问个问题 124327M 是什么东西?
今天开机检查了下注册表,发现一个可疑程序在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
<AppInit_DLLs>里,数据值为124327M.于是删除,目标文件不可删,提示在运行,ok,安全模式,删了.本以为问题没了,可是开机又出来了,郁闷.....后用冰刃监视了下进程,发现svchost.exe(pid:11**,后两位回随机改变)每过2-3分钟就会创建一个iexplore.exe文件,于是检查下svchost.exe的模块信息,发现里面注入了124327M,于是强制解除,问了以后重起,更郁闷的事情来了,我发现我删的所有关于124327M又回来了!靠,这可恶的东西是什么,谁知道?我猜测可能是木马,但是又拿他没办法,请高手指导下,谢谢!还有,最好不要介绍杀毒软件给我,我的机器就没打算装那些东西.
参考答案:中毒了,你看到的那个不是svchost.exe应该是svch0st.exe用杀毒软件查杀一下吧。不过也可以用手动查杀的。
把用冰刃把iexplore.exe(如果是病毒的话,这个文件应该在c:\windows\system32下,当然你系统文件不在C盘的话就要另当别论了。)这个进程结束掉,也要把它所加载的模块也杀掉。再把svch0st.exe结束掉,注意别把真的svchost.exe结束掉呀。
打开cmd窗口,输入cd c:\windows\system32确定。再输入attrib -s -r -h iexplore.exe
del /f iexplore.exe
attrib -s -r -h svch0st.exe
del /f svch0st.exe
以上命令是一条一条运行的,当然你可以把它做成批处理文件,一下子全运行。
然后到注册表里把二者有关的项删 掉就行了。