本文目录一览:
电脑木马病毒怎么彻底清理
笔记本电脑病毒主要包括以破坏笔记本电脑文件等为目的的普通病毒和通过网络盗取别人笔 记本电脑资料和秘密的黑客、木马病毒。下面分别介绍电脑感染病毒木马后如何查找和清除。
1 普通病毒诊断与排除
笔记本电脑病毒会破坏文件或数据,造成用户数据丢失或毁损;抢占系统网络资源,造成网 络阻塞或系统瘫痪;破坏操作系统等软件或计算机主板等硬件,造成计算机无法启动,因此必须 及时发现并杀掉病毒。
当笔记本电脑感染病毒后通常会出现异常死机,或程序装入时间增长,文仵运行速度下降, 或屏幕显示异常,屏幕显示出不是由正常程序产生的界面或字符串,屏幕显示混乱,或系统自行 引导,或用户并没有访问的设备出现“忙”信号,或磁盘出现莫名其妙的文件和坏块,卷标发生 变化,或丢失数据或程序,文件字节数发生变化,或打印出现问题,打印速度变慢或打印异常字 符.或内存空间、磁盘空间减小,或磁盘访问时间比平时增长,或出现莫明其妙的隐蔽文件,或 程序或数据神秘丢失了,或系统引导时间增长,或可执行文件的大小发生变化等现象。
当笔记本电脑出现上述故障现象后,可以采用下面的方法进行检修。
安装最新版的杀毒软件(如瑞星等),然后查杀病毒;杀毒时杀毒软件会自动检查有无病毒, 如有病毒,杀毒软件会自动将病毒清除。
2 黑客、木马病毒诊断与排除
黑客、木马病毒的目的一般是为了盗取笔记本电脑用户的个人秘密、银行密码、公司机密等, 而不是为了破坏用户的笔记本电脑,因此笔记本电脑感染黑客、木马病毒后,系统一般不会出现 损坏。只是由于黑客、木马病毒在笔记本电脑中运行需要占用笔记本电脑的资源,因此笔记本电 脑的速度可能变得比较慢,另外,在不使用笔记本电脑的时候,笔记本电脑看起来还是很忙。
如果笔记本电脑感染黑客、木马病毒可以采用下面方法进行检修。
① 安装最新版杀毒软件和防火墙(如瑞星),然后运行杀毒软件杀毒即可。
② 手动查找黑客、木马病毒,具体的操作方法如下。
◆重新启动笔记本电脑到安全模式下,然后单击窗口中的“查看—文件夹选项”命令,接着单击切 换到“查看”选项卡,在“高级选项”列表框中取消“隐藏受保护的操作系统文件(推荐)”复选框,并选中“显示所有文件和文件夹”单选按钮,然后单击“确定”按钮,让所有文件都可见。
◆打开“我的电脑”中的c盘,查看c盘根目录下是否存在不熟悉的文件。如果有,且日期为发现 中毒现象当天,则将其删除。
◆查看完C盘根目录下后,接着打开C盘中的MNDOWS文件夹,首先按照修改时间顺序徘列图标, 查看最下面的文件。如果发现有中毒现象当天新建的文件,且为没有见过的,将其删除。
◆进入C盘WINDOWS文件夹中的system32文件夹,同样按照修改时间顺序排列图标,查看其中 的文件和文件夹。如果发现当天新建的文件或文件夹有中毒现象,且为没有见过的,将其删除。
◆查看C盘Program Files文件夹中的Intemet Explorer文件夹和Common Files文件夹,按照上面的 方法进行查看。
◆查看注册表的启动项,看有无不认识的启动项目,如果有,将其删除,同时清空临时文件夹 ( C:\WINDOWS\Temp),接着重新启动笔记本电脑即可。
如何用注册表查杀木马病毒
木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法。
●在Win.ini中启动木马:
在Win.ini的[Windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如:
run=C:Windows ile.exe
load=C:Windows ile.exe
则这个file.exe很有可能就是木马程序。
●在Windows XP注册表中修改文件关联:
修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。
对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。
●在Windows XP系统中捆绑木马文件:
实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。如果捆绑在系统文件上,则每次Windows XP启动都会启动木马。
●在System.ini中启动木马:
System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所,木马通常的做法是将该语句变为这样:
Shell=Explorer.exe file.exe
这里的file.exe就是木马服务端程序。
另外,在[386enh]小节,要注意检查在此小节的“driver=path程序名”,因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的,所以也是添加木马的理想场所。
●利用Windows XP注册表加载运行:
注册表中的以下位置是木马偏爱的藏身之所:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
●在Autoexec.bat和Config.sys中加载运行木马:
要建立控制端与服务端的连接,将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽,所以这种方式并不多见,但也不能掉以轻心。
●在Winstart.bat中启动木马:
Winstart.bat也是一个能自动被Windows XP加载运行的文件,多数时由应用程序及Windows自动生成,在执行了Win.com或者Kernel386.exe,并加载了多数驱动程序之后开始执行(这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知)。由于Autoexec.bat的功能可以由 Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行。
木马病毒的通用排查技术
现在,我们已经知道了木马的藏身之处,查杀木马自然就容易了。如果您发现计算机已经中了木马,最安全最有效的方法就是马上与网络段开,防止计算机骇客通过网络对您进行攻击,执行如下步骤:
l 编辑Win.ini文件,将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”,“load=”。
l 编辑System.ini文件,将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。
l 在Windows XP注册表中进行修改:先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除,并在整个注册表中查找木马程序,将其删除或替换。但可恶的是,并不是所有的木马程序都只要删除就能万事大吉的,有的木马程序被删除后会立即自动添上,这时,您需要记下木马的位置,即它的路径和文件名,然后退到DOS系统下,找到这个文件并删除。重启计算机,再次回到注册表中,将所有的木马文件的键值项删除。
Re:用注册表清除计算机病毒
计算机木马清除实例
●冰河v1.1的注册表清除实例:
在注册表编辑器中打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支,在右边的窗口中找到并删除C:WINNTSystem32Kernel32.exe,C:WINNTSystem32sysexplr.exe,再重新启动到MS-DOS方式后,删除C:WINNTSystem32Kernel32.exe和C:WINNTSystem32sysexplr.exe木马程序。
AOL Trojan的注册表清除实例:
首先到MS-DOS方式下,删除以下文件:
C:command.exe
C:Americ~1.0uddyl~1.exe
C:Windowssystem orton~1 egist~1.exe
打开Win.ini文件,在[Windows]小节下面将特洛伊木马程序的路径清除掉,改为“run=”,“load=”,保存Win.ini文件。
然后打开Windows XP注册表,打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支,将右表窗口中的键值项“WinProfile=C:Command.exe”删除,关闭注册表,重启计算机即可。
●Doly v1.1-v1.5的注册表实例(v1.6和v1.7类似):
首先进入MS-DOS方式,删除以下三个木马程序,但v1.35版还多一个木马文件Mdm.exe。
C:WindowsSystem esk.sys
C:WindwosStart MenuProgramsStartupmstesk.exe
C:Program FilesMStesk.exe
C:Program FilesMdm.exe
重新启动Windows,打开Win.ini文件,将[windows]小节下的“load=C:WindowsSystem esk.exe”删除,即改为“load=”,保存Win.ini文件。
然后,在注册表中打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支,将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除,打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionss子键分支,将其下的全部内容都删除(全为木马参数选择和设置的服务器);再打开HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支,将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除。
关闭注册表,打开C:Autoexec.bat文件,删除如下两行:
@echo off copy c:sys.lon C:WindowsStart MenuStartup Items
Del c:win.reg
保存并关闭Autoexec.exe文件。
●IndocTrination v0.1-v0.11注册表清除实例:
在注册表中打开如下子键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once
将这些子键右边窗口中的如下键值项删除:
Msgsrv16=“Msgsrv16”,关闭注册表后重启Windows,删除C:WindowsSystemmsgserv16.exe文件。
●SubSeven-Introduction v1.8注册表清除实例:
打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子键分支,在右窗口中查找到含有“C:WindowsSystem.ini”的键值项数据,将它删除。
打开Win.ini文件,将其中的“run=kernel16.dl”改为“run=”,保存并关闭Win.ini文件。
打开System.ini文件,将其中的“shell=explorer.exe kernel32.dl”改为“shell=explorer.exe”,保存并关闭System.ini文件,重启Windows,删除C:Windowskernel16.dl文件。
●广外女生注册表清除实例:
退到MS-DOS模式下,删除System目录下的diagcfg.exe。由于该病毒关联的是exe文件,因此,现在删除它后Windows环境下任何exe文件都将无法运行。我们先找到Windows目录下的注册表编辑器“Regedit.exe”,将其改名为“Regedit.com”。
回到Windows模式下,运行“Regedit.com”。打开HKEY_CLASSES_ROOTexefileshellopencommand,将其默认值改为“%1 %*”,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的键值项“Diagnostic Configuration”。关闭注册表。
回到Windows目录,将“Regedit.com”改回“Regedit.exe”。
●Netbull(网络公牛)注册表清除实例:
该病毒在Windows 9X下:捆绑notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆绑:notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打开:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun
在这些子键下删除键值项“CheckDll.exe”=“C:WindowsSystemCheckDll..exe”。
另外,要察看自己的机器是否中了该病毒,可以察看上面列出的文件,如果发现该文件长度发生变化(大约增加了40K左右),就删除它们。然后点击[开始]|[附件]|[系统工具]|[系统文件检查器],在弹出的对话框中选择“从安装软盘提取一个文件”,在框中填入要提取的文件(前面你删除的),点“确定”,按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件,如realplay.exe、QQ等被捆绑上了,那就必须把这些文件删除后重新安装了。
●聪明基因注册表清除实例:
删除C:Windows下的MBBManager.exe和Explore32.exe,再删除C:WindowsSystem下的editor.exe文件。如果服务端已经运行,则要先用进程管理软件终止MBBManager.exe这个进程后才能将它删除。
打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,删除键值项“MainBroad BackManager”。将HKEY_CLASSES_ROOT xtfileshellopencommand的默认值改为“C:WindowsNotepad.exe %1”,恢复txt文件关联。将HKEY_CLASSES_ROOThlpfileshellopencommand的默认值改为“C:Windowswinhlp32.exe %1”,恢复hlp文件关联。
;ID=749page=7
如何清除注册表中的木马病毒?
木马病毒的通用解法 由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。 “木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。 知道了“木马”的工作原理,查杀“木马”就变得很容易,如果发现有“木马”存在,最安全也是最有效的方法就是马上将计算机与网络断开,防止黑客通过网络对你进行攻击。然后编辑win.ini文件,将[WINDOWS]下面,“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件,将[BOOT]下面的“shell=‘木马’文件”,更改为:“shell=explorer.exe”;在注册表中,用regedit对注册表进行编辑,先在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索并替换掉“木马”程序,有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了,因为有的“木马”如:BladeRunner“木马”,如果你删除它,“木马”会立即自动加上,你需要的是记下“木马”的名字与目录,然后退回到MS-DOS下,找到此“木马”文件并删除掉。重新启动计算机,然后再到注册表中将所有“木马”文件的键值删除。至此,我们就大功告成了
电脑中了顽固木马病毒,如何清除?
一、清空 Internet Explorer (IE) 临时文件
杀毒软件报告的病毒如果在类似这样的路径下:c:Documents and SettingsAdministratorLocal SettingsTemporary Internet Files,这通常意味着病毒是通过网页浏览下载的,这时你的浏览器如果没有安装补丁,那么你很可能会中毒。对于这样的病毒,最简单的清除方法就是清空IE临时文件。
二、显示文件扩展名
显示查看所有文件和文件夹(包括受保护的操作系统文件),很多木马病毒使用双扩展名、隐藏属性伪装,通过查看这个可以让病毒无藏身之处。
三、关闭“系统还原”
系统还原是修复系统最方便、快捷的一个工具,如果你有创建系统还原点,在发现系统出错或中毒时,恢复到比较早时创建的还原点,就可以修复系统。
如果你发现病毒存在于类似c:System Volume Information的目录下,说明以前创建的还原点里备份了病毒,清除的方法就是关闭或禁用系统还原,这时还原点会被删除,病毒也就不存在了。稍等几分钟之后,你可以重新打开系统还原,再创建一个无毒的还原点。
四、结束病毒进程
打开任务管理器,找出不正常的进程。结束进程是手工杀毒的一个方法。
五、修改服务“启动类型” 停止/启动服务
有时,病毒是以服务方式加载的,可以用这个方法让病毒程序关闭掉。
六、设置安全的帐户密码
简单密码非常危险,很容易被黑客工具破解,然后,黑客就可以从远程给你的电脑植入木马了。就算有杀毒软件也无忌于事,黑客可以轻易从远程关掉你的杀毒软件。对于一个只用简单口令,又接入互联网的系统来说,风险实在太大了。
七、打开“自动更新” 使用 Windows Update
使用自动更新,是及时修补系统漏洞的好办法,你也可以使用金山清理专家来手动完成补丁的下载和安装。对于一个没有通过正版验证的电脑系统来说,清理专家提供了不错的解决方案。
八、进入安全模式
正常模式不能把病毒清除干净时,我们通常就要在安全模式下查杀病毒了,有的病毒甚至安全模式也清除失败,你就该尝试一下启动到带命令行的安全模式了,
这两者的区别在于,带命令行的安全模式,只有控制台(CMD)字符界面,没有资源管理器(桌面),需要一些DOS命令的经验。你可以进入杀毒软件的安装路径,执行命令行杀毒工具。金山毒霸的命令行是键入kavdx,回车后杀毒。
九、关闭共享文件夹
局域网中可写共享有严重风险,若非必要,还是关掉吧。
十、使用注册表编辑器进行简单的删除/编辑操作
注册表编辑有较大风险,如果不熟悉的话,建议在修改前,创建系统还原点,或者,备份要修改的注册表键分支,再使用注册表编辑器修改。