了﹖经过一番试验才终于找到一个好方法,既然noteped.exe一定要关联TXT文件,干脆把记事本程序和noteped.exe互换,并把notepad.exe(其实已是木马程序)删除,这样就应该可以顺利打开文件了。于是本菜鸟立刻把记事本程序复制后依次改名为Outlook.exe、Winetexe、Explorer.exe并替换四个染毒文件。
机器是修好了,但每次开机会运行4个记事本程序(E:WinNTSystem32explorer.exe,实为notepad.exe)。
注意:用作替换的源程序最好是诸如记事本、画图等复制到任一文件夹都可以运行的小程序。
因为木马并没有被彻底查杀,经过“大虾”的分析:木马进程在开机时就被自动加载,所以无法直接删除它们。只有切断木马的自启动功能才能彻底查杀,很显然EWinNTSystem32explorer.exe这个就是木马的自启动进程,运行注册表编辑器依次展开[HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload],大家可以看到如图5信息,把它删除,重启电脑后木马即被彻底杀除。
四、恢复文件关联
由于noteped.exe被删除,TXT文件没有了应用程序关联,下面笔者就来进行恢复操作。打开“我的电脑→工具→文件夹选项→文件类型如果没有TXT文件→新建→新建扩展名→输入‘txt’→确定→选中txt扩展名→更改→从列表中选择程序→记事本→确定”即可(如果列表中没有显示记事本,可浏览选中EWinNT otepad.exe)。
相关 过程 病毒 木马 文件 打开 电脑 进程 程序 删除 记事本 的文章
- 02-22·查出个病毒,状态却是‘请解压后...’
- 02-22·如何清理Trojan.DL.Agent.zkc和RootKit.Hider.g病毒
- 02-22·“熊猫烧香”病毒的终极解决方案
- 02-22·完整解决“灯泡男”病毒
- 02-22·中了熊猫烧香,谨慎重安系统
- 推荐内容
- ·免费在线收看一千多路电视节目
- ·免费网络电话SkyPe 全球知名
