早两天给朋友处理了一台中毒的机子,(操作系统是 WINXP SP2)证状是开机自动运行一个进程以前端窗口在桌面显示一个裸体的MM, 用升级过的瑞星2005 及 诺顿企业版均杀不了。因当时手头上没有带任何工具软件,而且当时也上不了网,只有手工清除了,用任务管理器除发现有 7个 Services.exe 进程外未发现其余可疑进程,由于不能显示路径名,不知道这些进程的位置。进入注册表编辑器,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
发现自启动程序名 c:\Services.exe , 文件设置为系统、隐藏属性,而且该进程在运行时不停检测注册表启动项,如果启动项被删除它会自行增加。这时只要在注册表启动项目上右键----权限,将 administrators 的读取权限取消,重新启动后,该进程就不会自动运行了,然后到相应目录将 Services.exe 删除即可。
上述方法适用于处理杀毒软件不能清除的非传染性的文件病毒。