把我的桌面還回來

流行病毒層出不窮，一會“威金”肆虐，一會“熊貓”燒香，前陣子ANl漏洞病毒又四處出擊。筆者的一個朋友把這些全躲過了，近日卻栽在一個不知名病毒的手上，真是明槍易躲，暗箭難防啊。

朋友前一天開機時發現，進入系統后桌面空白一片，除了壁紙什么也看不到。無法打開“開始菜單”和“我的電腦”，連最基本的殺毒操作都無法執行。經過筆者診斷，他的電腦確實感染了病毒，近日網上還有大量用戶中了此類病毒，筆者這里將查殺經驗寫出與大家分享。

排查進程，揪出可疑分子

首先當然是找出病毒活動進程。啟動系統進入空白桌面，按下“Ctrl＋AIt＋Delete”組合鍵，調出Windows任務管理器，切換到“進程”標簽。

經過仔細排查，其中的wsttrs.exe進程極為可疑，現在選中它右擊選擇“結束進程”，結束該進程后桌面順利出現。看來桌面無法顯示肯定和它有關系。不過，目前該病毒有多個變種，如果結束病毒進程后無法顯示桌面，請切換到“應用程序”標簽，單擊“新任務”按鈕，在彈出的對話框輸入“C:\\Windows\\explorer.exe”即可啟動桌面。

經搜索得知，這是一個以盜取《魔域》、《完美世界。和“浩方游戲平臺”網游賬號的木馬，病毒名為Win32.Troj.OnlineGames.ms.18432。

可以在系統正常的時候啟動任務管理器，使用PrintScreen鍵把當前進程截圖保存，以后比較前后進程圖片即可快速找到病毒進程。

順藤摸瓜，找到病毒源文件

病毒一般都會添加到自啟動項目，單擊“開始→運行”輸入“Msconfig”啟動系統配置實用程序，單擊“啟動”標簽，可以看到系統新增了一個名為“wsttrs”的啟動項，啟動位置是[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsofl\\Windows\\CurrentVersion\\RunOnce]。

打開注冊表編輯器，展開上述鍵值，從右側的“wsttrs”發現病毒文件是C:\\Windows\\wsttrs.exe，刪除它。打開毒霸升級殺毒，經掃描發現另一個病毒文件C:\\indows\\system32\\wsttrs.dll，至此，病毒順利消滅。

經驗總結

進入系統后最先啟動的就是桌面進程，所以越來越多的病毒就對它下手。大體有三種癥狀，可以依據下面的方法排查。

1．桌面無法顯示

比如本文的病毒，由于桌面是我們進行操作的基礎，如果無法顯示桌面，就可以使用任務管理器重建桌面。當然也可以通過任務管理器的“新任務”直接啟動其他程序，比如可以在沒有桌面情況下啟動殺毒軟件掃描。

2．病毒和桌面一起啟動

桌面是通過注冊表[HKEYl_LOCAL_MACHINE\\SOFTWARE\\Mic\\rOsOft\\Windows NT\\CurrentVersion\\Winlogon]右側的“shell”鍵值啟動，默認為“explorer.exe”，如果出現類似“explorer.exe.a.exe”字樣，則表明有病毒隨桌面啟動(病毒為C:\\windows\\a.exe)。可以按注冊表文件路徑提示刪除病毒文件。

3．病毒通過DLL文件插入桌面進程

很多木馬通過DLL文件方式插入Explorer.exe進程達到自啟動，對于這類病毒可以先使用任務管理器結束桌面進程，然后用任務管理器啟動殺毒軟件掃描系統并刪除病毒。

系統組件升級或替換也可能導致桌面受損。比如安裝某IE7破解版后，重啟后出現“expIorer無法找到normaI.dll”的提示。這時候要到其他電腦或網上下載丟失的文件并復制到系統目錄，或者進入安全模式將IE7卸載。