摘要：该问题是由于电脑感染了著名木马家族CoolWebSearch的新变种造成的。本变种有两个.dll文件，其中一个可以被最新版本的CWShredder.exe或者Ad-aware清楚，也能被HijackThis发现，但是另一个.dll文件使用了特别的加密、反跟踪手段，使得本身能够逃过大部分软件的监测。
关键字：about:blank 
正文：
把刚才改名的Windows那一项（改为notWindows了，对吗）改回原名Windows。 

7 运行CWShredder.exe，先点击chech for update将它升级为最新版（需要联网），然后点Fix让它自动修复问题。这一步会清除剩下的另一个.dll文件。 

8 下面就要请那个“隐藏”的.dll文件出去啦。上面说了，这里我假设它为C:\Windows\system32\dllname.dll，注意，您遇到的那个.dll应该有自己的名字和路径，您安装系统的分区也可能不是C。首先我们要去除该文件的属性，开始——运行——输入command——按“确定”——在弹出的DOS窗口中，输入 CD C:\Windows\system32 ——按“Enter”（回车）——输入 attrib -r -s -h dllname.dll ——按“Enter”（回车）——输入 exit——按“Enter”（回车），DOS窗口关闭。 
再往下的方法有几个，基本上应该都可以。 
（1）如果您使用的是Fat/Fat32格式，可以尝试给该.dll文件改名（连扩展名一起改），然后重新启动后尝试删除它。一次不行的话，不妨连续多改几次。 

（2）上面的方法不行的话，如果您是双系统或者多系统，而且其中包括9x或Me，您也可以启动到9x或Me的安全模式，删除该.dll文件。（最好在文件夹选项中显示系统文件、隐藏文件，否则可能找不到它）。 

进入安全模式的方法：重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows 

（3）如果您没有使用NTFS格式，还可以用启动光盘或者启动软盘启动到DOS模式，删除该文件。希望您有一定的DOS操作经验。操作举例（注意每输入一行，后面都要按“Enter”回车） 
C: 
CD C:\Windows\system32 
attrib -r -s -h dllname.dll （注意，加上这一步是为了保险） 
del /f dllname.dll 
然后重新启动，在BIOS里恢复从硬盘启动，正常进入windows。 

关于如何在BIOS里设置从光盘或者软盘启动，请参考 
BIOS设置图解说明 
http://community.rising.com.cn/Forum/msg_read.asp?FmID=3&SubjectID=1724648&page=1简单说，进CMOS设置（一般是开机过程中按Del，也可能是其它键，参考你的主板说明书），并选择BIOS FEATURES SETUP——>Boot Sequence，将其值设为A,C或A;C,SCSI（注：用PageUp\PageDown设置），按ESC退出，选择SAVE&EXIT SETUP保存设置并重新启动。这就设成了从软驱优先启动。（注：不同主板的电脑进入CMOS设置有可能不一样，但设置大体相似） 

（4）如果您使用NTFS格式，由于NTFS格式可以设置一些权限（该木马也的确这么做了），问题就比较麻烦了。您可以尝试反复给这个.dll文件改名（可以使用CopyLock等第三方工具），每次用一个不同的名字（尤其扩展名要改成windows不能识别的，比如dgewsc.dafhf或者342234.5346什么的），反复改名几次，也许就可以删除它了。不行的话，设置从光盘启动，插入2000/XP光盘，进入恢复控制台（让您选择时按R），然后参照上面(3)的DOS清除法。

[1][2]

上一篇：实例讲解密码的破解及抗击手段 下一篇：让BT下载在XP2下畅通无阻