yyylll66

正因为他的日志里没windows下的explorer.exe，所以我们就要怀疑windows下的这个文件已经被感染！
而日志里所使用的是system32下的explorer.exe文件，也有数字签名，也有桌面（无桌面的话，楼主肯定会说）说明system32里的这个文件是正常的，所以要替换。。。

[ 本帖最后由 yyylll66 于 2008-7-20 22:12 编辑 ]

eyeego

但万一SYSTEM32下的也被感染呢？

byxxdrls

系统默认：同名文件的启动，system32下的文件优先于windows下的。而日志中并没有从windows下启动explorer的启动项，进程中也没有。所以我认为这个文件没问题，不需作改变，最多是将文件移到windows下。

以上说法经实验，有误。病毒确实会在windows目录下放一个病毒文件explorer.exe。

[ 本帖最后由 byxxdrls 于 2008-7-21 08:31 编辑 ]

eyeego

不过这样我就纳闷了。。。。。。病毒将explorer.exe移到SYSTEM32下，然后在WINDOWS下释放一个explorer.exe。。。有什么用？根本不能启动吗。。。。。。

byxxdrls

经实验，系统不会直接调用system32下的。估计sysytem32下的正常文件explorer.exe是windows下的病毒文件explorer.exe调用的。: 123429 狡猾啊。

whzl123

引用:

原帖由 byxxdrls 于 2008-7-21 13:05 发表
经实验，系统不会直接调用system32下的。估计sysytem32下的正常文件explorer.exe是windows下的病毒文件explorer.exe调用的。: 123429 狡猾啊。

同意这种说法....只是其中的一种....也有可能都是假的...
个人认为还是都换了保险