在Windows98裡發現到的木馬程式natal!.pif

在幫客戶的一台灌98的筆記型電腦檢查時，在登錄檔中發現到一個可疑的鍵值「名稱」叫做「4wd!!!」，值裡的「資料」為「”C:\WINDOWS\Natal!.pif“」。清除的步驟如下：

1). 開啟電腦後，在看到98的畫面時，一直按下「F8」，然後你會看到「Microsoft Windows 98 Starup Menu」，請你選擇「5. Command prompt only」這個項目，進入到DOS中。進入到DOS中，我們有兩項任務，第一個就是要去殺掉「natal!.pif」的檔案，另一個任務就是去修改「win.ini」檔案的資料。

2). 刪除「natal!.pif」的值，請直接輸入指令「del c:\windows\natal!.pif」，再按「Enter鍵」就可以將natal!移除。

3). 要修改c:\win.ini的資料，你可以輸入指令「edit c:\windows\win.ini」，來使用「MS-DOS Editor」來編輯Windows98的開機設定檔「win.ini」。開啟這個檔案後，你在前幾行的時候，你會看到有一行「run=c:\windows\natal!.pif」。

接著使用「方向鍵」及「Delete鍵」將「c:\windows\natal!.pif」這幾個字刪除，修改後像這樣「run=」，只剩下前面的run和等於就好了。，再按「Alt + F」開啟功能表，接著選擇「Save」來儲存檔案，最後按「Alt + X」來離開「MS-DOS Editor」程式。再按下「Ctrl + Alt +Delete」來重新將電腦重新開機。

要是你覺得第三個步驟很復雜，你可以在第二個步驟完成後，直接按「Ctrl + Alt +Delete」來重新將電腦重新開機，你可以使用Windows的記事本來修改在「C磁碟」「Windows」資料夾裡的「win.ini」檔案。

4). 進入到Windows98後，若是你還沒有在DOS中修改好「Win.ini」，請先開啟「記事本」程式，然後去修改「C:\windows\win.ini」這個檔案。

5.) 使用regedit，然後移除登錄表
「 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run」中，鍵值「名稱」叫做「4wd!!!」，
而「資料」為「”C:\WINDOWS\Natal!.pif“」的項目，最後再重新開機，解毒流程就完成了。