后来经过分析,发现每次有窗口弹出来的时候,进程表里面会出现一个RUNDLL32.EXE的可疑进程。rundll32.exe本身是正常的系统进程,但是正常的系统进程的用户名应该是SYSTEM,而这个可疑进程的用户名是当前激活的用户名(缺省值好象是ADMIN,还有个简单的办法看用户名,就是你随便打开一个程序,比如QQ,看看QQ.EXE后面的用户名就是当前激活的用户名)。现在找到线索了,用一个叫做troyanfindinfo的木马分析软件分析当前进程(一定要在有页面弹出以后,这个软件可以在华军软件园下载)。寻找RUNDLL32.EXE,可以看到RUNDLL32.EXE连接的动态数据库文件(xxx.dll),这个控制页面弹出的千橡软件一般是在系统盘Documents and Settings下面的,你看一下哪个RUNDLL32.EXE连接到了Documents and Settings文件夹,记下文件夹的目录,然后在任务管理器中结束可疑的RUNDLL32.EXE进程,并删除刚才记录下的千橡软件文件夹就可以了。
我也是刚弄好,没有总结,写了个自己解决这个问题的流程,希望对你有帮助。
我也是刚弄好,没有总结,写了个自己解决这个问题的流程,希望对你有帮助。