于是打开“我的电脑”，在菜单栏上点击“工具→文件夹选项”，在弹出的“查看”选项卡里将“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”两项的勾选去除，再选中“隐藏文件和文件夹”里的“显示所有文件和文件夹”。

　　进入系统目录里，仔细看了一下WINNT、System、System32的目录，果然不出所料，发现了“.exe”和“notepad.exe”两个特殊的文件，根据刚才查杀System目录下RUNDLL32.EXE的经验，这些文件既不是系统自带的程序，文件的属性又和刚才删除的RUNDLL32.EXE属性类似，可以推断出这些文件就是木马文件，自然将其删除。最后，再去注册表，检查一下所有的启动项目。

　　小提示

　　★系统自带程序都有各自特定位置和图标，比如开始要删除的“RUNDLL32.EXE”，如果是系统自带程序，那在Windows 2000/XP中保存在系统目录里的System32文件夹里。

　　★类似于“ .exe”和“notepad.exe”这类的木马文件的命名抓住了人们心理上的弱点，对相似东西会忽略掉。如果隐藏了扩展名，本例中的这两个文件粗粗看一眼就很容易忽略掉。还有一种就是用比较类似的字母或者数字来代替，达到混淆的目的，比如“I”(大写I)、“l”(小写L)、“1”(数字1)或者是“O”(字母O)“0”(数字0)就很容易拿来混淆。

　　3.最终善后

　　好事多磨，当我正暗自得意时，突然发现所有应用程序都无法使用，还弹出如图4所示提示，于是继续解决问题:到Window的系统目录里把“Regedit.exe”的扩展名改为COM，不理会警告再运行，即可打开“注册表编辑器”，然后再到[HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command]将“默认”键值改回“%1 %*”。再以“”和“notepad”为关键词进行搜索，结果又发现注册表的一处键值，即[HKEY_LOCAL_MACHINE\Software\Classes\txtfile\shell\open\command]也被修改成了“notepad %1”，修改回默认的“NOTEPAD.EXE %1”即可。

　　最后，为了保险起见，再用安装的杀毒软件对系统进行了全面的查毒，发现QQ目录中的“TIMPlatform.exe”也是木马，去QQ的目录里一看，发现还有一个文件“TIMP1atform.exe”，经过查看属性，查毒，确认它是被木马改名的原“TIMPlatform.exe”文件，改回后，一切正常。

　　小提示

　　★在检查注册表时一定要眼尖，看清楚键值是不是给做了手脚，是不是多加了一个空格，或使用了混淆字母。

　　★当发现查杀完木马后系统出现异常，很有可能是其留下了诸多的后遗症，具体处理方法详见本刊2005年第1期的《中毒后遗症，妙手来清除》。

　　★推荐在手动清理完木马后再用杀毒软件对系统进行彻底的查杀。

　　小编有话说:无独有偶，小编最近也手动清除了几次病毒，使用的工具是RegFix(下载地址:http://nj.onlinedown.net/soft/25562.htm)及IceSword(http://www.newhua.com/cfan/200508/icesword.rar)，前者可用于修复注册表，后者则是非常不错的手工杀毒必备软件。其实只要用得顺手，使用任何工具都可以解决问题，整个流程就像本文介绍的那样。