從四月初開始,大規模地流行起了一種木馬病毒,症狀主要是:開機不顯示桌面和工作列,只顯示桌面背景。最近,我也在身邊的朋友們的電腦上與之狹路相逢,與之較量了一番,大獲全勝。現將解決方案分享給大家。
工具/原料
殺軟
步驟/方法
在查殺病毒前,先將桌面恢復出來,這樣才能夠更加方便地操作。恢復方法: 1.按CTRL+ALT+DEL調出工作管理員,點“程序”,然後結束“explorer.exe”。
2.點工作管理員的“檔案”——“新建任務”,執行explorer.exe,桌面就顯示出來了。 (補充說明,有站友反映自己的explorer.exe已被防毒軟體隔離或刪除。如果有這種情況,可以先下載本貼底端的地址的附件explorer.exe,並將其複製到c:\windows目錄下,再按上述操作)
由於該木馬病毒用卡巴斯基5.0等防毒軟體能夠掃描出來,但無法殺掉,而且它在windows、system32、temp等資料夾下生成了很多病毒檔案並且修改了幾處登錄檔鍵值。所以需要藉助於工具進行手動查殺。 具體操作步驟: 1.關閉卡巴斯基等防毒軟體。(沒錯。因為它無法防毒該病毒,而且還會干擾下一步用其他工具查殺,所以關閉)。 2.在工作管理員裡結束病毒程序(有可能有cmdbcs.exe、winform.exe、mppds.exe、wsttrs.exe、msccrt.exe中的一個或幾個,有幾個就關幾個。注意,此時不要關閉explorer.exe) 3.執行“費爾木馬強力清除助手 2.0.exe”(該軟體見本貼底端的地址的附件)用它殺掉下列位置的病毒檔案,在清除時,選中軟體中的“清除,並抑制檔案再次生成”,然後點“開始即可”,這樣可以保證病毒不再生成,而且會產生一個與病毒同名的空資料夾,這是正常的,是為了免疫病毒再次感染而產生的。c:\windows\cmdbcs.exec:\windows\winform.exec:\windows\mppds.exec:\windows\wsttrs.exec:\windows\msccrt.exec:\windows\system32\winform.dllc:\windows\system32\mppds.dllc:\windows\system32\wsttrs.dllc:\windows\system32\msccrt.dllC:\WINDOWS\system32\cmdbcs.dllC:\WINDOWS\system32\mppdys.dll
除了上述檔案外,由於該病毒在不同的電腦上有不同的變種,所以還需要進一步查殺其他有可能存在的病毒檔案。具體方法:分別開啟c:\windowsc:\windows\system32c:\Documents and Settings\(你電腦的使用者名稱)\Local Settings\Tempc:\Documents and Settings\(你電腦的使用者名稱)\Local Settings\Temporary Internet Files檢查裡面是否有可疑的exe檔案(比如,可以按修改時間排列,看近期的修改時間的exe、dll等檔案)。如果還有病毒檔案,用第3步的方法查殺之。
如果第3、4步中,用“費爾木馬強力清除助手 2.0.exe”有殺不掉的檔案,可以用IceSword殺。(該軟體見本貼底端的地址的附件) 執行“檢視自啟動程式.exe”(該軟體見本貼底端的地址的附件),從裡面找到cmdbcs.exe、winform.exe、mppds.exe、wsttrs.exe、msccrt.exe等很明顯是病毒的啟動項,刪之。(★特別提示:千萬不要刪除正常的userinit.exe和explorer.exe) 最後,如果你確認已經完全按上述步驟成功操作了,重啟電腦,應該就正常了。當然,還可以繼續再用卡巴等殺軟掃描一下系統,如果還有殘留的病毒檔案,或者併發感染了其他病毒,再用類似上述的方法刪之。 [後記]用上述方法,能夠完全防毒該木馬病毒。當然,如果你的計算機同時感染了其他的病毒,或者有其他併發症,並不能保證用該方法解決所有問題。此外,為了照顧大多數不特別懂電腦的同學,我寫的教程通常非常的詳細、簡明,儘量每一步都寫得很清楚,如果你看了該教程,仍然不太會操作,可以請身邊比較熟悉電腦的人協助操作。
注意事項
注意登錄檔資訊首先儲存