怎么在注册表清除木马病毒(怎样清除病毒木马)
本文目录一览:
电脑中病毒,手动怎样删除注册表中的病毒
如果非要用手工杀毒的话:
1.进安全模式删除病毒文件(不能删除的下载Unlocker
删除)
2.删除有关病毒的启动项
3.删除有关病毒的注册表信息---运行regedit,按F3,输入病毒文件名
手工杀毒比较麻烦,而且风险较大(相对初学者而言),建议还是用杀毒软件查杀,当然,如果是想了解一下手工杀毒或想自己尝试则另说.毕竟多了解系统总是好事,大不了重装.
如何用注册表查杀木马病毒
木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法。
●在Win.ini中启动木马:
在Win.ini的[Windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如:
run=C:Windows ile.exe
load=C:Windows ile.exe
则这个file.exe很有可能就是木马程序。
●在Windows XP注册表中修改文件关联:
修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。
对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。
●在Windows XP系统中捆绑木马文件:
实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。如果捆绑在系统文件上,则每次Windows XP启动都会启动木马。
●在System.ini中启动木马:
System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所,木马通常的做法是将该语句变为这样:
Shell=Explorer.exe file.exe
这里的file.exe就是木马服务端程序。
另外,在[386enh]小节,要注意检查在此小节的“driver=path程序名”,因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的,所以也是添加木马的理想场所。
●利用Windows XP注册表加载运行:
注册表中的以下位置是木马偏爱的藏身之所:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
●在Autoexec.bat和Config.sys中加载运行木马:
要建立控制端与服务端的连接,将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽,所以这种方式并不多见,但也不能掉以轻心。
●在Winstart.bat中启动木马:
Winstart.bat也是一个能自动被Windows XP加载运行的文件,多数时由应用程序及Windows自动生成,在执行了Win.com或者Kernel386.exe,并加载了多数驱动程序之后开始执行(这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知)。由于Autoexec.bat的功能可以由 Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行。
木马病毒的通用排查技术
现在,我们已经知道了木马的藏身之处,查杀木马自然就容易了。如果您发现计算机已经中了木马,最安全最有效的方法就是马上与网络段开,防止计算机骇客通过网络对您进行攻击,执行如下步骤:
l 编辑Win.ini文件,将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”,“load=”。
l 编辑System.ini文件,将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。
l 在Windows XP注册表中进行修改:先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除,并在整个注册表中查找木马程序,将其删除或替换。但可恶的是,并不是所有的木马程序都只要删除就能万事大吉的,有的木马程序被删除后会立即自动添上,这时,您需要记下木马的位置,即它的路径和文件名,然后退到DOS系统下,找到这个文件并删除。重启计算机,再次回到注册表中,将所有的木马文件的键值项删除。
Re:用注册表清除计算机病毒
计算机木马清除实例
●冰河v1.1的注册表清除实例:
在注册表编辑器中打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支,在右边的窗口中找到并删除C:WINNTSystem32Kernel32.exe,C:WINNTSystem32sysexplr.exe,再重新启动到MS-DOS方式后,删除C:WINNTSystem32Kernel32.exe和C:WINNTSystem32sysexplr.exe木马程序。
AOL Trojan的注册表清除实例:
首先到MS-DOS方式下,删除以下文件:
C:command.exe
C:Americ~1.0uddyl~1.exe
C:Windowssystem orton~1 egist~1.exe
打开Win.ini文件,在[Windows]小节下面将特洛伊木马程序的路径清除掉,改为“run=”,“load=”,保存Win.ini文件。
然后打开Windows XP注册表,打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支,将右表窗口中的键值项“WinProfile=C:Command.exe”删除,关闭注册表,重启计算机即可。
●Doly v1.1-v1.5的注册表实例(v1.6和v1.7类似):
首先进入MS-DOS方式,删除以下三个木马程序,但v1.35版还多一个木马文件Mdm.exe。
C:WindowsSystem esk.sys
C:WindwosStart MenuProgramsStartupmstesk.exe
C:Program FilesMStesk.exe
C:Program FilesMdm.exe
重新启动Windows,打开Win.ini文件,将[windows]小节下的“load=C:WindowsSystem esk.exe”删除,即改为“load=”,保存Win.ini文件。
然后,在注册表中打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支,将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除,打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionss子键分支,将其下的全部内容都删除(全为木马参数选择和设置的服务器);再打开HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支,将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除。
关闭注册表,打开C:Autoexec.bat文件,删除如下两行:
@echo off copy c:sys.lon C:WindowsStart MenuStartup Items
Del c:win.reg
保存并关闭Autoexec.exe文件。
●IndocTrination v0.1-v0.11注册表清除实例:
在注册表中打开如下子键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once
将这些子键右边窗口中的如下键值项删除:
Msgsrv16=“Msgsrv16”,关闭注册表后重启Windows,删除C:WindowsSystemmsgserv16.exe文件。
●SubSeven-Introduction v1.8注册表清除实例:
打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子键分支,在右窗口中查找到含有“C:WindowsSystem.ini”的键值项数据,将它删除。
打开Win.ini文件,将其中的“run=kernel16.dl”改为“run=”,保存并关闭Win.ini文件。
打开System.ini文件,将其中的“shell=explorer.exe kernel32.dl”改为“shell=explorer.exe”,保存并关闭System.ini文件,重启Windows,删除C:Windowskernel16.dl文件。
●广外女生注册表清除实例:
退到MS-DOS模式下,删除System目录下的diagcfg.exe。由于该病毒关联的是exe文件,因此,现在删除它后Windows环境下任何exe文件都将无法运行。我们先找到Windows目录下的注册表编辑器“Regedit.exe”,将其改名为“Regedit.com”。
回到Windows模式下,运行“Regedit.com”。打开HKEY_CLASSES_ROOTexefileshellopencommand,将其默认值改为“%1 %*”,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的键值项“Diagnostic Configuration”。关闭注册表。
回到Windows目录,将“Regedit.com”改回“Regedit.exe”。
●Netbull(网络公牛)注册表清除实例:
该病毒在Windows 9X下:捆绑notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆绑:notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打开:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun
在这些子键下删除键值项“CheckDll.exe”=“C:WindowsSystemCheckDll..exe”。
另外,要察看自己的机器是否中了该病毒,可以察看上面列出的文件,如果发现该文件长度发生变化(大约增加了40K左右),就删除它们。然后点击[开始]|[附件]|[系统工具]|[系统文件检查器],在弹出的对话框中选择“从安装软盘提取一个文件”,在框中填入要提取的文件(前面你删除的),点“确定”,按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件,如realplay.exe、QQ等被捆绑上了,那就必须把这些文件删除后重新安装了。
●聪明基因注册表清除实例:
删除C:Windows下的MBBManager.exe和Explore32.exe,再删除C:WindowsSystem下的editor.exe文件。如果服务端已经运行,则要先用进程管理软件终止MBBManager.exe这个进程后才能将它删除。
打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,删除键值项“MainBroad BackManager”。将HKEY_CLASSES_ROOT xtfileshellopencommand的默认值改为“C:WindowsNotepad.exe %1”,恢复txt文件关联。将HKEY_CLASSES_ROOThlpfileshellopencommand的默认值改为“C:Windowswinhlp32.exe %1”,恢复hlp文件关联。
;ID=749page=7
电脑中木马病毒怎么办?
电脑中了木马病毒,从以下几点解决
方案一:使用一键还原系统。右键点击开始【所有程序】,点击一键还原精灵装机版,开始一键还原系统。
方案二:注册表杀毒。右击任务栏选择【任务管理器】,CPU运行达到百分百就是被感染,找到相对应的文件记录下来。点击运行输入regedit,点击确认进入注册表编辑模式,找到对应记录的软件名称并删除。
方案三:手动杀毒。点击IE属性栏,找到删除键,清理IE临时文件;点击开始关闭计算机,点击重启然后进入安全模式;找到HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*并检查不明启动项目并删除。
方案四:使用360或其他杀毒软件进行查杀病毒。
全面清理电脑病毒的方法
由于病毒、木马很多时候都是以窃取用户个人资料为目的,因此在进行了全面杀毒操作之后,必须将一些重要的个人资料,例如QQ、Email账户密码等重新设置。下面是我收集整理的全面清理电脑病毒的方法,欢迎阅读。
全面清理电脑病毒的方法一
一、不要重启
一般来说,当你发现有异常进程、不明程序运行,或者计算机运行速度明显变慢,甚至IE经常询问是否运行某些ActiveX控件、调试脚本等。那么这时候表示此时你可能已经中毒了。
而很多人感觉中毒后,认为首先要做的第一件事就是重新启动计算机。其实这种做法是极其错误的。当电脑中毒后,如果重新启动,那么极有可能造成更大的损失。
二、立急断开网络
由于病毒发作后,不仅让计算机变慢,而且也会破坏硬盘上的数据,同时还可能向外发送你的个人信息、病毒等,使危害进一步扩大。对此,发现中毒后,首先要做的就是断开网络。
断开网络的方法比较多,最简单的办法就是跑到电脑后面拨下网线,这也是最干脆的办法。不过在实际的应用中,我们并不需要这样麻烦,毕竟跑到电脑后面还是比较烦神的。如果安装了防火墙,可以在防火墙中直接断开网络,如果没有防火墙,那么可以右击“网上邻居”图标,在弹出的菜单中选择“属性”,在打开的窗口中右击“本地连接”,将其设为“禁用”即可。如果是拨号用户,那么只需要断开拨号连接或者关闭Moden设备即可。
三、备份重要文件
中毒后是不是应该立即进行杀毒,笔者个人认为如果电脑中没有重要的文件,那么怎么操作都无所谓,至多我把硬盘全盘格式化重新安装。但是如果电脑中保存有重要的数据、邮件、文档,那么应该在断开网络后立即将其备份到其它设备上,例如移动硬盘、光盘等。尽管要备份的这些文件可能包含病毒,但这要比杀毒软件在查毒时将其删除要好的多。
更何况病毒发作后,很有可能就进不了系统,因此中毒后及时备份重要文件是减轻损失最重要的做法之一。
四、全面杀毒
在没有了后顾之忧的时候,我们就可以进行病毒的查杀了。查杀应该包括两部分,一是在Windows系统下进行全面杀毒,二是在DOS下进行杀毒。目前,主流的杀毒软件一般都能直接制作DOS下的杀毒盘。
在杀毒时,建议用户先对杀毒软件进行必要的设置。例如扫描压缩包中的文件、扫描电子邮件等,同时对包含病毒的文件处理方式,例如可以将其设为“清除病毒”或“隔离”,而不是直接“删除文件”,这样做的目的是防止将重要的文件因为误操作而被删除。
五、更改重要资料设定
由于病毒、木马很多时候都是以窃取用户个人资料为目的,因此在进行了全面杀毒操作之后,必须将一些重要的个人资料,例如QQ、Email账户密码等重新设置。尤其是查杀出后发现是木马程序的,尤其需要进行这项工作。
六、检查网上邻居
如果是局域网用户,在处理了自己电脑的病毒之后,还要检查一下网络上其它计算机是否同样被感染了病毒。因为很多病毒发作后是会向网络中其它电脑发起攻击的。自己的电脑中了病毒,极可能会传染给网络上的其它计算机。如果不及时将其清理,那么极有可能会再反向传染。
检查的方法除了在每台电脑上进行全面的病毒清除,还可以安装金山网镖这类病毒防火墙,如果网络上有其它电脑中了病毒,那么病毒防火墙就会不停的'阻拦攻击,我们只需要打开其拦截的日志,即可得知哪一个IP地址发出的病毒数据库,根据IP地址再找出该台电脑,并按上述的方法进行处理。
全面清理电脑病毒的方法二
1、首先,在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。当成系统服务启动的病毒程序,会在Hkey_Local_Machine\System\ControlSet001\services和controlset002\services里藏身,找到之后对其全部清除。
2、应该停止有问题的服务,改自动为禁止,这样更利于后面的操作。
3、如果文件system32\drivers\etc\hosts被篡改,恢复它,即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读,直截了当。
4、重启电脑,摁F8进“带网络的安全模式”。这一步是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
5、搜索病毒的执行文件,手动消灭之。
6、对Windows升级打补丁和对杀毒软件升级。
7、关闭不必要的系统服务,如remoteregistryservice。
8、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。
9、上面这些步骤完成之后,重新启动计算机,即将完成所有操作。
全面清理电脑病毒的方法三
1、点开始--运行,输入"CMD",最好是带NTFS格式支持的
2、转到病毒文件所在的分区,并用CD命令进入病毒文件所在的目录,如:
c: 回车进入C盘
cd windows\system32 回车进入system32文件夹
3、去除病毒文件的隐藏和只读属性(如果没有可略去),如病毒文件名为bfdarx.exe,则:
attrib -s -h bfdarx.exe
4、删除病毒文件:
怎么彻底清除电脑病毒
有些病毒非常的顽固,在删除后等你重启电脑,它又来了,下面就让我教大家彻底清除电脑病毒吧。
彻底清除电脑病毒的 方法
一、清空 Internet Explorer (IE) 临时文件
杀毒软件 报告 的病毒如果在类似这样的路径下:c:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files/,这通常意味着病毒是通过网页浏览下载的,这时你的浏览器如果没有安装补丁,那么你很可能会中毒。对于这样的病毒,最简单的清除方法就是清空IE临时文件。
显示查看所有文件和文件夹(包括受保护的 操作系统 文件),很多木马病毒使用双扩展名、隐藏属性伪装,通过查看这个可以让病毒无藏身之处。 三、关闭“系统还原” 系统还原是修复系统最方便、快捷的一个工具,如果你有创建系统还原点,在发现系统出错或中毒时,恢复到比较早时创建的还原点,就可以修复系统。%20 如果你发现病毒存在于类似c:/System Volume Information/的目录下,说明以前创建的还原点里备份了病毒,清除的方法就是关闭或禁用系统还原,这时还原点会被删除,病毒也就不存在了。稍等几分钟之后,你可以重新打开系统还原,再创建一个无毒的还原点。%20
四、结束病毒进程
打开任务管理器,找出不正常的进程。结束进程是手工杀毒的一个方法。
五、修改服务“启动类型” 停止/启动服务
有时,病毒是以服务方式加载的,可以用这个方法让病毒程序关闭掉。 六、设置安全的帐户密码
简单密码非常危险,很容易被黑客工具解除,然后,黑客就可以从远程给你的
七、打开“自动更新” 使用 Windows Update
使用自动更新,是及时修补系统漏洞的好办法,你也可以使用金山清理专家来手动完成补丁的下载和安装。对于一个没有通过正版验证的电脑系统来说,清理专家提供了不错的解决方案。
八、进入安全模式
正常模式不能把病毒清除干净时,我们通常就要在安全模式下查杀病毒了,有的病毒甚至安全模式也清除失败,你就该尝试一下启动到带命令行的安全模式了,
这两者的区别在于,带命令行的安全模式,只有控制台(CMD)字符界面,没有资源管理器(桌面),需要一些DOS命令的 经验 。你可以进入杀毒软件的安装路径,执行命令行杀毒工具。金山毒霸的命令行是键入kavdx,回车后杀毒。
九、关闭共享文件夹
局域网中可写共享有严重风险,若非必要,还是关掉吧。
十、使用注册表编辑器进行简单的删除/编辑操作
注册表编辑有较大风险,如果不熟悉的话,建议在修改前,创建系统还原点,或者,备份要修改的注册表键分支,再使用注册表编辑器修改。
怎么彻底清除电脑病毒相关 文章 :
1. 怎样彻底清除电脑病毒
2. 怎样彻底删除电脑病毒
3. 如何彻底清除顽固电脑病毒
4. 电脑病毒彻底清理的方法
5. 怎么清除电脑中的木马
6. 怎样彻底杀死电脑病毒
