1、“Ctrl+Alt+Del”键,系统弹出“WINDOWS任务管理器”。我选择“文件”菜单下的新建任务(运行),在创建新任务对话框中录入“explorer”点击确定,过了几秒中硬盘灯也不停的闪烁,大约过了半分钟,桌面的图标开始出现了,系统似乎复活了。
图一
2、执行 “运行”命令,在运行对话框中录入“msconfig”并确定。
图二
3、系统弹出“系统配置实用程序”对话框,选择“服务”选项卡,并勾选下方“隐藏所有Microsoft服务”,出现如下筛选出的服务项。从列表中可以看到,这其中有四个是瑞星杀毒软件的服务,另外两个未知,将其服务前的勾选去除。
图三
4、选择“启动”选项卡,查看相应启动项,除了输入法和瑞星等几个常见的启动项,并无异样。
图四
5、打开“控制面板→管理工具→服务”,仔细搜寻那两个可疑服务,果然,首先找到了“iexpliore”,其描述为“Windows启动重要服务”。
图五
右键快捷菜单中选择“属性”,可执行的路径:C:WINDOWS hfwin.exe,启动类型为“自动”,查看其依存关系并无相关依存。
图六
将启动类型改为“已禁用”,并确定。
图七
同样,找到另一个可疑服务“StartWy”,该服务可执行的路径:C:WINDOWS wang6.exe,启动类型为“自动”,其描述为“Windows启动重要服务,如果关闭将无法启动系统”,查看其依存关系并无相关依存,就将其启动类型设为“已禁用”。
图八
6、先注消一下系统,目的是为了可疑服务尽可能停止。系统重置后,打开可疑文件所在的目录,C:WINDOWS,找到文件hfwin.exe,其创建日期是2006年9月1日9:23,大小为324KB。
图九
选中该文件,按“Shift+Delete”将其彻底删除,系统提示“删除文件或文件夹时出错”。
图十
只好暂时将其放弃删除,找到另一文件Wang6.exe,其创建日期同样是2006年9月1日9:23,大小为283KB。
图十一
将其选定并删除,系统显示删除成功。
图十二
7、重新启动计算机,在“安全模式下”将hfwin进行删除。
图十三
图十四
至此,两个Windows下的伪装服务清理干净。
