运行Regedit,依次展开HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run,一看,果然多了个新家伙Advapi32,一看键值,竟然加载的是一个Dll文件,而这个文件位于C:/WINDOWS/Downloaded Program Files目录下的_IS_0518目录中。找到了根源就好办了,先删除了启动项,再删除对应的木马文件就行了,但到了C:/WINDOWS/Downloaded Program Files目录一看,发现这些文件根本看不到(开启了显示隐藏文件项)。且重启之后启动项又出现了,很显然,这个木马监视注册表,且文件隐藏。为了剿灭彻底,以下步骤是进入安全模式后进行的(开机时按住F8键或Ctrl键不放直到启动菜单出现)。
cd c:/ //将当前路径改为C:盘的根目录
cd C:/WINDOWS/Downloaded Program Files //将当前路径改为C:/WINDOWS/Downloaded Program Files
move _IS_0518 c:/bak//将当前目录下的_IS_0518目录移动到C:根目录下并重命名为bak
打开“我的电脑”,进入C:/,删除Bak目录,再进入C:/windows目录,删除Backup目录,即完成了木马文件的清除。