winstall进程的封杀,中毒和解毒- 我的经历

这几天学校的局域网里面很不安宁啊。
前天，打开机器，突然windows任务栏里边有个提示“your computer is infected!”,还有一个红的小“X”，而且任务管理器也被禁用了。只要机器开着，任务栏里的小X就不时的闪啊闪。郁闷啊，中毒了。用杀毒软件全面杀了一次，没有杀出来。
自己找吧，上网找“任务管理器被停用”，终于找到一个开启的方法。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]  
"DisableTaskmgr"=dword:00000000  
把这段信息导入注册表，试试，打开了任务管理器。呵呵，一看，里边果然有一个winstall的不名进程，杀掉以后，在系统里面搜索“winstall”这个文件，果然在C:盘底下就直接找到了，删掉就可以了。

不过，注册表的信息还是被改了，每次开机，都有一个对话框，系统找不到Explorer.exe这个文件。
用regclean这个工具修复一下注册表的信息，重新启动，没有用处，还是出现对话框。下来就用一个工具，SREng.exe(System Repair Engineer )来看一下启动项了，工具提示"shell"的值被修改了。把原先的“winstall”的启动项删掉，在把shell的值改过来就可以了，这个可以参照和你一样的系统改。我改的是C:\WINDOWS\Explorer.exe，虽然它还提示注册表shell被修改为非正常值，但我这里不影响使用，就不管它了。现在的系统已经可以正常运行了。

提醒大家:不要上知名度不高的色情网站.
呵呵~~

....

还是支持一下....

友情提示: 上知名度不高的色情网站一定要用最新版杀毒软件...

318的兄弟,呵呵.