日前,微软证实了一种来自Symantec报告的Windows产品激活木马(Trojan.Kardphisher),该木马和激活工具捆绑在一样,并在用户需要激活操作系统的时候冒充Windows正版验证工具,该木马在清理之前是用户个人信息的危机之一,清理与否全凭用户发落(之前Windows 激活状态消失)。
Windows核实激活木马并提出解决办法:
本题介绍在网络上流传甚广的激活工具自带木马Trojan.Kardphisher的清除方法:
1、重启被感染机器,只选择NO。
2、重启时按F8进入安全模式。
3、开始->运行。
4、输入:regedit .
5、找到并删除下列键值:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runsoft 2vOQ>&wb+Ax
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System/DisableTaskMgr,Rd_Auga
6、退出注册表编辑器即可。
当然,你也可以给该木马提供虚假的帐号信息以骗过它,从而进入系统,找到这个键值删除之:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runsoft2
以上步骤便是Windows核实激活木马的解决办法,虽然笔者建议用户使用正版激活,但是在面对微软的“威逼利诱下”,建议用户还是使用野生的OEM来激活。