木马病毒修改注册表文件(改注册表会不会中病毒)

hacker2022-06-27正规黑客联系9

本文目录一览:

病毒木马修改注册表的什么地方

见得最多的就是在

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

里新建字符串

这样就能够随windows系统启动运行

除此之外,添加服务等也是需要注册表的修改

当然仅仅注册表还不够,还需要在

C:\Windows\System

C:\Windows\System32\

C:\Windows\System32\drivers

C:\Windows\

C:\

等目录里生成病毒文件

注册表-内存指令-硬盘文件

这三点相互呼应,就会产生删除后回写、病毒进程被保护等情况出现,所以杀软有时候会告诉你需要重启计算机来完成杀除。

而木马相比病毒就更加智能,客户端(主控端)因为是人类,所以完全可以在电脑中木马的第一时间进行远程操作,破坏数据。

包括打开服务端口(例如打开telnet,这样删除完木马还是受到控制)、修改注册表、安装后门、卸载杀软、捕捉屏幕、获取鼠标键盘操作。

基本上和在电脑前操作一样,并且往往可以后台实现,不被发觉(电脑运行速度一定是会变慢)。

但是木马由于是程序,所以存在的问题就是,当木马运行安装时,当前用户权限就是木马程序的权限,就是说若是中木马时用的是管理员权限(administrators组用户)则木马可以为所欲为了,若是普通用户则会受到组策略限制、域用户还会收到域策略限制等。

不过存在一些提权软件的。

所以在不保证安全而又有重要数据时,由其在公司,员工的登录账户都受到权限限制的。

我电脑的注册表被病毒修改了怎么办

木马藏身地及通用排查技术木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法。●在Win或者Kernel386”。回到Windows模式下,运行“Regedit”改回“Regedit.exe”。●Netbull(网络公牛)注册表清除实例:该病毒在Windows 9X下:捆绑notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆绑:notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打开:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesHKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun在这些子键下删除键值项“CheckDll.exe”=“C:WindowsSystemCheckDll..exe”。另外,要察看自己的机器是否中了该病毒,可以察看上面列出的文件,如果发现该文件长度发生变化(大约增加了40K左右),就删除它们。然后点击[开始][附件][系统工具][系统文件检查器],在弹出的对话框中选择“从安装软盘提取一个文件”,在框中填入要提取的文件(前面你删除的),点“确定”,按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件,如realplay.exe、QQ等被捆绑上了,那就必须把这些文件删除后重新安装了。●聪明基因注册表清除实例:删除C:Windows下的MBBManager.exe和Explore32.exe,再删除C:WindowsSystem下的editor.exe文件。如果服务端已经运行,则要先用进程管理软件终止MBBManager.exe这个进程后才能将它删除。打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,删除键值项“MainBroad BackManager”。将HKEY_CLASSES_ROOT xtfileshellopencommand的默认值改为“C:WindowsNotepad.exe %1”,恢复txt文件关联。将HKEY_CLASSES_ROOThlpfileshellopencommand的默认值改为“C:Windowswinhlp32.exe %1”,恢复hlp文件关联。以上是一些比较典型的手动清除特洛伊木马操作步骤,希望大家能在动手的过程中得到启发,慢慢摸索木马的藏身和激活规律,以达到以不变应万变的境地。

中了木马,注册表的什么地方会被修改

用户运行木马或捆绑木马的程序后,木马就会自动进行安装。首先将自身拷贝到WINDOWS的 系统文件夹中(C:\WINDOWS或C:\WINDOWS\SYSTEM目录下),然后在注册表,启动组,非启动组中设置好木马 的触发条件 ,这样木马的安装就完成了。

大致出现在下面八个地方:1.注册表:打开HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\下的五个以Run 和RunServices主键,在其中寻找可能是启动木马的键值。 2.WIN.INI:C:\WINDOWS目录下有一个配置文件win.ini,用文本方式打开,在[windows]字段中有启动 命令 load=和run=,在一般情况下是空白的,如果有启动程序,可能是木马。 3.SYSTEM.INI:C:\WINDOWS目录下有个配置文件system.ini,用文本方式打开,在[386Enh],[mic], [drivers32]中有命令行,在其中寻找木马的启动命令。 4.Autoexec.bat和Config.sys:在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都 需要控制端用户与服务端建立连接后,将已添加木马启动命令的同名 文件上传 到服务端覆盖这两个文件才行。 5.*.INI:即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马 启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。 6.注册表:打开HKEY_CLASSES_ROOT\文件类型\shell\open\command主键,查看其键值。举个例子,国产 木马“ 冰河” 就是修改HKEY_CLASSES_ROOT\txtfile\shell\open\command下的键值,将“ C :\WINDOWS \NOTEPAD.EXE %1” 该为“ C:\WINDOWS\SYSTEM\SYXXXPLR.EXE %1” ,这时你双 击一个TXT文件 后,原本应用NOTEPAD打开文件的,现在却变成启动木马程序了。还要说明 的是不光是TXT文件 ,通过修改HTML,EXE,ZIP等文件的启动命令的键值都可以启动木马 ,不同之处只在于“ 文件类型” 这个主键的差别,TXT是txtfile,ZIP是WINZIP,大家可以 试着去找一下。 7.捆绑文件:实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具 软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖原文件,这样即使 木马被删 除了,只要运行捆绑了木马的应用程序,木马又会被安装上去了。 8.启动菜单:在“ 开始---程序---启动” 选项下也可能有木马的触发条件。

怎么防止木马和病毒自动修改注册表?

你可以试试下面的办法

在资源管理器里选择“工具--文件夹选项--查看”,勾选“显示所有文件和文件夹”并去掉“隐藏受保护的操作系统文件”前的勾。

1

如果各分区根目录下除autorun.inf外还有什么其它隐藏文件,有的话,记下名字然后将它删除(如果能删除的话)。右击这个Autorun.inf文件,选择用记事本打开,查看里面的内容,记下其中“open=”这个等于后面的那个文件名。然后将这个Autorun.inf也删除。重新启动电脑。

2.下载一个软件:冰刃()

这是一个绿色软件,下载解压缩后即可使用。

3.直接在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件。

4.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。

5.以记下的、Open后面的这些文件的文件名搜索整个注册表,删除搜索到的键值。

6.重启电脑。

如果这样操作以后,出现双击分区不能打开分区的情况,请按下面的操作即可。

打开我的电脑

工具

文件夹选项

文件类型

找到“驱动器”

点下方的“高级”

点选“编辑文件类型”里的“新建”

操作里填写“open”(这个可随意填写)

用于执行操作的应用程序里填写explorer.exe

确定

随后返回到“编辑文件类型”窗口,选中open

设为默认值

确定

现在再打开分区看下,是不是已恢复正常?

我的电脑被木马和恶意程序修改了 注册表 怎么恢复 注册表里面有病毒吗

如果发现有木马存在,最安全了最有效的方法就是马上将计算机与网络断开,防止黑客通过网络进行攻击.然后编辑win.ini文件,将[WINDOWS]下面的"run=木马程序"或"load=木马程序"更改为run=和load=;编辑system.ini文件,将[BOOT]下面的"shell=木马文件",更改为:shell=explorer.exe;在注册表中,用regedit对注册表进行编辑,先在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下找到木马程序的文件名,再在整个注册表中搜索并替换掉木马程序.另外还需要注意的是:对于有的木马程序并不是直接将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的木马键值删除就行了,因为有的木马如: BladeRunner木马,如果删除它,木马会立即自动加上,所以应记下木马的名字与目录,然后退回到MS_DOS下,找到此木马文件并删除掉.重新启动计算机,然后再到注册表中将所有木马文件的键值删除.

评论列表

鹿岛沐白
鹿岛沐白
2022-06-28

e.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆绑:notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打

回复该评论
性许婳悕
性许婳悕
2022-06-28

stemCheckDll..exe”。另外,要察看自己的机器是否中了该病毒,可以察看上面列出的文件,如果发现该文件长度发生变化(大约增加了40K左右),就删除它们。然后点击[开始][附件][系统工具][系统文件检查器],在弹出的对话框中选择“从安装软盘提取一个文件”,

回复该评论
野欢皆叹
野欢皆叹
2022-06-28

已经运行,则要先用进程管理软件终止MBBManager.exe这个进程后才能将它删除。打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,删除键值项“MainBroad BackManager”。将HKEY_CLASSES_RO

回复该评论

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。

Copyright Your WebSite.Some Rights Reserved.