扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:论坛整理 2009年2月18日
看名字就可以知道这是一个伪装病毒,具体名称trojan/vbs.zapchast.b,不是最新病毒。 该病毒会在电脑上生成一个folder.htt文件,不一定是在系统盘里,也就是说重装系统也不一定能管用。
感染explorer.exe病毒的症状是,任务管理器中出现两个EXPLORER.EXE/explorer.exe这样的进程,还有一个很明显的表现,就是有有病毒的文件夹里的程序双击后一闪就消失了,有这两种情况说明你铁定中招了,如何判断哪个是病毒,我是把两个进程都关了一次,就知道了,简单有效。也可以看它的内存使用分析下,我的EXPLORER.EXE内存使用是1,8684K,exeplorer.exe内存使用是2982k,所以可以判断小写的exeplorer.exe确定是病毒。(你可以在新装系统后留意下EXPLORER.EXE的内存使用)
病毒已经确定,首先结束掉这个进程,再在开始菜单-运行-键入msconfig-回车,查看一下你的启动项,禁止exeplorer.exe随系统启动。然后找到C:\Program Files\Internet Explorer目录:
红色圈圈的就是病毒文件了,shift+delete杀掉它,最后我们打开注册表,你可以手动查找位置在:
这个木马杀除比较棘手,。
这个木马进入计算机后,产生主要的三个文件是:interapi32.dll,interapi64.dll,exp1orer.exe特别狡猾的是容易和Explorer.exe混淆。它是数字1不是字母l。这个病毒入驻进程以后,会大量的消耗系统资源,并会跟着资源管理器一同启动。杀除方法如下:
1、关闭Xp系统的还原功能。具体的可以进入组策略查找或是右击我的电脑属性,关闭系统还原功能。
2、然后在运行键入regedit,打开注册表编辑器。删除以下键值
[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}]
@="hookmir"
[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}\\InprocServer32]
@="C:\\\\WINNT\\\\system32\\\\interapi64.dll"
"ThreadingModel"="Apartment"
[HKEY_CLASSES_ROOT\\CLSID\\{081FE200-A103-11D7-A46D-C770E4459F2F}\\ProgID]
@="interapi64.classname"
[HKEY_CLASSES_ROOT\\interapi64.classname]
@="hookmir"
[HKEY_CLASSES_ROOT\\interapi64.classname\\Clsid]
@="{081FE200-A103-11D7-A46D-C770E4459F2F}"
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ShellExecuteHooks]
"{081FE200-A103-11D7-A46D-C770E4459F2F}"="hookmir"
3、重新启动系统,进入文件夹选项菜单,单击查看选项卡,显示隐藏的文件和文件夹,显示系统文件,扩展名。然后在Windows/WINNT(2000/NT)/system32下找到interapi32.dll,interapi64.dll,exp1orer.exe三个文件,将其删除就可以了。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。