开机不显示桌面 木马 的解决办法

开机不显示桌面 木马 的解决办法 [前言]:从四月初开始，大规模地流行起了一种木马病毒，症状主要是:开机不显示桌面和任务栏，只显示桌面背景。最近，我也在身边的朋友们的电脑上与之狭路相逢，与之较量了一番，大获全胜。现将解决分享给大家。 [一]、如何恢复桌面, 在查杀病毒前，先将桌面恢复出来，这样才能够更加方便地操作。恢复方法: 1.按CTRL+ALT+DEL调出任务管理器，点“进程”，然后结束“explorer.exe”。 2.点任务管理器的“文件”——“新建任务”，运行explorer.exe，桌面就显示出来了。 (补充说明，有站友反映自己的explorer.exe已被杀毒软件隔离或删除。如果有这种情况，可以先下载本贴底端的地址的附件explorer.exe，并将其复制到c:\windows目录下，再按上述操作) [二]、如何彻底查杀病毒, 由于该木马病毒用卡巴斯基5.0等杀毒软件能够扫描出来，但无法杀掉，而且它在windows、system32、temp等文件夹下生成了很多病毒文件并且修改了几处注册表键值。所以需要借助于工具进行手动查杀。 具体操作步骤: 1.关闭卡巴斯基等杀毒软件。(没错。因为它无法杀毒该病毒，而且还会干扰下一步用其他工具查杀，所以关闭)。 2.在任务管理器里结束病毒进程(有可能有cmdbcs.exe、winform.exe、mppds.exe、wsttrs.exe、msccrt.exe中的一个或几个，有几个就关几个。注意，此时不要关闭explorer.exe) 3.运行“费尔木马强力清除助手 2.0.exe”(该软件见本贴底端的地址的附件) 用它杀掉下列位置的病毒文件，在清除时，选中软件中的“清除，并抑制文件再次生成”，然后点“开始即可”，这样可以保证病毒不再生成，而且会产生一个与病毒同名的空文件夹，这是正常的，是为了免疫病毒再次感染而产生的。 c:\windows\cmdbcs.exe c:\windows\winform.exe c:\windows\mppds.exe c:\windows\wsttrs.exe c:\windows\msccrt.exe c:\windows\system32\winform.dll c:\windows\system32\mppds.dll c:\windows\system32\wsttrs.dll c:\windows\system32\msccrt.dll C:\WINDOWS\system32\cmdbcs.dll C:\WINDOWS\system32\mppdys.dll 4.除了上述文件外，由于该病毒在不同的电脑上有不同的变种，所以还需要进一步查杀其他有可能存在的病毒文件。具体方法: 分别打开c:\windows c:\windows\system32 c:\Documents and Settings\(你电脑的用户名)\Local Settings\Temp c:\Documents and Settings\(你电脑的用户名)\Local Settings\Temporary Internet Files 检查里面是否有可疑的exe文件(比如，可以按修改时间排列，看近期的修改时间的exe、dll等文件)。 如果还有病毒文件，用第3步的方法查杀之。 5.如果第3、4步中，用“费尔木马强力清除助手 2.0.exe”有杀不掉的文件，可以用IceSword杀。(该软件见本贴底端的地址的附件) 6.运行“查看自启动程序.exe”(该软件见本贴底端的地址的附件)，从里面找到cmdbcs.exe、winform.exe、mppds.exe、wsttrs.exe、msccrt.exe等很明显是病毒的启动项，删之。(?特别提示:千万不要删除正常的userinit.exe和explorer.exe) 最后，如果你确认已经完全按上述步骤成功操作了，重启电脑，应该就正常了。当然，还可以继续再用卡巴等杀软扫描一下系统，如果还有残留的病毒文件，或者并发感染了其他病毒，再用类似上述的方法删之。 [后记]用上述方法，能够完全杀毒该木马病毒。当然，如果你的计算机同时感染了其他的病毒，或者有其他并发症，并不能保证用该方法解决所有问题。此外，为了照顾大多数不特别懂电脑的同学，我写的教程通常非常的详细、 希望对大家有帮助哦，呼呼 这有另外一个方法 无法出现桌面,但可以通过结束explorer.exe进程,重新创建explorer.exe进程来显示,这时虽然能正常用,但因为毒已经发作了,机子会很慢,甚至自动重启. 经过分析进程里面有没crs.exe和rundll2000.exe等,主要是crs.exe病毒,它通过创建Explorer.exe crs.exe使桌面无法显示,并且通过在任务管理器里面显示explorer.exe来欺骗。当然还有一些其他病毒,由于忘记了名字,就不一一写出来了,只是讲下解决的方法. 一、当然是重新启动电脑，进入安全模式，最好不要选择带网络连接的，因为有些病毒只要有网络连接就会发作(以前我老杀不干净毒，一直没找到原因(后来，我意外发现竟是这造成的( 二、这些病毒基本上是存在系统安装的所在盘区，所以对于新手来说可以通过重装系统来解决，但这比较费时费力，不推荐。当我们电脑中毒后，千万不要去双击打开盘区，而应该点右键再打开。 三、进入X:\WINDOWS目录下，使用“详细信息”显示文件和文件夹，并按“修改时间”排序。假如你是昨天机子不能看到桌面，你就把今天和昨天创建的文件全部删除掉，包括exe文件、sys文件和log文件。 四、进入X:\WINDOWS\system32目录下，同上把相应日期的文件删除掉，包括exe文件、sys文件和log文件。 五、清空(x表示系统所在盘的盘符)x:\DOCUME~1\你的用户名(包括A包括Administrator)\LOCALS~1\Temp\目录下所有的文件 六、通过搜索，查找crs.exe、SystemKb.sys、NewInfo.rxk、winlog0a.exe和rundll2000.exe。这些病毒文件有些会自动创建进程，故在删除前要下载IceSword软件。(运行IceSword，点文件—设置—禁止进程创建，这样就可以删除了) 七、点IceSword软件中的注册表，查找crs、SystemKb、NewInfo、winlog0a和rundll2000的注册项，并进行删除 八、修复注册表:展开注册表到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon将shell的键值由Explorer.exe crs.exe改为Explorer.exe 九、展开注册表到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run将里面的一些不需要启动时运行的注册项删除 十、取消IceSword的“禁止进程创建”。 十一、重新启动计算机，清除完毕。 explorer.rar(大小:363k) 时间:2007-11-19 查看自启动程序.rar(大小:61k) 时间:2007-11-19 费尔木马强力清除助手_2[2].0.rar(大小:305k) 时间:2007-11-19