明清拍卖八仙桌:杀毒后系统启动时会加载一个1.com的文件,如何解决?

传奇盗密木马exeroute.exe,WinLogogn.exe最近极为流行,由于该木马感染方式特别,极难清除,所以我们最近收到大量用户的求助信,幸运的是我们已经截获了该木马,所以用户可以直接使用木马清除大师扫描内存，全部硬盘来清除该木马,但是缺点是有可能清除不干净,所以下面讲讲该木马的详尽手工清除方法:

该木马共产生14个文件和2个文件夹。注册表部分，除了1个Run和System.ini，比较有特点是，非普通地利用了EXE文件关联，先修改了.exe的默认值，改.exe从默认的 exefile更改为winfiles，然后再创建winfiles键值.使EXE文件关联与木马挂钩.

具体清除步骤如下:

一. 使用木马清除大师进程管理器结束winlogon.exe，注意用户名,用户名为System的是正常进程

二. 打开注册表编辑器

1，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

将值shell = Explorer.exe 1改为shell = Explorer.exe

2，删除自启动项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Torjan Program（很明显吧木马程序）C:\WINNT\winlogon.exe删了

3，到HKEY_Classes_root\.exe下默认值 winfiles 改为exefile

4.删除其他无用数据
删除以下两个键值：
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles

5，搜索iexplore.com，改为iexplore.exe共有这几项

HKEY_CLASSES_ROOT\htmlfile\Shell\open\command
HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command
HKEY_CLASSES_ROOT\ftp\Shell\open\command

6，搜索iexplore.pif 改为%Program Files%\Internet Explorer\iexplore.exe共有这几项
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command
HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command
HKEY_CLASSES_ROOT\http\Shell\open\command

7. 搜索explorer.com 改为iexplore.exe就是这项

HKEY_CLASSES_ROOT\Drive\shell\find\command

8. 将以下键值的 No 修改为 Yes
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations

三. 打开我的电脑。要用右键打开C盘，不然病毒会在运行。以下基本用是隐藏，系统文件。要在文件夹选项中打开查看所有文件选项。

大多数文件日期全为2006／06／17.

1. 删除%windir%目录下的
1.com
ExERoute.exe
explorer.com
finder.com
WINLOGON.EXE

2. 删除%windir%\system32目录下的
command.pif
dxdiag.com
finder.com
MSCONFIG.COM
regedit.com
rundll32.com

3. 删除%Program Files%目录下的
Internet Explorer\iexplore.com
Common Files\iexplore.pif

4. 删除每个分区下的autorun.inf文件，（这个就是不能直接打开分区的原因）

5. 删除以下文件夹：%windir%\debug

完成

病毒 文件开机时按F8进安全模式全盘杀毒看还出来吗 不行试试这样 运行---msconfig 启动 里边找到这个的把前边的对号去掉