nbsp; 第四步:重启电脑,用命令“listdlls -r helpctr.exe〉C:helpctr.txt”得到“帮助和支持”所使用的DLL文件。此处重启是为了使已经没有使用的DLL文件从内存中卸载。
第五步:再次重启,用命令“listdlls -r mshta.exe〉C:mshta.txt”得到“用户账户”使用的DLL文件。
筛选最后“真凶”
分析explorer.txt中的DLL文件,其中文件目录中含有“srchasst”的,均为“搜索助理”单独调用的文件。剩余的文件分别为C:Windowssystem32目录下的sxs.dll、vbscript.dll、jscript.dll文件。用“搜索”的方法可以发现文件helpctr.txt和mshta.txt中均存在上述文件,看来“罪魁祸首”非这三者莫页码:[1] [2] [3] [4] [5] [6] 第5页、共6页 |
