这是个很顽固的木马
猪之
首先建议你这样,如果你的系统还原从没有关闭过,可以,开始,程序,附件,系统工具,系统还原,把系统还原到一个最老的还原点来解决问题。
如果系统还原关闭了
你看以下的帖子
http://forum.ikaka.com/topic.asp?board=28&artid=7828861
木马Trojan.Agent.awa的手工查杀流程:
2、结束木马进程C:\windows\LSASS.EXE。(请到www.27814939.ys168.com下载诺顿进程管理器终止C:\windows\LSASS.EXE的进程)
3、删除木马文件(见附图)
4、重启。清理注册表:
先将RegFix或SREng的后缀改为.com 或.bat,再运行之。(恢复HKEY_CLASSES_ROOT\.exe的键值)。(或到C:\WINDOWS找到regedit.exe,将其它改名为regedit.com)
展开:HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开:HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" -nohome"
展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}"
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Top
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除wextract_cleanup0
