最近某位朋友的电脑,一开机就出现TEMP2文件无法启动,请关闭。以前等一会就自己重新启动机器了,现在我给他重新做完系统还是出现,但是不重新启动计算机了,只是点一下关闭就可以了,我把他所有的硬盘都格式化了才做的系统,还是出现这样的问题。有什么解决办法吗?
參考答案:这是一种病毒,它将会在Windows目录下生成一个“3k.exe”后门特洛伊(检测到的名称为Backdoor/Psychware.G.Server),它会从Internet上下载并执行一个“Teen.exe”的文件,这将激活另一个Win32/Shaz.A病毒,而一旦Shaz.A被运行,它将在c:\Windows\Fonts\Font:目录下自动生成十二个文件:Igmp.exe、info.vbs、mirc.ini、mirc2.ini、pepsi.exe、pri.ini、re.exe、remote.ini、startup.vbs、temp2.exe(看见没??)、YoMama.txt、temp.exe。
解决办法:
1、重启F8进入安全模式;
2、按Ctrl+Alt+Del,调出任务管理器,结束temp1,temp2(一般情况下可能任务管理器中没有,也就是没有加载,可以跳过这一项);
3、在工具——文件夹选项——查看,去掉“隐藏受保护系统文件”和选取“显示所有文件”;
4、点击右键选择打开进入所有硬盘盘符,删掉“autorun.inf,copy.exe,host.exe三个文件”;
5、进入c:\windows,删掉xcopy.exe和svchost.exe,大家不要担心,这两个不是系统文件(实为病毒),真正的文件在system32里;
6、进入c:\windows\system32,删除temp1.exe和temp2.exe;
7、(关键一步)点击“开始”——“运行”,输入“regedit”,打开注册表编辑器,进入“HKEY_CURRENT_USER\Software\Micosoft\Windows NT\Current Version\Windows”,删除Load字符串值,或打开清空里面的内容“c:\windows\svchost.exe”。
参考资料: