先感谢下3楼提醒思路。
我认为,你目前的情况可能是vbs病毒通过NTFS附加数据流藏在了那个desktop.ini文件中了。
而杀毒软件杀毒时不彻底,留下了残余的注册表键值(MS的Active Setup个人设置)。
我的建议如下:
1、重新将一个无害的vbs注入那个desktop.INI中。
方法:
开始菜单输入cmd,右键选择管理员权限运行。
输入以下命令:
echo Wscript.Sleep 100 > C:\WINDOWS\System32\Wbem\Desktop.ini:wmic.js
然后回车,这会写入一个只运行100ms的没有任何功能的vbs脚本。
重新开机检查有没有变动。
2.可以使用8楼仙仙的方法,删除操作也可以用autoruns完成。 |