曾经遇到过这样一类xp系统中的木马,在运行被感染的正常程序时它会修改注册表,这会使得电脑的安全策略发生改变,然后生成.exe程序,大小大概是1M左右,并为木马创建系统登录账户,一般情况下,所生成的.exe文件会被杀毒软件清除掉,但是如果一旦被该木马创建了登录账户就比较麻烦了,尤其是当系统只有一个administrator用户时,因为杀毒软件无法对这种行为进行识别,一旦重启电脑以后这些账户就可以正式生效了,当进入到登录界面时,这些陌生用户就会显示出来,而如果你电脑上只有administrator账户,这时候由于有了自定义账号,那么administrator账号就会被隐藏起来,此时就没无法登录到系统了,因为这些陌生账号都设置的有密码,你根本无法使用。
一开始所能想到的办法就是进入到系统安全模式中,然后启动杀毒软件进行杀毒,但是该木马似乎早有准备,当进入安全模式启动杀毒软件的时候,系统就会自动死机,鼠标键盘都失去反应,重启进入到安全模式以后症状解除,但是如果还想启动杀毒软件,那就会再次死机。出现这种情况真不知道让人该怎么办才好,可能大部分人所能想到的解决方案就是重装系统了,我第一次遇到该病毒也是这样做的,现在经过一些实验,发现不重装启动也能解决这些问题,下面就说一下我的解决方法。
既然管理员账号用不成,那只有进入安全模式,刚进入安全模式不要启动杀毒软件,也不要运行cmd控制台,因为同样会死机,首先打开控制面板,进入到用户管理中,此时一般不会出现死机的情况,如果这也死机,那么在下次进安全模式后,手快点,不要等到它死机,迅速打开用户管理界面,把能删除的陌生账号都给删除掉,到最后可能会剩下一个或两个账号删不掉,那么就把它的密码取消掉,然后重新启动电脑,在登录界面中,虽然仍然无法看到administrator账户,但是这里可以用陌生账号来登录了,因为密码已经被去掉了,用木马创建的陌生账号登录到系统后,打开cmd控制台,输入如下命令来删除剩余的木马账号:net user 账号名 /delete,再次重启电脑就可以用administrator账号登录了,进入到系统以后立刻用杀毒软件杀毒(此时在非安全模式下运行杀毒软件就不会死机了),然后修改安全策略,不允许陌生程序来访问和改写注册表,这样的话,系统算是从木马的手中恢复过来了。
