rundllfromwin2000.exe

这两天看到系统进程里面，多出一个rundllfromwin2000的进程。搜索，在C:\Windows\system32里面。查看文件属性，居然是MS的东西……

baidu和google一番：

该程序原本系2000系统里的rundll.exe，被流氓恶意程序带着它改了名字到处乱转，就成了人见人恨东西了。

病毒表现为:
IE主页被强制更改、系统不定期无原因自动重新启动、任务管理器中出现此进程等等。

查杀方法：
对于系统服务中出现WalALET的服务的，可以到注册表中删除，注册表位置：

Code:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WalALET]
描述：发送和接收局域网内部系统管理员或者“警报器”服务传递的消息。
显示名：Intranet Messenger
可执行文件的路径：C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE C:\WINDOWS\SYSTEM32\WBEM\DWNGZI80.DLL,Export 1087

对于RundllFromWin2000.exe程序本身可以使用Unlock等强制删除工具删除掉即可。

现在我已经删掉了，不知道下次启动机子的时候会不会再有，另外，它的表现现在只是出现在任务管理器中，其他的关于浏览器主页被改、系统无故重启的现象还没发生。希望删掉后就OK了，如果不行，就按照上面说的用Unlock吧……