另外，该文件保存在System目录下，而同学的系统是Windows 2000，系统自带的RUNDLL32.EXE应该保存在System32的文件夹中。基于以上的判断，初步断定该进程为木马进程，于是就用TroyanFindInfo中的“Edit→Kill process”(编辑→结束进程)关闭掉该进程。同时把C:\WINNT\System\目录下的木马原文件也删除。最后在注册表中查找所有的开机自启动项目，找到和刚才删除的RUNDLL32.EXE有关的键值即可。

　　小提示

　　★进程查看软件很多，比如以前介绍过的IceSword，本文介绍的TroyanFindInfo等。我个人喜欢用TroyanFindInfo，因为它比较小巧，信息也比较全面，实用。当你自己不能判断出进程文件时，还可以点击“Save”(保存)按钮，保存好LOG文件，然后传给高手，让他帮忙分析。

　　★以前大多数QQ病毒都是通过发送病毒网站地址来传播的，现在也有不少通过QQ直接发送病毒文件，比如，使用图片图标的EXE文件，大家在接收来自好友或陌生人的消息及文件时一定要提高警惕，最好先询问一下对方是否发过该信息或文件，以免无畏中招。

　　★开机自启动在注册表里的具体位置可以参见本刊2005年第1期的《中毒后遗症，妙手来清除》。

　　2.清除病毒的“幕后黑手”

　　本来以为是一个Easy Case，可刚回到家，同学就打来电话说好像木马没清除干净。过去一看，果然又出现了原来的状况。按照刚才介绍的方法先行处理过后，再回想一下整个操作，推断出可能木马把自己的分身隐藏到了系统的某个角落。

[1] [2] 下一页