随着电脑网络的普及,各式各样的特洛伊木马传播很快。有一朋友的上网后,电脑无故地发送、接收数据,一定是木马在作怪。用几种杀毒软件查没查有问题。用内存工具Prcview查看有msgsvc-C:\windows\system\msgsvc.exe正在运行。检查注册表,注册表中[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]增加了msgsvc,其键值是"C:\windows\system\msgsvc.exe"。
把这个键值删除,再把文件C:\windows\system\msgsvc.exe删去,启动Windows时就不启动木马了,认为清除了木马。
后来这个文件又运行了,经反复检查发现是打开文本文件后就运行msgsvc.exe并修改注册表。
在资源管理器中,点击"查看"、"文件夹选项…"、"文件类型"、选"文本文件"、点"编辑…"出现编辑文件类型窗口,在操作框中选"打开"一项,点"编辑…",在"编辑这类文件的操作"对话框中,用于执行操作的应用程序是"C:\windows\system\notepad.exe 1%",而正常的应该是"C:\windows\notepad.exe 1%",把它修改过来。
原来运行木马WAY服务器端程序后,在C:\windows\system\下生成notepad.exe和msgsvc.exe,这两个文件都有"隐藏"、"系统"属性,其图标和文本文件的相同,把这两个文件删除。
不要忘记检查一遍注册表是否改正过来,这样就彻底清除了木马WAY。
【责任编辑:wuhanman】 |
