扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:lijunwei1984 来源:软件论坛 2008年4月25日
关键字: msccrt.exe msccrt
从四月初开始,大规模地流行起了一种木马病毒,症状主要是:开机不显示桌面和任务栏,只显示桌面背景。最近,我也在身边的朋友们的电脑上与之狭路相逢,与之较量了一番,大获全胜。现将解决方案分享给大家。
用到的软件:费尔木马强力清除助手 2.0 IceSword 查看自启动程序
一、如何恢复桌面?
在查杀病毒前,先将桌面恢复出来,这样才能够更加方便地操作。恢复方法:
1、按CTRL+ALT+DEL调出任务管理器,点“进程”,然后结束“explorer.exe”。
2、点任务管理器的“文件”——“新建任务”,运行explorer.exe,桌面就显示出来了。
(补充说明,有站友反映自己的explorer.exe已被杀毒软件隔离或删除。如果有这种情况,可以先下载本贴底端的地址的附件explorer.exe,并将其复制到c:\windows目录下,再按上述操作)
二、如何彻底查杀病毒?
由于该木马病毒用卡巴斯基5.0等杀毒软件能够扫描出来,但无法杀掉,而且它在windows、system32、temp等文件夹下生成了很多病毒文件并且修改了几处注册表键值。所以需要借助于工具进行手动查杀。
具体操作步骤:
1、关闭卡巴斯基等杀毒软件。(没错。因为它无法杀毒该病毒,而且还会干扰下一步用其他工具查杀,所以关闭)。
2、在任务管理器里结束病毒进程(有可能有cmdbcs.exe、winform.exe、mppds.exe、wsttrs.exe、msccrt.exe中的一个或几个,有几个就关几个。注意,此时不要关闭explorer.exe)
3、运行“费尔木马强力清除助手 2.0.exe”
用它杀掉下列位置的病毒文件,在清除时,选中软件中的“清除,并抑制文件再次生成”,然后点“开始即可”,这样可以保证病毒不再生成,而且会产生一个与病毒同名的空文件夹,这是正常的,是为了免疫病毒再次感染而产生的。
c:\windows\cmdbcs.exe
c:\windows\winform.exe
c:\windows\mppds.exe
c:\windows\wsttrs.exe
c:\windows\msccrt.exe
c:\windows\system32\winform.dll
c:\windows\system32\mppds.dll
c:\windows\system32\wsttrs.dll
c:\windows\system32\msccrt.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mppdys.dll
4、除了上述文件外,由于该病毒在不同的电脑上有不同的变种,所以还需要进一步查杀其他有可能存在的病毒文件。具体方法:
分别打开
c:\windows
c:\windows\system32
c:\Documents and Settings\(你电脑的用户名)\Local Settings\Temp
c:\Documents and Settings\(你电脑的用户名)\Local Settings\Temporary Internet Files
检查里面是否有可疑的exe文件(比如,可以按修改时间排列,看近期的修改时间的exe、dll等文件)。如果还有病毒文件,用第3步的方法查杀之。
5、如果第3、4步中,用“费尔木马强力清除助手 2.0.exe”有杀不掉的文件,可以用IceSword杀。
6、运行“查看自启动程序.exe”,从里面找到cmdbcs.exe、winform.exe、mppds.exe、wsttrs.exe、msccrt.exe等很明显是病毒的启动项,删之。(★特别提示:千万不要删除正常的userinit.exe和explorer.exe)
最后,如果你确认已经完全按上述步骤成功操作了,重启电脑,应该就正常了。当然,还可以继续再用卡巴等杀软扫描一下系统,如果还有残留的病毒文件,或者并发感染了其他病毒,再用类似上述的方法删之。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。