我在电脑C盘发现一个金指环的东西,署名WN.EXE。上网查了一下发现是木马病毒,怎么删除
于exe打开方式被木马或病毒修改,无法打开任何可执行文件的解决办法。
方案一:
先将regedit.exe改名为regedit.com或regedit.scr。
运行regedit.com,找到HKEY_CLASSES_ROOT\exefile\shell\open\command键值,将默认值改为"%1" %*
重启,再将regedit.com改回regedit.exe即可。
方案二:
将下面的内容存为exefile.reg,双击导入注册表;或在纯dos下运行regedit exefile.reg,导入注册表即可。(注意:REGEDIT4后面留一空行)
REGEDIT4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
方案二(只适用于Win2000/XP):
1、将cmd.exe改名为cmd.com或cmd.scr。
2、运行cmd.com
3、运行下面两个命令:
ftype exefile="%1" %*
assoc .exe=exefile
4、将cmd.com改回cmd.exe
电脑中了木马怎么办
中了病毒.
先看看C盘有没什么非常要紧的文件,有的话备份它们.
然后格式化C盘+Ghost覆盖(此病毒已经更改了你的正常的注册表,杀毒软件绝对是杀不干净的,所以删了还有,而杀毒软件不会智能到帮你把正常的却遭到感染的注册表改回来,他们只会删病毒文件或者病毒生成的注册表,而自己手动处理的话楼主似乎无法做到,要干净杀毒,只能这样)绝对干净完美的解决.以后小心不要再中了,病毒重在防御
如何防病毒木马,求实并不难.首先用Ghost备份一个没有病毒的系统,它是你最后的杀手锏.
装好一款杀毒软件,比如卡巴,诺顿,还有防火墙.如果还不放心,装上ewido(现在已改名叫AVG),它在杀木马黑软方面超级牛B,而且和卡巴,诺顿一起使用不冲突.开好你的Windows自动更新,即使安装更新(很多病毒都是根据Windows漏洞进来).然后查看进程,发现有conime.exe的话(它是一个windows的自带文字程序,本身不是病毒,但是很多病毒容易通过它进来,安全级别建议删除),删掉它,具体方法:
彻底删除禁止conime.exe启动运行方法
第一步首先结速conime.exe进程,然后在system32中找到conime.exe将其删除。
第二步修改注册表找到:"HKEY_CURRENT_USER\Console"中的"LoadConIme"修改为"0"即可
前面的都做好后,下来就是自己了,首先,每次开电脑,先打开"任务管理器",观察里面的进程(你可以去学习Windows有哪些一般会在任务管理器里出现的正常进程)如果发现可疑进程,自己不能判断,迅速上网查询,看看是不是病毒进程.平时注意检查Windows启动项,发现可疑处迅速搞定.然后平时使用电脑中,如果发现电脑很卡,应该马上查看进程,看看是哪个进程占系统资源大,是否可疑,或者多了哪些进程,判断自己是头\否中了病毒(如果你是玩网络游戏怕盗号,这些都要做好,并且输入帐号密码用复制+粘贴).这样养成习惯,就可以很容易的第一时间发现病毒,避免或者减少损失.
如果最后真中了杀毒软件无法解决的病毒(其实杀毒软件杀毒时候只是一些简单的删除病毒程序,病毒注册表能操作,大部分时候无法杀干净).可以上网查找这些病毒的手动删除方法或者下载专杀工具,如果还是解决不了,你不是准备了系统备份么,病毒一般感染C盘,把C盘格式化了备份,这样只感染C盘的病毒绝对死的干干净净.我可以很负责的告诉你,格式化后,被格式的盘上的所有文件都没了,包括病毒.当然,如果有些病毒什么盘都感染,比如金威病毒,那么只格式化一个盘是没什么用的,全盘格虽然可以搞定,但是牺牲太大,那么就很难办了,对这种病毒重在预防,中了的话,网上找方法,下载专杀,或者找专家.
用格式化C盘+Ghost覆盖,仅要短短5分钟,干净利落的杀死99%的病毒.当然,要用这招,保证你的系统盘里只有系统,没有什么重要文件,那么就可以放心大胆的格式化了,这招对付几乎所有的只感染C盘的病毒,几乎无敌,不管它多厉害,只要它只在C盘,绝对挂的干干净净.(99%的病毒都只感染C盘),然而,怎么备份系统也是有学问的(Ghost在DOS下使用),如果系统用Ghost覆盖回去后,你还要装常用软件什么的,是不是很麻烦.那么你可以重做系统后,装好各种常用软件,升级好各种杀毒软件到最新,然后让Windows更新到最新,再备份,怎么样,以后格式化+Ghost,5分钟干净搞定病毒同时,你还拥有一个全部完成好的Windows系统,即使杀毒软件要升级,由于你的备份已经是更新了一定程度的杀毒软件了,升级也很快完成.
作到以上那些,一般你就不用怕什么病毒木马了.至少,和别人比起来,你被病毒木马侵害的可能性是很小的
怎么杀c盘注册表里面的毒?
这个就要看你的是什么病毒了,现在教你一个我们常用的一种方法。
现在流行的一些病毒都有修改注册表的功能,以确保病毒的dll文件的释放和运行。
你可以利用第三方杀软进行木马病毒扫描。查找究竟是什么病毒,
然后就是你可以在网络上找该病毒的注册表阻止该病毒的新注册键。方法是:
点开始
运行
输入:regedit
即可以打开注册表
你嫌麻烦的话可以加我好友:我帮你修复注册表。
为什么c盘的木马删不了
首先要将网路断开,以排除来自网路的影响,再选择相应的方法来删除它。
1、由木马的用户端程式
由先前在win.ini、system.ini和注册表中查找到的可疑档案名判断木马的名字和版本。比如「netbus」、「netspy」等,很显然对应的木马就是
NETBUS
和
NETSPY。从网上找到其相应的用户端程式,下载并运行该程式,在客户程式对应位置填入本地电脑位址:127.0.0.1和埠号,就可以与木马程式建立连接。再由用户端的卸除木马伺服器的功能来卸除木马。埠号可由「netstat
-a」命令查出来。
这是最容易,相对来说也比较彻底载除木马的方法。不过也存在一些弊端,如果木马档案名给另外改了名字,就无法通过这些特征来判断到底是什么木马。如果木马被设置了密码,既使用户端程式可以连接的上,没有密码也登陆不进本地电脑。当然要是你知道该木马的通用密码,那就另当别论了。
还有,要是该木马的用户端程式没有提供卸载木马的功能,那么该方法就没什么用了。当然,现在多数木马用户端程式都是有这个功能的。
2、手工
不知道中的是什么木马、无登陆的密码、找不到其相应的用户端程式、......,那我们就手工慢慢来删除这该死的木马吧。
用msconfig打开系统配置实用程式,对win.ini、system.ini和启动项目进行编辑。遮罩掉非法启动项。如在win.ini文件中,将将[WINDOWS]下面的「run=xxx」或「load=xxx」更改为「run=」和「load=」;编辑system.ini文件,将[BOOT]下面的「shell=xxx」,更改为:「shell=Explorer.exe」。
用regedit打开注册表编辑器,对注册表进行编辑。先由上面的方法找到木马的程式名,再在整个注册表中搜索,并删除所有木马项目。由查找到的木马程式注册项,分析木马档在硬碟中的位置(多在C:WINDOWS和C:WINDOWSCOMMAND目录下)。启动到纯MS-DOS状态(而不是在
Windows环境中开个MS-DOS视窗),用del命令将木马档删除。
如果木马档是系统、隐藏或唯读档案,还得通过「attrib
-s
-h
-r」将对应档的属性改变,才可以删除。
为保险起见,重新启动以后再由上面各种检测木马的方法对系统进行检查,以确保木马的确被删除了。
目前也有一些木马是将自身的程式与Windows的系统程式进行了绑定(也就是感染了现金王娱乐城系统档)。比如常用到的Explorer.exe,只要
Explorer.exe一得到运行,木马也就启动了。这种木马可以感染可执行档,那就更像病毒了。由手工删除档的方法处理木马后,一运行
Explorer.exe,木马又得以复生!这时要删除木马就得连Explorer.exe档也给删除掉,再从别人相同作业系统版本的电脑中将该档
Copy过来就可以了。
我的电脑中了木马病毒
木马小常识
特洛伊木马(以下简称木马),英文叫做“Trojan house”,其名称取自希腊神话的特洛伊木马记,它是一种基于远程控制的黑客工具。在黑客进行的各种攻击行为中,木马都起到了开路先锋的作用。
一、木马的危害
相信木马对于众多网民来说不算陌生。它是一种远程控制工具,以简便、易行、有效而深受广大黑客青睐。一台电脑一旦中上木马,它就变成了一台傀儡机,对方可以在你的电脑上上传下载文件,偷窥你的私人文件,偷取你的各种密码及口令信息……中了木马你的一切秘密都将暴露在别人面前,隐私?不复存在!
木马在黑客入侵中也是一种不可缺少的工具。就在去年的10月28日,一个黑客入侵了美国微软的门户网站,而网站的一些内部信息则是被一种叫做QAZ的木马传出去的。就是这小小的QAZ让庞大的微软丢尽了颜面!
广大网民比较熟悉的木马当数国产软件冰河了。冰河是由黄鑫开发的免费软件,冰河面世后,以它简单的操作方法和强大的控制能力令人胆寒,可以说是达到了谈“冰”色变的地步。
二、木马原理
特洛伊木马属于客户/服务模式。它分为两大部分,即客户端和服务端。其原理是一台主机提供服务(服务器),另一台主机接受服务(客户机),作为服务器的主机一般会打开一个默认的端口进行监听。如果有客户机向服务器的这一端口提出连接请求,服务器上的相应程序就会自动运行,来应答客户机的请求。这个程序被称为守护进程。以大名鼎鼎的木马冰河为例,被控制端可视为一台服务器,控制端则是一台客户机,服务端程序G_Server.exe是守护进程,G_Client.exe是客户端应用程序。
为进一步了解木马,我们来看看它们的隐藏方式,木马隐藏方法主要有以下几种:
1.)在任务栏里隐藏
这是最基本的。如果在windows的任务来历出现一个莫名其妙的图标,傻子都会明白怎么回事。在VB中,只要把form的Viseble属性设置为False,ShowInTaskBar设为False程序就不会出现在任务栏里了。
2.)在任务管理器里隐藏
查看正在运行的进程最简单的方法就是按下ctrl+alt+del时出现的任务管理器。如果你按下ctrl+alt+del后可以看见一个木马程序在运行,那么这肯定不是什么好的木马。所以,木马千方百计的伪装自己,使自己不出现在任务管理器里。木马发现把自己设为“系统服务”就可以轻松的骗过去。因此希望通过按ctrl+alt+del发现木马是不大现实的。
3.)端口
一台机器由65536个端口,你会注意这么多端口么?而木马就很注意你的端口。如果你稍微留意一下,不难发现,大多数木马使用的端口在1024以上,而且呈越来越大的趋势。当然也有占用1024以下端口的木马。但这些端口是常用端口,占用这些端口可能会造成系统不正常。这样的话,木马就会很容易暴露。也许你知道一些木马占用的端口,你或许会经常扫描这些端口,但现在的木马都提供端口修改功能,你有时间扫描65536个端口么?
4.)木马的加载方式隐蔽
木马加载的方式可以说千奇百怪,无奇不有。但殊途同归,都为了达到一个共同的目的,那就是使你运行木马的服务端程序。如果木马不加任何伪装。就告诉你这是木马,你会运行它才怪呢。而随着网站互动化进程的不断进步,越来越多的东西可以成为木马的传播介质,JavaScript、VBScript、ActiveX、XLM……..几乎www每一个新功能都会导致木马的快速进化。
5.)木马的命名
木马服务端程序的命名也有很大的学问。如果你不做任何修改的话,就使用原来的名字。谁不知道这是个木马程序呢?所以木马的命名也是千奇百怪。不过大多是改为和系统文件名差不多的名字,如果你对系统文件不够了解,那可就危险了。例如有的木马把名字改为window.exe,如果不告诉你这是木马的话,你敢删除么?还有的就是更改一些后缀名,比如把dll改为dl等,你不仔细看的话,你会发现么?
6.)最新隐身技术
目前,除了以上所常用的隐身技术,又出现了一种更新、更隐蔽的方法。那就是修改虚拟设备驱动程序(vxd)或修改动态连接库(DLL)。这种方法与一般方法不同,它基本上摆脱了原有的木马模式—监听端口,而采用替代系统功能的方法(改写vxd或DLL文件),木马会将修改后的DLL替换系统已知的DLL,并对所有的函数调用进行过滤。对于常用的调用,使用函数转发器直接转发给被替换的系统DLL,对于一些事先约定好的特种情况,DLL会执行一些相应的操作。实际上这样的木马多只是使用DLL进行监听,一旦发现控制端的连接请求就激活自身,绑在一个进程上进行正常的木马操作。这样做的好处是没有增加新的文件,不需要打开新的端口,没有新的进程,使用常规的方法监测不到它,在正常运行时木马几乎没有任何症状,而一旦木马的控制端向被控制端发出特定的信息后,隐藏的程序就立即开始运作。
三、木马防范工具
防范木马可以使用防火墙软件和各种反黑软件,用它们筑起网上的马其诺防线,上网会安全许多。
网上防火墙软件很多,推荐使用“天网防火墙个人版”。它是一款完全的免费的软件,安装成功后,它就变成一面盾牌图表缩小到任务来的系统托盘里,并时刻监视黑客的一举一动,当有黑客入侵时,它就会自动报警,并显示入侵者的IP地址。
用鼠标双击盾牌图标,就会弹出天网的控制台,控制台上有“普通设置”、“高级设置”、“安全设置”、“检测”和“关于”五个标签。单击“普通设置”标签,会看到有局域网安全设置和互联网安全设置两个窗口。我们可以通过拖动滑块来分别设置他们的安全级别等级。在此建议普通用户选择“中”(关闭了所有的TCP端口服务,但UDP端口服务还开放着,别人无法通过端口的漏洞来入侵,它阻挡了几乎所有的蓝屏攻击和信息泄漏问题,并且不会影响普通网络软件的使用)
在控制台上点“高级设置”就可以手工选择是否取消“与网络连接”“ICMP”、“IGMP”、“TCP监听”、“UDP监听”和“NETBIOS”这几个选项。如果上网后有人想连接你的电脑,天网防火墙会将其自动拦截,并告警提示,同时在控制台的“安全纪录”里会将连接者的IP,协议,来源端口,防火墙采取的操作,时间记录等攻击信息显示出来。
在控制台的“检测”、“关于”标签里主要有安全漏洞的说明,防火墙软件的版本号、注册人的号码等信息。如果你受到攻击想立刻断开网络,点一下控制台上的“停”就可以了。
四、木马的查杀
木马的查杀,可以采用自动和手动两种方式。最简单的删除木马的方法是安装杀毒软件(自动),现在很多杀毒软件能删除网络最猖獗的木马,建议安装金山毒霸或安全之星XP,它们在查杀木马方面很有一套!
由于杀毒软件的升级多数情况下慢于木马的出现,因此学会手工查杀非常必要。方法是:
1.)检查注册表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2.)检查启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3.)Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4.)对于下面所列文件也要勤加检查,木马们也很可能隐藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6.)万变不离其宗,木马启动都有一个方式,它只是在一个特定的情况下启动
所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
电脑中了木马病毒怎么办?
首先打开C盘windows下的system32目录 然后在此目录下备份drivers文件夹,将此文件夹重命名为drivers01
接着请在drivers01文件夹内删除BDguard.sys
(复制时可能会有杀毒软件提示遇到BDguard.sys不能继续复制,没关系,你直接打开DRIVERS文件夹复制立面的子文件,跳过BDGUARD不要复制就好,不过千万别漏掉其他的哦,最好复制完后察看文件夹属性对下文件的个数)
重启电脑,按住F8进入“带命令行的安全模式”
在dos环境下进行下列操作:
cd.. *此命令意思是退回上级目录
退到C盘目录下后
cd windows *意思是进入windows目录,2000操作系统请输入winnt.
cd system32
ren drivers drivers02 *意思是将drivers文件夹名修改成drivers02
ren drivers01 drivers *将之前我们备份的drivers01文件夹名字改为drivers
(DOS的东西我是一窍不通,据说如果要退出DOS的话在c:\windows后面输入WIN敲回车。不过我是用了CRTL+ALT+DEL任务管理器的关机按钮)
重启进入WINDOWS,删除drivers02文件夹、C:\WINDOWS\system32\Bdguard.dat、C:\WINDOWS\system32\Bdguard1.dat、C:\Program Files\Baidu,并清理注册表内信息。
(经实践证明要先删掉SYSTEM32底下的两个BDGUARD文件才能删掉DRIVER02 文件夹)
然后再运行“REGEDIT”打开注册表“编辑”-“查找”关键字输BDGUARD找到相关的就删除然后接着“查找下一个”一直到查不出为止
如果删除不掉则右击选择“权限”在“完全控制”后面划钩。确定后再去删除就可以了 。
电脑中有特洛伊木马病毒,在C盘无法清除,杀毒的是卡巴斯基,该怎么办呢?请帮忙回答!
如果遇到这类隐藏性很高的、又释放驱动的病毒,很难处理。所以要先对病毒灭活,杀掉活体病毒之后就很容易查杀了
如果遇到木马或病毒杀不掉,一般是由于木马病毒正在运行,或者有其他的病毒进程守护,造成的。
1、电脑杀毒建议安装专业的杀毒软件,用杀毒软件在安全模式下全盘查杀处理病毒应当可以清理彻底,推荐试试腾讯电脑管家,它是免费专业安全软件,杀毒管理二合一(只需要下载一份),占内存小,杀毒好,防护好,无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证杀毒质量。如果遇到顽固木马,可以用首页——工具箱——顽固木马克星,强力查杀,效果相当不错的。
2、安全模式下,将该目录的所有文件按修改时间重新排列,将该病毒以及修改时间和病毒一样的文件删除(先纪录名字)。安全模式下,在运行中输入msconfig,在“启动”中将除了ctfmon之外的所有项目的勾去掉。在安全模式下,把刚才的名字一个一个在注册表中查找一遍,一样路径和名称的键都删除
3、如果遇到所有安全类软件打不开,就可以用安全模式试试。如果安全模式下也进入不了的话没有太好的办法了,可以尝试挂盘杀毒,也可以制作一个引导杀毒的工具,很多杀毒软件都有引导杀毒工具,或者是重装系统。
建议你在用杀毒软件检测出木马病毒后,第一时间进行清除。一般当扫描出木马后,都会帮您勾选好所有木马,只需要点击“立即清除”就可以了。有些木马需要重启电脑,为了彻底清除危害千万不要嫌麻烦哦。
c盘用户名(use文件夹下的那个)怎么更改
假设我们需要将帐户A改名为B。首先我们需要用另一个管理员帐户C登陆系统。登陆之后,进行如下操作:
1.在控制面板-〉用户帐户中将帐户A改名为B。
2.打开C:\Users或“用户”文件夹,将文件夹A重命名为B。
3.点击开始,点击运行,输入regedit,点击确定。
4.在注册表编辑器中定位到以下路径: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
5.在ProfileList文件夹下,分别点击名字为较长的字符串的文件夹,查看窗口右侧的ProfileImagePath键的内容,找到路径为C:\Users\A的键。
6.双击此ProfileImagePath键,将其内容修改为:C:\Users\B。
注销后,重新登陆B帐户,用户配置文件已经变为了B。
这时打开任务管理器发现里面的用户名还是没有改变,方法是:
1.在“运行”里面输入control userpasswords2
2.弹出窗口,选中用户名,在属性里修改下全名就可以了
3.重启生效
C盘是指电脑硬盘主分区之一,一般用于储存或安装系统使用。针对安装在本地硬盘的单操作系统来说,是默认的本地系统启动硬盘。大部分C盘内文件主要由Documents and Settings、Windows、Program Files等系统文件夹组成,Program Files文件夹一般都是安装软件的默认位置,但是也是病毒的位置,所以要对C盘进行严密保护。C盘对于本地硬盘的单操作系统来说,是极其重要的,所以平时存放数据尽量不要放C盘。默认在C盘需要移动出来的个人目录是:C:\Documents and Settings\你的登录帐号\ Documents[1]
在硬盘中,一般先划分出一个主分区(活动分区),一般来说,这个就是划出的C盘。然后建立扩展分区,在扩展分区内,再建立若干个逻辑分区,这些逻辑分区就是后面的D、E等盘。(如图)就因为这个是主分区,所以病毒一旦侵入该分区,就会产生问题,而且还有像分区表、引导区、1、0等重要扇区、%*%(一些系统目录就用%*%表示,如%SystemRoot%、%temp%等,一般是系统变量中定义了的项目)等一些重要的地方,都需要保护。计算机安全,一个重要话题,还要从我们做起!至于杀毒软件,最好使用含云杀毒的工具,更方便。