第一步：单击“开始→运行”，输入“Msinfo32”打开系统信息窗口，展开“系统摘要→软件环境→正在运行任务”，这里可以看到“systemtray.exe”路径在“C:/Windows/System32”下。

　　第二步：打开“C:/Windows/System32”，复制记事本程序“notepad.exe”到“D:/”，同时重命名为“systemtray.exe”。

　　第三步：打开记事本程序，输入下列代码，保存为“shadu.bat”，放置在桌面(括号为注释，无须输入)：@echooff

　　Taskkill/f/imsystemtray.exe(使用taskkill命令强行终止“systemtray.exe”进程)

　　DeleteC:/Windows/System32/systemtray.exe(删除病毒文件)

　　Copyd:/systemtray.exeC:/Windows/System32/(替换病毒文件)

　　第四步：现在只要在桌面运行“shadu.bat”，系统会将“systemtray.exe”进程终止并删除，同时把改名的记事本程序复制到系统目录。

　　这样，守护进程会“误以为”被守护进程还存在，它会立刻启动一个记事本程序。

　　第五步：接下来只要找出监视进程并删除即可，在命令提示符输入:

　　“taskkill/f/imsystemtray.exe”，将守护进程再生的“systemtray.exe”终止，可以看到“systemtray.exe”进程是由“PID3288的进程”创建的。

　　打开任务管理器可以看到“PID3288的进程”为“internet.exe”，这就是再生进程的“元凶”。

　　第六步：按照第一步方式，打开系统信息窗口可以看到“internet.exe”也位于系统目录，终止“internet.exe”进程并进入系统目录把上述两个文件删除即可。

编辑：北京信诚www.xcitbm.com>IT保姆www.xcitbm.com>IT外包部 http://www.xcitbm.comwww.xcit.com.cn

::发表评论::

姓名：  *  Email： *  评分：10  20  30  40  50  60  70  80  90  100