开机后,登录用户,进入黑屏桌面以后,打开任务管理器,应该发现 :explorer 这个进程明明存在,但为什么没有桌面呢?此时,我们新建一个进程 “explorer”,运行之后,桌面出现了!此时,我们应该怀疑的是,黑屏时看到的explorer进程和正常运行时的explorer是不是同样的进程?!我觉得不是。黑屏时,在explorer进程上右键查看文件位置,呜呼,打不开(当然打不开了,因为explorer没正常运行),但是用 Process Explorer(微软出品的进程浏览器),找到explorer进程,鼠标点上去之后,我们发现关于进程的详情是
C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -e--mbedding
后面这一大串东西让人看得直起鸡皮疙瘩,把这串玩意儿复制下来保存以备查看和比较。然后,在任务管理器新建“explorer” ,正常进入桌面,在诺顿任务管理器Norton Process Viewer里重新查看进程explorer,发现详情变成了 “C:\Windows\explorer.exe”,看到了吗,答案开始浮出水面了。
C:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -e--mbedding” 和 “C:\Windows\explorer.exe”,绝对有差别,这说明一个问题: 这仅仅是一个轻量级的系统故障,问题就出在一个文件和注册表身上!如果我们因此重装系统,太不值得了!Windows7装起来容易吗?
打开注册表编辑器,不断查找“C:\Windows\explorer.exe”,如果判断哪个注册表项比较可疑我就不介绍了,我可以确定我找到了一个非常极其可疑的家伙——
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"Shell"="C:\Windows\Explorer.exe D:\Windows\system32\tlntsvi8973.exe
大家看看这一串字符,最后这一段“C:\Windows\system32 \tlntsvi8973.exe” 是不是让你觉得毛骨悚然?我想把它干掉! tlntsvi8973.exe 这个文件是一个恶意程序,它钻进我电脑的时候我有所觉察,但没留痕迹,所以没动它。嘿嘿 只要把上面的注册表项最后的“C:\\Windows\\system32\\tlntsvi8973.exe”删除
很容易tlntsvi8973.exe 这个文件被我移动到了宰割场等待分尸和验尸,然后查找注册表“tlntsvi8973.exe” 没有找到相应项,好的;