运行Regedit,依次展开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows CurrentVersionRun,一看,果然多了个新家伙Advapi32,一看键值,竟然加载的是一个Dll文件,而这个文件位于C: WINDOWSDownloaded Program Files目录下的_IS_0518目录中。找到了根源就好办了,先删除了启动项,再删除对应的木马文件就行了,但到了C:WINDOWSDownloaded Program Files目录一看,发现这些文件根本看不到(开启了显示隐藏文件项)。且重启之后启动项又出现了,很显然,这个木马监视注册表,且文件隐藏。为了剿灭彻底,以下步骤是进入安全模式后进行的(开机时按住F8键或Ctrl 键不放直到启动菜单出现)。
cd c: //将当前路径改为C:盘的根目录 cd C:WINDOWSDownloaded Program Files //将当前路径改为C:WINDOWSDownloaded Program Files move _IS_0518 c:bak//将当前目录下的_IS_0518目录移动到C:根目录下并重命名为bak 打开“我的电脑”,进入C:,删除Bak目录,再进入C:windows目录,删除Backup目录,即完成了木马文件的清除。
