该木马的母体就是new123.sys,属于Trojan-PSW.Win32.Delf.mc,可能会偷取你的一些应用的帐号和密码。
1.查看你的c:\Program Files\Internet Explorer\PLUGINS\目录,应该会发现有new123.bak和new123.sys两个文件;
2.查看你的C:\Documents and Settings\Administrator\Local Settings\Temp\目录,应该会发现有MicroSoft.bat这个文件;你可以用记事本打开MicroSoft.bat文件,发现其中提到一个exe文件(具体名称会有不同),你也会在该目录下发现这个exe文件;
3.如果以上两步你并未发现相应文件,请将你的文件查看改为:不隐藏已知文件后缀,并在系统盘内进行文件搜索,确认是否的确没有相关的文件。
4.XP系统里并没有cmd.exe的进程,cmd.exe是XP系统的命令提示符程序,可以执行一些在DOS下执行的应用程序,但是并不会随系统启动时运行,这有可能是个木马或者其他病毒程序,建议查杀
5、如果安装文件就在硬盘上,而且系统是从硬盘的安装目录装的,那先将这个安装目录改个名字
6、删除c:\winnt\system32\dllcache\cmd.exe,
7、然后再删除system32\cmd.exe
8、系统会提示说系统文件丢失要求插入光盘,忽略就行了
9.替换掉系统的cmd.exe文件。但是由于此文件受系统保护,所以必须用一种特殊的办法。至于那个用来替换cmd.exe的文件,可以随便找一个运行时候没有什么提示的东西就行。
