如何手动清除伪装病毒explorer.exe病毒

深入trojan/vbs.zapchast.b病毒及其清除方法

这是一种伪装病毒，名为trojan/vbs.zapchast.b，尽管不是病毒，但其危害不容忽视。该病毒会在电脑上生成一个名为folder.htt的文件，该文件的位置并不固定，这意味着重装系统也不一定能够彻底清除病毒。

当您的电脑被该病毒感染时，会出现一些明显的迹象。在任务管理器中，您会发现两个EXPLORER.EXE进程。您还会注意到某些有病毒的文件夹内的程序在双击后会迅速消失。通过这些症状，您可以判断您的电脑已经遭受了感染。

要确定哪个是病毒进程，您可以尝试关闭两个EXPLORER.EXE进程并观察。您也可以查看其内存使用情况来做出判断。例如，正常的EXPLORER.EXE的内存使用可能与病毒进程有所不同。这里提供一个参考：正常的EXPLORER.EXE内存使用可能是1,8684K，而病毒进程的exeplorer.exe内存使用可能是2982k。

一旦确认病毒感染，应立即采取行动。结束病毒进程。然后，通过开始菜单运行msconfig，查看启动项，禁止exeplorer.exe随系统启动。接下来，找到C:\Program Files\Internet Explorer目录，删除病毒文件。

这个木马病毒会产生三个主要文件：interapi32.dll、interapi64.dll以及exp1orer.exe。特别需要注意的是，exp1orer.exe容易和Explorer.exe混淆，它是数字1而不是字母l。这个病毒入驻进程后，会大量消耗系统资源，并随着资源管理器启动。

为了彻底清除这个病毒，需要采取以下步骤：

1. 关闭Xp系统的还原功能，以便更好地进行后续操作。

2. 打开注册表编辑器，删除相关的键值。这些键值包括[HKEY_CLASSES_ROOT\CLSID]下的相关键值以及[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]中的相关条目。

3. 显示隐藏的文件和文件夹，包括系统文件及扩展名，然后找到并删除位于Windows/WINNT（2000/NT）/system32下的interapi32.dll、interapi64.dll以及exp1orer.exe三个文件。请注意，exp1orer.exe可能会伪装成jpg的图片格式图标，需要小心谨慎。

完成以上步骤后，您的电脑应该已经成功清除了该病毒。如果一切正常的话，您可以重新启动电脑并检查是否还有该病毒进程。需要注意的是，文件夹选项卡在杀除病毒后可以恢复到原来的状态。