流行病毒层出不穷，一会“威金”肆虐，一会“熊猫”烧香，前阵子ANl漏洞病毒又四处出击。笔者的一个朋友把这些全躲过了，近日却栽在一个不知名病毒的手上，真是明枪易躲，暗箭难防啊。
　　朋友前一天开机时发现，进入系统后桌面空白一片，除了壁纸什么也看不到。无法打开“开始菜单”和“我的电脑”，连最基本的杀毒操作都无法执行。经过笔者诊断，他的电脑确实感染了病毒，近日网上还有大量用户中了此类病毒，笔者这里将查杀经验写出与大家分享。
　　
　　排查进程，揪出可疑分子
　　
　　首先当然是找出病毒活动进程。启动系统进入空白桌面，按下“Ctrl＋AIt＋Delete”组合键，调出Windows任务管理器，切换到“进程”标签。
　　经过仔细排查，其中的wsttrs.exe进程极为可疑，现在选中它右击选择“结束进程”，结束该进程后桌面顺利出现。看来桌面无法显示肯定和它有关系。不过，目前该病毒有多个变种，如果结束病毒进程后无法显示桌面，请切换到“应用程序”标签，单击“新任务”按钮，在弹出的对话框输入“C:\Windows\explorer.exe”即可启动桌面。
　　经搜索得知，这是一个以盗取《魔域》、《完美世界。和“浩方游戏平台”网游账号的木马，病毒名为Win32.Troj.OnlineGames.ms.18432。
　　可以在系统正常的时候启动任务管理器，使用PrintScreen键把当前进程截图保存，以后比较前后进程图片即可快速找到病毒进程。
　　
　　顺藤摸瓜，找到病毒源文件
　　
　　病毒一般都会添加到自启动项目，单击“开始→运行”输入“Msconfig”启动系统配置实用程序，单击“启动”标签，可以看到系统新增了一个名为“wsttrs”的启动项，启动位置是[HKEY_LOCAL_MACHINE\SOFTWARE\Microsofl\Windows\CurrentVersion\RunOnce]。
　　打开注册表编辑器，展开上述键值，从右侧的“wsttrs”发现病毒文件是C:\Windows\wsttrs.exe，删除它。打开毒霸升级杀毒，经扫描发现另一个病毒文件C:\indows\system32\wsttrs.dll，至此，病毒顺利消灭。
　　
　　经验总结
　　
　　进入系统后最先启动的就是桌面进程，所以越来越多的病毒就对它下手。大体有三种症状，可以依据下面的方法排查。
　　
　　1．桌面无法显示
　　比如本文的病毒，由于桌面是我们进行操作的基础，如果无法显示桌面，就可以使用任务管理器重建桌面。当然也可以通过任务管理器的“新任务”直接启动其他程序，比如可以在没有桌面情况下启动杀毒软件扫描。
　　
　　2．病毒和桌面一起启动
　　桌面是通过注册表[HKEYl_LOCAL_MACHINE\SOFTWARE\Mic\rOsOft\Windows NT\CurrentVersion\Winlogon]右侧的“shell”键值启动，默认为“explorer.exe”，如果出现类似“explorer.exe.a.exe”字样，则表明有病毒随桌面启动(病毒为C:\windows\a.exe)。可以按注册表文件路径提示删除病毒文件。
　　
　　3．病毒通过DLL文件插入桌面进程
　　很多木马通过DLL文件方式插入Explorer.exe进程达到自启动，对于这类病毒可以先使用任务管理器结束桌面进程，然后用任务管理器启动杀毒软件扫描系统并删除病毒。
　　系统组件升级或替换也可能导致桌面受损。比如安装某IE7破解版后，重启后出现“expIorer无法找到normaI.dll”的提示。这时候要到其他电脑或网上下载丢失的文件并复制到系统目录，或者进入安全模式将IE7卸载。