管理员
|
阅读:1602回复:0
常见病毒手工清除方法大集合 留在备用 分享到吧
楼主#
更多
发布于:2011-10-14 21:12
 | |  |  |
常见病毒手工清除方法大集锦(1)
手工清除“恶邮差”(Supnot)蠕虫病毒
1.使用资源管理器查看进程,注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒(或由病毒生成的后门软件),甚至其它的一切不常见的进程都有可能是,如果不能确定,找一台服务器上的进程来观察(服务器应该不会被感染)。
2.将病毒程序(后门)的进程结束掉,对于不能结束的,可以使用附件中的pskill.exe结束掉(命令格式“pskill 进程名”)。
3. 打开“服务”,在服务列表中将没有“描述”服务进行筛选,查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务,依次删掉注册表中的
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBRWWTELK]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesprom0n.exe]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows Management Extension]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindow Remote Service]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun(RunServices]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun(RunServices]
……的相关的健值(还有WinVNC的进程,没有记住是什么健值)
4.删掉
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdll_reg]
[HKEY_CLASSES_ROOTApplicationswinrpc.exe]的健值,
5. 并修改[HKEY_CLASSES_ROOTtxtfileshellopencommand]的右侧的默认健值为” %SystemRoot%system32NOTEPAD.EXE %1”,此时,.txt的文件无法正常打开,可以点击文本文件的右键选择其它方式,选择使用Notepad即可。
6.删掉系统system32目录下的以下程序(大部分可执行程序的大小都为78,848字节): winrpcsrv.exe 、 winrpc.exe 、 wingate.exe 、 syshelp.exe 、rpcsrv.exe 、 iexplore.exe 、 prom0n.exe(注意中间的是数字0) 、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、 winvnc.exe
7. 清空“C:Documents and SettingsDefault User(或Default Uesr..WINNT)Local SettingsTemporary internet FilesContent.IE5”目录下除了“desktop.ini”的所有文件,该路径下,发现有一些后门软件。
8.关闭所有目录的完全共享!――这是关闭了该程序还可以通过网络感染的途径。
9. 重新启动计算机,观察是否还有类似进程出现,尤其是irftpd.exe,这个程序是由上述第3步的“服务”程序自动生成的。由于该蠕虫先后出现多个变种,建议使用专杀工具来查杀。
常见病毒手工清除方法大集锦(2)
新欢乐时光VBS/Redolf的清除办法
1、删除
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunKernel3
2 键值;
参照其他系统,恢复 HKEY_CLASSES_ROOTdllFile 下键值;
参照其他系统,恢复 HKEY_CURRENT_USERIdentities" ; UserID ; "SoftwareMicrosoftOutlook Express" ; OEVersion ; "Mail 下相关键值;
参照其他系统,恢复 HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsMail 下相关键值;
参照其他系统,恢复 HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0OutlookOptionsMail 下相关键值;
3、删除文件
参照其他系统,恢复 %Windows%web 目录下 folder.htt 文件;
删除 Kernel32.dll 或者 Kernel.dll 文件;删除 kjwall.gif;
查找所有存在 KJ_start 字符串的文件,删除文件尾部的病毒代码。
由于该病毒利用 Windows 资源管理器的视图模板进行感染,所以必须对计算机所有磁盘进行检查,不能遗漏,否则很快又会再次感染。在查杀过程中一定不能打开资源管理器,否则也不能查杀干净。
常见病毒手工清除方法大集锦(3)
I-WORM/Badtrans.b,病毒的清除
首先用最新DOS版的杀毒软件开机杀毒,然后将邮箱中的带毒邮件一一删除,否则又会重复感染,该病毒传播能力极强,必须加强防范, 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
http://www.microsoft.com/technet/security/bulletin/MS01-020.asp
恶性蠕虫病毒“I-Worm.Aliz”
用最新的杀毒软件清除病毒,然后下载补丁:
如果用户使用升级的因特网outlook版本6.0,就不需要修补outlook。
1. outlook http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
2.outlook 2000 http://office.microsoft.com/korea/downloads/2000/outlctlx.aspx
3.outlook 2002 (office XP) http://office.microsoft.com/korea/downloads/2002/OLK1003.aspx
常见病毒手工清除方法大集锦(4)
Nimda.e病毒详细解毒方案
一、winX系统的清除方法:
1 使用干净DOS软盘启动机器。
2 执行vrvdos, 查杀所有硬盘。
3 在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。
4 开启vrv实时监测病毒防火墙。
5 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
地址是:http://www.microsoft.com/technet/security/bulletin/MS01-020.asp。
这样可以预防此类病毒的破坏。
6、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。
7、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区。
8、对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.
9、病毒被清除后, 在windows的system目录下的文件riched20.dll将被删除,请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话,写字板和OFFICE, WORD等程序将不能正常运行。在WINDOWS98系统下的该文件大小是:431376字节。或重装office。
二、WINDOWS NT/2000系统的清除方法:
WINDOWS NT/2000系统的NTFS硬盘分区感染此毒时,处理比较烦琐。因用DOS软盘引导后不认硬盘分区,所以无法杀毒。在患毒的WINDOWS NT/2000系统下又杀不干净病毒。不管是服务器还是单机的硬盘染此毒了,要想杀干净病毒,可按如下方法杀毒:
1 找一台没有感染病毒的、并装有WINDOWS NT/2000(NTFS)系统的计算机,将vrv2001 server安装到硬盘中,对硬盘进行查杀。
2 如果有杀不掉的,用dos盘引导起动,再执行NTFSpro(在vrv网站可以下载)中的ntfspro.exe 即可,看到NTFS格式下的所有文件,将其删除,再回到正常模式下查杀。
3 如果有多台机器,也可以将患毒的硬盘挂接在没有感染病毒的计算机上做为副盘。
Nimda病毒解决方案
请大家尽快到微软网站下载更新程序,修补这些漏洞,以免中毒。收到可疑的信件,例如:Nimda病毒病毒附件为readme.exe,不要随意打开以免中毒,IE 5.x 的使用者请到http://www.microsoft.com/technet/security/bulletin/MS01-020.asp下载修复程序,避免浏览中毒网页就被感染。
IIS 的使用者请到http://www.microsoft.com/technet/security/bulletin/MS01-044.asp、http://www.microsoft.com/technet/security/bulletin/MS00-078.asp下载修复程序,以修正Unicode漏洞。
另外:Win9x用户记得去掉共享,修改System.ini中shell=explorer.exe load.exe -dontrunold为shell=Explorer.exe ,Win2000则查看一下administrators组中是否加进了“guest”用户,如果是,请将guest用户从administrators组中删除,然后用最新版的杀毒软件扫描你的机器,查杀病毒。 http://www.atcpu.com/
常见病毒手工清除方法大集锦(5)
自己动手对付CodeRed(红色代码)
CodeRed(红色代码)是利用Windows NT/2000本身的漏洞来执行骇客行为,微软网站提供更新档下载,使用IIS 4.0以上版本用户,请尽快至微软网站http://www.microsoft.com/technet/security/bulletin/MS01-033.asp更新修正。
手工清除Sircam蠕虫病毒:
1、 清空回收站,因为病毒将自身隐藏在回收站;
2、 删除Autoexec.bat文件中的"@win ecycledsirc32.exe"
3、 恢复注册表
(1) 将regedit.exe改名为regedit.com因为该病毒关联exe文件
(2) 打开注册表编辑器,查找主键:
HKEY_CLASSES_ROOT/exefile/shell/open/command将其键值改为"%1" %*
(3) 删除主键HKEY_LOCAL_MACHINE/Software/SirCam
(4) 删除键值HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run Services/Driver32
(5) 将regedit.com改回为regedit.exe
常见病毒手工清除方法大集锦(6)
手工清除“快乐时光”病毒
1.检查 C:Help.htm、C: 盘第一个子目录下的 Help.vbs 和 Help.hta、Windows录下 Help.htm 或者与原墙纸文件名的 html 格式文件,若其中 含有“Rem I am sorry! happy time”字符串,则删除该文件
2.检查 C: 盘上所有 vbs、html 或者 asp 文件,若含有“Rem I am sorry! happy time”字符串,则删除该文件
3.检查 WindowsWeb 目录下所有 vbs、html、htt 和 asp 文件,若含有“Rem Iam sorry! happy time”字符串,则删除该文件;
4.删除 HKEY_CURRENT_USERSoftware 下 Help 项;
5.删除收件箱中所有带有 Untitled.htm 附件的不明邮件。
常见病毒手工清除方法大集锦(7)
手工清除出现漩涡画面的Hybris.A变种病毒
解决方案:
一、Window 95用户更改WSOCK32.DLL
1.从开始->关机->重新启动并切换到MS-DOS模式。
2.键入: EXTRACT /A C:WINDOWSOPTIONSCABSWIN95_11.CAB WSOCK32.DLL /L C:WINDOWSSYSTEM,或是放入你的 Windows 95 CD-ROM,然后键入:EXTRACT /A D:WIN95WIN95_11.CAB WSOCK32.DLL /L C:WINDOWSSYSTEM. D: 指你的CD-ROM drive
二、Window 98用户更改WSOCK32.DLL
1.从开始->运行,键入SFC并按OK.
2.选择从安装软盘提取一个文件(E)
3.在空格中键入C:WINDOWSSYSTEMWSOCK32.DLL 并按开始。
4.在提取文件表格中键入C:WINDOWSOPTIONSCABS 或是在你的Windows 98 CD-ROM中浏览 Windows 98,会在CAB file这里发现命名为"PRECOPY1.CAB" 按OK 后跟着提示进行就可。
常见病毒手工清除方法大集锦(8)
手动清除圣诞节病毒的方法:
1.开始——>程序——>MS-DOS模式
2.将DOS指令regedit.exe重新命名为 regedit.com
3.回到Windows运行Regedit。
4.开始——>运行
5.输入“regedit”。按一下“确定”。
6.在左边窗口,按一下含有 "+" 记号的方块以展开节点来寻找下列登录:
HKEY_CLASSES_ROOT exefile shell open command
7.在右边窗口,以展开节点来寻找含有下列登录的记录值并点选 (Default) = "% windir%SYSTEMWINSVRC.EXE"%1""%*" where %windir%
8.当编辑窗口出现,将所有整个部分删除,只留下 "%1"%*"。
9.同步骤 3-5,输入“regedit”。按一下“确定”,进入以下注册机值:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
10.点选Win32BaseServiceMOD = %windir%SYSTEMWINSVRC.EXE ,并按“删除”
11.开始——>程序——>MS-DOS模式
12.将 regedit.com重新命名为 regedit.exe。
常见病毒手工清除方法大集锦(9)
Win32/MTX.A.Worm 病毒的清除方法
清除步骤:
1、对于蠕虫病毒生成的文件如:MTX_.exe,Ie_pack.exe和Win32.dll,需要彻底删除,它们的病毒报警为Win32/MTX.Attachment.Worm 或Win32/MTX.A.Downloader.Worm。
2、 开始---运行(regedit)修改注册表,将注册表中的关键字值删除,关键字值为:
Hkey_Local_MachineSoftwareMicrosoftWindowsCurrentVersionRunSystembackup =MTX_.EXE
3、 开始---运行(regedit)---编辑---查找(Win32.dll),将查找到的键值删除掉,用同样的方法 查找Ie_pack.exe和mtx,将查找到的键值也删除;
4、重新启动计算机。
常见病毒手工清除方法大集锦(10)
手动清除特洛伊木马TROJ_QAZ.A病毒
1、单击“开始│运行” 键入:Regedit,按Enter键
2、找到注册键:
HKEY_LOCAL_MACHIN/Software/Microsoft/Windows/CurrentVersion/Run
3、在右边的窗口中,找出任何包含下列数据的注册键值:
startIE=XXXXNotepad.exe
4、在右边的窗口中,选中该键值,按删除键后再选是,删除该值。 退出注册表修改。 单击 “开始│关闭系统”,选择“重启动”后单击“是”。
5、重命名Note.com为Notepad.exe。
http://www.atcpu.com/
常见病毒手工清除方法大集锦(16)
清除黑客程序“煞伯7号”
1999年8月17日,南京信源公司的“病毒119”寻呼急促地响起,有一例黑客程序被上报到南京信公司技术部,经过紧张的分析测试,他们已经彻底的破解了该黑客程序。怎样判断你的机器内是否有“煞伯7号”?你可以到你的操作系统安装目录(一般为Windows目录)下,检查是否有Rundll16.exe文件。有没有?如果你发现了,哈哈你被“黑”了,黑客可能正在窃取你的秘密。赶快用文本编辑器修改该目录下的文件System.ini将 [boot] shell=Explorer.exe rundll16.exe 改为 [boot]shell=Explorer.exe 重新启动计算机,将Rundll16.exe删除,要快哦!否则就会有更大的破坏。到此为止,你已经躲开了该黑客程序的控制。 南京信源公司VRV2000的3.B版本及VRV31.0,能够彻底查杀“煞伯7号”。
常见病毒手工清除方法大集锦(17)
Back Orifice 2000的清除方法
手工删除Back Orifice 2000的方法:
1.在WINDOWS 9X 中运行REGEDIT。
2.将注册表中:HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUNSERVICES下的UMGR32.EXE 串值删除。
3.重新启动。
4.将WINDOWS/SYSTEM目录下的UMGR32~1.EXE文件删除即可。
常见病毒手工清除方法大集锦(18)
解决:“控险虫”
6月6日在以色列发现新的病毒“探险虫”,它通过邮件传播,专门攻击微软的Office文件,只攻击WINX/NT 操作系统,请大家收到邮件时千万不要随意打开附件,以免文件造破坏。另外,如果你有杀毒软件不能查杀的病毒或碰到“探险虫”,可到各大网站下载 Sodu1999 缉毒先锋 清除“探险虫”。
常见病毒手工清除方法大集锦(19)
清除Windows NT蠕虫病毒
目前,NAI公司已发现清除ExploreZIP.worm病毒的有效方法:Win9X:重启并进入MS_DOS模式,编辑WIN.INI并删掉“run=c:windowssystemexplore.exe”,然后删除“c:windowssystem explore.exe”,再重启Win9X即可。
Win NT:该蠕虫作为一个进程在Win NT Task manager中名为“explore”,用户可以终止该进程。运行REGEDIT(注意:不是REGEDIT32)并嵌入[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows,删除“run=C:WINNTSystem32Explore.exe”,重启NT,删除文件“c:winntsystem32Explore.exe”即可。
常见病毒手工清除方法大集锦(20)
清除“Pretty park 蠕虫”病毒
近日,一种名为“Pretty Park蠕虫”的病毒被赛门铁克在法国的Sscan;Deliver系统截获,并预言此病毒有蔓延扩散之趋势。为避免广大的电脑用户遭受此病毒的侵袭,赛门铁克防病毒专家提醒大家提早采取措施。
手工删除该病毒的步骤为:删除WINDOWSSYSTEMFILES32.VXD;使用REGEDIT,把注册项HKEY_LOCAL_MACHINESoftwareClassesexefileshellopencommand”从 Ffiles32.VXD“%1%*;通过Windows“开始”菜单的“运行”菜单 项启动 REGEDIT;然后在REGEDIT中搜索FILES32.VXD;删除“PrettyPark.exe”文件;再重新启 动计算机。需要注意的是,用户必须严格的执行 第二步,否则,如果只是简单的把FILES32.VXD删除掉,可执 行文件将不能正常运行。
常见病毒手工清除方法大集锦(21)
教你如何手工删除“MSN照片”病毒
一、 删除病毒的注册表启动项目
1、运行regedit,打开注册表编辑器。打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad找到“rdshost”一项,将其值记录下来,并将该项删除。
注意:“rdshost”项的值为一个CLSID。病毒产生的这段CLSID不固定,本例中为:{C7B4EE78-A8FB-4C16-AE1F-C1A568949825}。
2、打开HKEY_CLASSES_ROOTCLSID,找到刚才记录下的CLSID项,本例为:{C7B4EE78-A8FB-4C16-AE1F-C1A568949825},将其删除。
二、 重新启动计算机
由于该病毒驻留内存,因此,清除掉启动项目后必须重新启动计算机才能够删除病毒文件。
三、 删除病毒文件
1、 进入Windows,默认为C:windows,找到名为“photo album.zip”的文件并删除。
2、进入系统目录,默认为C:windowssystem32,找到名为“rdshost.dll”文件并删除(注意是DLL文件不是EXE)。
3、重新启动计算机,检查这几个文件是否存在,如果不存在,则病毒已被清除干净。
其他采取手动查杀如下:
1、断网(拨掉网线、禁用网卡都行)
2、取消MSN的自动运行(打开MSN-工具-选项-常规-取消“当我登录到Windows时自动运行……”)
3、重启(进不进安全模式都行,我没有进)
4、打开注册表(开始-运行-输入“regedit”-回车)
5、在注册表中搜索“photo album”,并将之删除(在注册表中按下F3键,文本框中输入“photo album”,回车,搜索到相关项,删除;再按F3,继续搜索,并删除……直到显示“注册表搜索完毕”)
6、删除接收到的文件,并重启计算机
7、可重复第5步,以查是否还有相关项(我重复了几次,没有发现)
8、运行MSN(我测试了20分钟,没有发现异常,发消息没有异常
常见病毒手工清除方法大集锦(22)
灰鸽子的手工清除
清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。注意:为防止误操作,清除前一定要做好备份。
一、清除灰鸽子的服务
Windows2000/WindowsXP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。
Windows98/WindowsME系统:
在Windows9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005服务端已经被清除干净。
常见病毒手工清除方法大集锦(23)
手工清除熊猫烧香
一、关闭病毒进程
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(我的电脑里出现的是SVCHOST)注意别搞错了。
二、显示出被隐藏的系统文件
运行注册表
HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
四、删除病毒的自动运行项
打开注册表运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:WINDOWSsystem32SVOHOST.exe 的
最后到 C:WINDOWSsystem32 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。
其他方法一:
1. 断开网络
2. 结束病毒进程:%System%/drivers/spoclsv.exe
3. 删除病毒文件:%System%/drivers/spoclsv.exe
4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:X:/setup.exe,X:/autorun.inf
5. 删除病毒创建的启动项:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
"svcshare"="%System%/drivers/spoclsv.exe"
6. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer
/Advanced/Folder/Hidden/SHOWALL]
"CheckedValue"=dword:00000001
7. 修复或重新安装反病毒软件
8. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件
其他方法二:
1、拔掉网线断开网络,打开Windows任务管理器,迅速找到spoclsv.exe,结束进程,找到explorer.exe,结束进程,再点击文件,新建任务,输入c:WINDOWSexplorer.exe,确定。
2、点击开始,运行,输入cmd回车,输入以下命令:
del c:setup.exe /f /q
del c:autorun.inf /f /q
如果你的硬盘有多个分区,请逐次将c:改为你实际拥有的盘符(C盘-->Z盘)。上述两个木马文件为只读隐藏,会修改Windows属性,使用户无法通过设置文件夹选项显示所有文件及文件夹的功能看到。
3、进入注册表,删除HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun下svcshare值。
4、删除C:windowssystem32driversspoclsv.exe
5、修复或重新安装防病毒软件并升级病毒库,彻底全面杀毒,清除恢复被感染的.exe文件。
6、屏蔽熊猫烧香病毒网站pkdown.3322.org和ddos2.sz45.com,具体方法如下:
打开C:WINDOWSsystem32driversetchost文件,添加修改如下格式:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
127.0.0.1 localhost
127.0.0.1 *.3322.org
127.0.0.1 *.sz45.com
7、修复文件夹选项的“显示所有文件及文件夹”的方法:
A、找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL分支,在右边的窗口中双击CheckedValue键值项,该键值应为1.如果值不为1,改为1即可。
如果你设置仍起不了作用,那么接下来看。
有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。(正常如图,被修复后看不见图中标注的项)
针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolder
HiddenNOHIDDEN]
"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolder
HiddenSHOWALL]
"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced
FolderSuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolder
SuperHiddenPolicy]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolder
SuperHiddenPolicyDontShowSuperHidden]
@=""
具体操作方法:
1)通过记事本新建一个文件
2)将以上内容复制到新建的记事本文件中
3)通过记事本文件菜单另存为show.reg
4)双击存储的showall.reg文件,点击弹出的对话框是按钮即可。
注意:以上方法对win2000和XP有效
B、HKEY_LOCAL_MACHINE | Software |Microsoft | windows | CurrentVersion | explorer | Advanced | Folder | Hidden | SHOWALL,将CheckedValue键值修改为1
但可能依然没有用,隐藏文件还是没有显示,这是因为病毒在修改注册表达到隐藏文件目的之后,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!
方法:删除此CheckedValue键值,单击右键 新建Dword值,命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
常见病毒手工清除方法大集锦(24)
全手工清除落雪
中途注意不要双击到其中任何一个文件,必须在文件夹选项里打开显示隐藏文件及显示已知文件扩展名。
1、打开始菜单的运行,输入命令 regedit,进注册表,到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除Torjan pragramme
2、然后注销! 重新进入系统后到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把pagefile.com和D:autorun.inf删掉, 然后再到C盘把上面所列出来的文件都删掉,可以对比其他文件的日期判断。
3、头号文件WINLOGON.EXE在C:WindowsWINLOGON.EXE 可能提示删不掉可以用光盘启动进入DOS模式,把它的系统,隐藏属性去掉然后删除它!
手工病毒清除后的系统修复
1、把那些病毒文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
到C:Windowssystem32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com ,然后双击这个COM文件,然后行动可以进入到DOS下的命令提示符。再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格) ftype exefile="%1" %* 这样exe文件就可以运行了。或者用Regfix.exe,sreng.exe等工具修复,将扩展名EXE改成COM,就可打开。
2、开机跳出找不到文件“1.com”
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]中把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
3、清除了这个出马出现IE不能下载 请在IE选项 然后安全 然后点默认级别就可以下载了。
常见病毒手工清除方法大集锦(25)
autorun.inf病毒手工删除方法
一、 结束病毒进程
鼠标右键点击“任务栏”,选择“任务管理器”。点击菜单“查看”->“选择列”,在弹出的对话框中选择“PID(进程标识符)”,并点击“确定”。
找到映象名称为“LSASS.exe”,并且用户名不是“SYSTEM”的一项,记住其PID号。
点击“开始”-》“运行”,输入“CMD”,点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”,比如我的计算机上就输入“ntsd –c q -p 1464”。
二、 删除病毒文件
打开“我的电脑”,设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件:
C:Program FilesCommon FilesINTEXPLORE.pif、
C:Program FilesInternet ExplorerINTEXPLORE.com、
C:WINDOWSEXERT.exe、
C:WINDOWSIO.SYS.BAK、
C:WINDOWSLSASS.exe、
C:WINDOWSDebugDebugProgram.exe、
C:WINDOWSsystem32dxdiag.com、
C:WINDOWSsystem32MSCONFIG.COM、
C:WINDOWSsystem32regedit.com
如果硬盘有其他分区,则在其他分区上点击鼠标右键,选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件。
三、删除注册表中的其他垃圾信息
这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。
将Windows目录下的“regedit.exe”改名为“regedit.com”并运行,删除以下项目:
HKEY_CLASSES_ROOTWindowFiles、
HKEY_CURRENT_USERSoftwareVB and VBA Program Settings、
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下面的 Check_Associations项、
HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif、
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下面的ToP项。
将HKEY_CLASSES_ROOT.exe的默认值修改为“exefile”
将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand的默认值修改为“"C:Program FilesInternet Exploreriexplore.exe" %1”
将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand的默认值修改为“C:Program FilesInternet ExplorerIEXPLORE.EXE”
将HKEY_CLASSES_ROOTftpshellopencommand和HKEY_CLASSES_ROOThtmlfileshellopennewcommand的默认值修改为“"C:Program FilesInternet Exploreriexplore.exe" %1”
将HKEY_CLASSES_ROOThtmlfileshellopencommand和HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为“"C:Program FilesInternet Exploreriexplore.exe" –nohome”
将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet的默认值修改为“IEXPLORE.EXE”。
重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕。
| |  | |  |
|
