一、发现木马
那天笔者下网后在打开一个纯文本文件的时候,Norton突然报告发现病毒,拒绝访问该文件(图1),
如何查杀木马
。纯文本文件里怎么会有病毒?带毒的程序竟是E:WinNTSystem32oteped.exe。“pWSteal.Trojan”看名字应该是一个木马,它居然能强行将TXT文件的打开方式与noteped.exe关联。右键单击任一文本文件打开属性窗口,从这里我们就可以清晰看到文件的打开方式已经变成了“noteped”,但只要Norton没有关闭,这类文件就无法打开。noteped.exe不就是记事本吗?
打开E:WinNTSystem32目录,赫然发现notepad.exe、noteped.exe两个程序并列在一起(图2),细看后才发觉它们有一字之差。于是笔者立刻将病毒库升级到最新,并对电脑进行一次全面的查毒,结果在E:WinNTSystem32目录下还发现了三个病毒文件(Outlook.exe、Winet.exe、Explorer.exe),
电脑资料
《如何查杀木马》(https://www.unjs.com)。用Norton查杀该木马时,提示无法删除或隔离它们,看来只有靠自己了。为了看看木马还有没有漏网的同伙,笔者以木马创建日期(2000.01.01)、文件大小(147Kb)为条件在电脑中又“搜索”了一遍,结果还是只有四个染毒文件。
进入E:WinNTSystem32找到这四个文件,立刻对它们实施“极刑”,不过系统提示“explorer.exe文件正在使用无法删除”,于是笔者按下“Ctrl+Alt+Del“打开任务管理器,查看进程竟然看到了两个explorer的进程(图3),其中肯定有一个是木马进程。它的进程路径应该为E:WinNTSystem32explorer.exe,而真正的桌面的进程路径为E:WinNTexplorer.exe。结束木马进程,顺利删除explorer.exe.。
由于noteped.exe被删除,TXT文件没有了应用程序关联,下面笔者就来进行恢复操作。打开“我的电脑→工具→文件夹选项→文件类型??如果没有TXT文件→新建→新建扩展名→输入‘txt’→确定→选中txt扩展名→更改→从列表中选择程序→记事本→确定”即可(如果列表中没有显示记事本,可浏览选中E??WinNTotepad.exe)。