由於刚刚小弟才摆脱掉这两只病毒的梦魇，而乡民区又没有收录相关的解决法 (还是我没有找到...) 於是想说把对岸所提供的手动解决法贴上来，分享给大家运用... 正文分隔线正文分隔线正文分隔线正文分隔线正文分隔线正文分隔线正文分隔线正文分隔 此病毒所关联的档如下，绝大多数档都是显示为系统档和隐藏的。 所以要在档夹选项里打开显示隐藏档，然後逐个删除，注意不要双击以免运行它。 D:\autorun.inf D:\pagefile.com C:\Program Files\Internet Explorer\iexplore.com C:\Program Files\Common Files\iexplore.com C:\WINDOWS\1.com C:\WINDOWS\iexplore.com C:\WINDOWS\finder.com C:\WINDOWS\exeroute.exe（忘了是不是这个名字了，红色图示有传奇世界图示的） C:\WINDOWS\Debug\*** Program.exe(也是上面那个图示，名字忘了-_- 好大好明显非隐藏的) C:\Windows\system32\command.com 这个不要轻易删， 看看是不是和下面几个日期不一样而和其他档日期一样， 如果和其他档大部分系统档日期一样就不能删，当然系统档肯定不是这段时间的。 C:\Windows\system32\msconfig.com C:\Windows\system32\regedit.com C:\Windows\system32\dxdiag.com C:\Windows\system32\rundll32.com C:\Windows\system32\finder.com C:\Windows\system32\a.exe [不过小弟处理时，并未发现此一档案] 还有一个头号档WINLOGON.EXE，一定得删除它！ C:\Windows\WINLOGON.EXE 这个在进程里可以看得到，有两个，一个是真的，一个是假的。 真的是小写winlogon.exe，（不知你们的是不是），用户名是SYSTEM， 而假的是大写的WINLOGON.EXE[一样是红龙LOG，算满好认的]，用户名是你自己的用户名。 ^^^^^^^^^^^^ 这个档在进程里是中止不了的，说是关键进程无法中止，搞得跟真的一样！ 就连在安全模式下它都会呆在你的进程里。 可以先把其隐藏属性解除掉，然後再用光碟启动进入DOS模式删除它！ 把那些档删掉後，所有的exe档全都打不开了，运行cmd也不行。 到C:\Windows\system32 里，把cmd.exe档复制出来，比如到桌面，改名成cmd.com， 然後运行可以进入到DOS下的命令提示符。 再打入以下的命令： assoc .exe=exefile （assoc与.exe之间有空格） ftype exefile="%1" %* 这样exe档就可以运行了。 运行regedit，进注册表，到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 里面，有一个Torjan pragramme[小弟看到的是Torjan pragram，但应该是一样才对]， 这个明摆着"我是木马"，删！！ 开机进入系统时会跳出一个警告框，说档"1"找不到。再运行"regedit"，打开注册表，在 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] 中把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe" 大功告成！ 正文完结线正文完结线正文完结线正文完结线正文完结线正文完结线正文完结线正文完结 据说这家伙是专找BT的病毒...那...以後可怎麽办啊~~~XD -- 我叫月不全孤独缺，孤是定孤支的孤 我叫阴川蝴蝶君，阴是阴险狡猾的阴 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 124.8.27.119