壹、先去把系統設置為“顯示隱藏文件”,因為病毒以隱藏屬性
偽裝,不做此設置將無法看到它,設置的方法如下(如果系統已經做了此設置可以跳過這壹步):
打開“我的電腦”; 依次打開菜單“工具/文件夾選項”; 然後在彈出的“文件夾選項”對話框中切換到“查看”
頁; 去掉“隱藏受保護的操作系統文件(推薦)”前面的對鉤,讓它變為不選狀態; 在下面的“高級設置”列表框中
改變“不顯示隱藏的文件和文件夾”選項為“顯示所有文件和文件夾”選項; 去掉“隱藏已知文件類型的擴展名”
前面的對鉤,也讓它變為不選狀態; 最後點擊“確定”。
二、按“Ctrl+Alt+Del”鍵彈出任務管理器,找到EXPL0RER.EXE進
程(註意第5個字母是數字0不是字母O),找到它後選中它並點擊“結束進程”以結束掉木馬進程。然後迅速做下面
壹步,只所以要迅速是因為如果動作慢的話,木馬可能會自動恢復而再次運行起來,這樣就無法刪除掉其他木馬文件
了(如果EXPL0RER.EXE進程再次運行起來需要重做這壹步);
三、打開資源管理器進入到 “系統目錄\Winnt\System32”下(如果您的win2000/nt/xp安裝在C盤則就
是:\Winnt\System32)。找到EXPL0RER.EXE文件(註意第5個字母是數字0不是字母O)、SysModule32.dll文件,然後
直接刪除它們。如果這時報告“文件正在使用無法刪除”的類似提示則說明木馬已經再次恢復了,需要從第二步開始
重復做,並且從第二步到第三步壹定要迅速,這裏建議可以先打開資源管理器選中這幾個待刪除的文件,在做第二步
即剛結束掉EXPL0RER.EXE進程後馬上轉過來刪除這2個文件,這樣壹般就可以成功了;
四、同樣在“系統目錄\Winnt\System32”目錄下找到SysModule64.dll 文件,嘗試刪除它,不過如果這時報告“此
文件正在使用中無法刪除”等類似提示也沒有關系,稍後在第七步將介紹如何刪除此文件;
五、打開資源管理器進入到 “系統目錄\Winnt”下,找到壹個
MFCD3O.DLL 文件,手工刪除它;
六、打開“開始/運行”,輸入“regedit”後“確定”以打開註冊
表編輯器,找到“HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}”鍵,把整個“{081FE200
-A103-11D7-A46D-C770E4459F2F}”鍵全部刪除。
七、註銷當前用戶或重新登錄或重啟電腦。
之後再按第四步的方法刪除掉 SysModule64.dll 文件,如果壹切正常此時應該可以刪除掉它了。