今天一开机，弹出了一个空白窗口，如下：

    打开注册表编辑器，查找 .hta。结果找到了 mshta.exe 文件。打开任务管理器，检查系统进程，发现确实存在 mshta.exe 文件。
    在这里我不妨多说一句，很多人碰到这种情况的时候，可能第一件事就是先把上面截图的窗口给关了。这样做不好，就好像被疯狗咬了一口，你非常生气，马上就把狗给宰了，并扔到垃圾堆里。你说你去医院打一针，这样做没错。但是，如果能把这狗也带上，通过对狗的诊断，不是更容易找出你身上可能的病毒吗？总比你盲目地打一针要更放心吧？所以，我的建议是，在关闭窗口前，先把任务管理器中的进程记录下来。当然，截个图是最方便了。关闭窗口后，再做一个比较，就很清楚是谁在搞鬼了。
    我把窗口一关，mshta.exe 进程便消失了，这更说明是 mshta.exe 搞鬼了。
    mshta.exe 文件是用来执行 .hta 文件的，但是在开机时出现是非常不正常的，因为 .hta 文件是类似于网页的一种应用程序。网页是用 IE 浏览器来打开的，而 .hta 文件呢？不妨将网页的后缀（也就是 .html 或者 .htm）修改为 .hta，然后打开看看。结果发现，其实就是网页的内容，只是从界面上看，就好像 .exe 之类的应用程序，这就是 mshta.exe 的功效。所以，mshta.exe 不是病毒，只是被流氓网站所利用。如果就这样把 mshta.exe 文件给删了，那 mshta.exe 死得也太冤了。
    相信很多人都有这样的经历，就是打开一个网页的时候，会连带出一串的网页来。不光如此，在桌面上、快速启动栏上、开始菜单中都会给你加料，这不是买一送一，这是清仓大处理啊！
    打开注册表编辑器，查找 mshta.exe。结果找到一处“mshta.exe D:\RECYCLERMD4\1c43e711e55e053ad5510a4e235102be.hta”，很明显，1c43e711e55e053ad5510a4e235102be.hta 就是流氓网站送来的礼物，而 D:\RECYCLERMD4 文件夹就是包装这个礼物用的。甭客气，删！
    1c43e711e55e053ad5510a4e235102be.hta 这个文件肯定是不存在的，否则不可能出现截图上的空白窗口。而 D:\RECYCLERMD4 文件夹或许还存在，如果存在的话，应该是隐藏文件夹。所以……等等。好家伙，文件夹选项不见了。
    开始→运行→输入 gpedit.msc →打开“组策略”窗口→用户配置→管理模板→ Windows 组件→ Windows 资源管理器，在右边的窗口中找到“从工具菜单删除文件夹选项菜单”这一项，双击或者右键→属性。上面显示的应该是“未配置”，其实默认的就是“未配置”。无所谓啦，勾选“已禁用”，点击“确定”。文件夹选项就出现了。当然啦，你要看得不爽，还可以再把它改成默认的“未配置”，结果都一样。
    显示所有文件和文件夹，结果 D:\RECYCLERMD4 这个文件夹居然也不存在。也好，大家省点事。
    重启机子。又弹出了一个对话框，竟给我找事做。

    回到 D 盘，还真有 D:\VolumeXX 这个文件夹。
    打开注册表，查找 VolumeXX，结果找到了“Explorer.exe D:\VolumeXX”。原来是跟着 explorer.exe 一起来的。保留 explorer.exe，把后面的“ D:\VolumeXX”删了。现在可以很放心地把 D:\VolumeXX 这个文件夹给删了。
    重启机子，OK，一切正常。
    总结一下，流氓网站通过 IE 浏览器，将垃圾网页通过 .hta 的应用程序格式扔给用户，桌面上、快速启动栏、开始菜单……，并在本地磁盘中建立两个隐藏的文件夹，一个文件夹 D:\RECYCLERMD4 用来存放 .hta 文件，另一个文件夹 D:\VolumeXX 存放的应该是一个 desktop.ini 文件。为了怕被用户发现，还把“文件夹选项”给隐藏了，真够贱的。通过 desktop.ini 文件可以激活 mshta.exe 文件，并让它来执行相关的 .hta 文件，这些行为都注入到注册表中，而 VolumeXX 文件夹更是通过 explorer.exe 进程带动。当 .hta 文件被删除时，mshta.exe 不会报错，只是显示空白窗口。当从注册表中去掉 mshta.exe 执行 .hta 文件的相关信息后，VolumeXX 就找不到程序来完成它的任务，于是便跳了出来。