一台电脑使用的是Windows 2000操作系统，最近在“运行”中运行Regedit和
Msconfig等命令时，系统经常弹出“非法用户”对话框，如图21-15所示。
分    析
    这是因为感染了“杀手13”病毒，该病毒有以下特点。
    (1)是个极度危险的恶性蠕虫病毒。它藏身于系统目录与回收站中，在注册表中加入自
启动项并使用户无法使用注册表相关工具，然后利用Word加载自己，共享系统盘。
    (2)同时可以对抗反病毒软件，生成病毒邮件。    
    (3)该病毒通过局域网传播，并利用NET命令给系统开后门，最终将在12月13日，在
autoexec．bat文件中加入deltree/y c：\*.*命令，当用户重启计算机时，便将用户C盘的所有内
容全部删除。
排除过程
    可以按照下面介绍的方法来检查计算机，进一步确认是否中了“杀手13”病毒并手工清
除病毒。
    (1)病毒会将自己复制到系统目录以及回收站中，并命名为Killonce.exe，查看相应的目
录并将病毒文件删除，如图17-1和图17-2所示。

 
    (2)病毒运行时会在注册表中的HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\Run项中加入键值为：Killonce，内容为：C：\WINNT\SYSTEM32\
KillOnce.exe的自启动键，如图17-3所示，可以直接将此注册表键值删除。

    (3)如果在“我的文档”目录中存在*.doc文件，病毒会把自己复制到该目录，并命名为：
RICHED21.DLL、SHDOCVW.DLL，如图17-4所示。可以直接将这两个病毒文件删除。

 
  (4)在Windows 2000下，打开用户管理程序，查看Administrators组中是否有Guest用
户，如果有将其删除。
    (5)查看C盘根目录下的autoexec.bat文件，查看是否有deltree/y c：\*.*命令字样。如果
有将该行删除，并保存该文件即可。
注意
为了彻底将“杀手13”清除，建议用户使用最近的杀毒软件对系统进行全面杀毒。