學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 病毒知識 > 注冊表電腦病毒清除

注冊表電腦病毒清除

時間: 林輝766 分享

注冊表電腦病毒清除

  木馬藏身地及通用排查技術(shù)注冊表修改之電腦病毒清除,下面由學(xué)習(xí)啦小編給你做出詳細(xì)的注冊表電腦病毒清除介紹!希望對你有幫助!歡迎回訪學(xué)習(xí)啦網(wǎng)站,謝謝!

  注冊表電腦病毒清除:

  木馬取自古希臘神話的特洛伊木馬記,是一種基于遠(yuǎn)程控制的黑客工具,具有很強(qiáng)的隱藏性和危害性。為了達(dá)到控制服務(wù)端主機(jī)的目的,木馬往往要采用各種手段達(dá)到激活自己,加載運(yùn)行的目的。這里,我們簡要的介紹一下木馬通用的激活方式,它們的藏身地,并通過一些實(shí)例來讓您體會一下手動清除木馬的方法。

  ●在Win.ini中啟動木馬:

  在Win.ini的[Windows]小節(jié)中有啟動命令“load=”和“run=”,在一般的情況下“=”后面是空的,如果后面跟有程序,比如:

  run=C:Windows ile.exe

  load=C:Windows ile.exe

  則這個file.exe很有可能就是木馬程序。

  ●在Windows XP注冊表中修改文件關(guān)聯(lián):

  修改注冊表中的文件關(guān)聯(lián)是木馬常用的手段,如何修改的方法已在本系列的前幾文中有過闡述。舉個例子,在正常情況下txt文件的打開方式為Notepad.exe(記事本),但一旦感染了文件關(guān)聯(lián)木馬,則txt文件就變成條用木馬程序打開了。如著名的國產(chǎn)木馬“冰河”,就是將注冊表HKEY_CLASSES_ROOT xtfileshellopencommand子鍵分支下的鍵值項“默認(rèn)”的鍵值“C:Windows otepad.exe %1”修改為“C:WindowsSystemSysexplr.exe”,這樣,當(dāng)你雙擊一個txt文件時,原本應(yīng)該用記事本打開的文件,現(xiàn)在就成了啟動木馬程序了。當(dāng)然,不僅是txt 文件,其它類型的文件,如htm、exe、zip、com等文件也都是木馬程序的目標(biāo),要小心。

  對這類木馬程序,只能檢查注冊表中的HKEY_CLASSES_ROOT中的文件類型shellopencommand子鍵分支,查看其值是否正常。

  ●在Windows XP系統(tǒng)中捆綁木馬文件:

  實(shí)現(xiàn)這種觸發(fā)條件首先要控制端和服務(wù)端已通過木馬建立連接,控制端用戶使用工具軟件將木馬文件和某一應(yīng)用程序捆綁在一起,上傳到服務(wù)端覆蓋原有文件,這樣即使木馬被刪除了,只要運(yùn)行捆綁了木馬的應(yīng)用程序,木馬又會被重新安裝了。如果捆綁在系統(tǒng)文件上,則每次Windows XP啟動都會啟動木馬。

  ●在System.ini中啟動木馬:

  System.ini中的[boot]小節(jié)的shell=Explorer.exe是木馬喜歡的藏身之所,木馬通常的做法是將該語句變?yōu)檫@樣:

  Shell=Explorer.exe file.exe

  這里的file.exe就是木馬服務(wù)端程序。

  另外,在[386enh]小節(jié),要注意檢查在此小節(jié)的“driver=path程序名”,因?yàn)橐灿锌赡鼙荒抉R利用。[mic]、[drivers]、[drivers32]這三個小節(jié)也是要加載驅(qū)動程序的,所以也是添加木馬的理想場所。

  ●利用Windows XP注冊表加載運(yùn)行:

  注冊表中的以下位置是木馬偏愛的藏身之所:

  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項數(shù)據(jù)。

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項數(shù)據(jù)。

  HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子鍵分支下所有以“run”開頭的鍵值項數(shù)據(jù)。

  ●在Autoexec.bat和Config.sys中加載運(yùn)行木馬:

  要建立控制端與服務(wù)端的連接,將已添置木馬啟動命令的同名文件上傳到服務(wù)端覆蓋著兩個文件才能以這種方式啟動木馬。不過不是很隱蔽,所以這種方式并不多見,但也不能掉以輕心。

  ●在Winstart.bat中啟動木馬:

  Winstart.bat也是一個能自動被Windows XP加載運(yùn)行的文件,多數(shù)時由應(yīng)用程序及Windows自動生成,在執(zhí)行了Win.com或者Kernel386.exe,并加載了多數(shù)驅(qū)動程序之后開始執(zhí)行(這可以通過在啟動時按F8選擇逐步跟蹤啟動過程的啟動方式得知)。由于Autoexec.bat的功能可以由 Winstart.bat代替完成,因此木馬完全可以像在Autoexec.bat中那樣被加載運(yùn)行。

  木馬病毒的通用排查技術(shù)

  現(xiàn)在,我們已經(jīng)知道了木馬的藏身之處,查殺木馬自然就容易了。如果您發(fā)現(xiàn)計算機(jī)已經(jīng)中了木馬,最安全最有效的方法就是馬上與網(wǎng)絡(luò)段開,防止計算機(jī)駭客通過網(wǎng)絡(luò)對您進(jìn)行攻擊,執(zhí)行如下步驟:

  l 編輯Win.ini文件,將[Windows]小節(jié)下面的“run=木馬程序”或“load=木馬程序”更改為“run=”,“load=”。

  l 編輯System.ini文件,將[boot]小節(jié)下面的“shell=木馬文件”更改為“shell=Explorer.exe”。

  l 在Windows XP注冊表中進(jìn)行修改:先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支下找到木馬程序的文件名刪除,并在整個注冊表中查找木馬程序,將其刪除或替換。但可惡的是,并不是所有的木馬程序都只要刪除就能萬事大吉的,有的木馬程序被刪除后會立即自動添上,這時,您需要記下木馬的位置,即它的路徑和文件名,然后退到DOS系統(tǒng)下,找到這個文件并刪除。重啟計算機(jī),再次回到注冊表中,將所有的木馬文件的鍵值項刪除。

  計算機(jī)木馬清除實(shí)例

  ●冰河v1.1的注冊表清除實(shí)例:

  在注冊表編輯器中打開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支,在右邊的窗口中找到并刪除C:WINNTSystem32Kernel32.exe,C:WINNTSystem32sysexplr.exe,再重新啟動到MS-DOS方式后,刪除C:WINNTSystem32Kernel32.exe和C:WINNTSystem32sysexplr.exe木馬程序。

  AOL Trojan的注冊表清除實(shí)例:

  首先到MS-DOS方式下,刪除以下文件:

  C:command.exe

  C:Americ~1.0uddyl~1.exe

  C:Windowssystem orton~1 egist~1.exe

  打開Win.ini文件,在[Windows]小節(jié)下面將特洛伊木馬程序的路徑清除掉,改為“run=”,“load=”,保存Win.ini文件。

  然后打開Windows XP注冊表,打開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支,將右表窗口中的鍵值項“WinProfile=C:Command.exe”刪除,關(guān)閉注冊表,重啟計算機(jī)即可。

  ●Doly v1.1-v1.5的注冊表實(shí)例(v1.6和v1.7類似):

  首先進(jìn)入MS-DOS方式,刪除以下三個木馬程序,但v1.35版還多一個木馬文件Mdm.exe。

  C:WindowsSystem esk.sys

  C:WindwosStart MenuProgramsStartupmstesk.exe

  C:Program FilesMStesk.exe

  C:Program FilesMdm.exe

  重新啟動Windows,打開Win.ini文件,將[windows]小節(jié)下的“load=C:WindowsSystem esk.exe”刪除,即改為“load=”,保存Win.ini文件。

  然后,在注冊表中打開HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支,將右邊的窗口中的鍵值項“Mstesk=”C:Program FilesMStesk.exe””刪除,打開HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionss子鍵分支,將其下的全部內(nèi)容都刪除(全為木馬參數(shù)選擇和設(shè)置的服務(wù)器);再打開HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支,將右邊的窗口中的鍵值項“Mstesk=”C:Program FilesMStesk.exe””刪除。

  關(guān)閉注冊表,打開C:Autoexec.bat文件,刪除如下兩行:

  @echo off copy c:sys.lon C:WindowsStart MenuStartup Items

  Del c:win.reg

  保存并關(guān)閉Autoexec.exe文件。

  ●IndocTrination v0.1-v0.11注冊表清除實(shí)例:

  在注冊表中打開如下子鍵:

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once

  將這些子鍵右邊窗口中的如下鍵值項刪除:

  Msgsrv16=“Msgsrv16”,關(guān)閉注冊表后重啟Windows,刪除C:WindowsSystemmsgserv16.exe文件。

  ●SubSeven-IntrodUCtion v1.8注冊表清除實(shí)例:

  打開HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子鍵分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子鍵分支,在右窗口中查找到含有“C:WindowsSystem.ini”的鍵值項數(shù)據(jù),將它刪除。

  打開Win.ini文件,將其中的“run=kernel16.dl”改為“run=”,保存并關(guān)閉Win.ini文件。

  打開System.ini文件,將其中的“shell=explorer.exe kernel32.dl”改為“shell=explorer.exe”,保存并關(guān)閉System.ini文件,重啟Windows,刪除C:Windowskernel16.dl文件。

  ●廣外女生注冊表清除實(shí)例:

  退到MS-DOS模式下,刪除System目錄下的diagcfg.exe。由于該病毒關(guān)聯(lián)的是exe文件,因此,現(xiàn)在刪除它后Windows環(huán)境下任何exe文件都將無法運(yùn)行。我們先找到Windows目錄下的注冊表編輯器“Regedit.exe”,將其改名為“Regedit.com”。

  回到Windows模式下,運(yùn)行“Regedit.com”。打開HKEY_CLASSES_ROOTexefileshellopencommand,將其默認(rèn)值改為“%1 %*”,刪除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的鍵值項“Diagnostic Configuration”。關(guān)閉注冊表。

  回到Windows目錄,將“Regedit.com”改回“Regedit.exe”。

  ●Netbull(網(wǎng)絡(luò)公牛)注冊表清除實(shí)例:

  該病毒在Windows 9X下:捆綁notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆綁:notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打開:

  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

  HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun

  在這些子鍵下刪除鍵值項“CheckDll.exe”=“C:WindowsSystemCheckDll..exe”。

  另外,要察看自己的機(jī)器是否中了該病毒,可以察看上面列出的文件,如果發(fā)現(xiàn)該文件長度發(fā)生變化(大約增加了40K左右),就刪除它們。然后點(diǎn)擊[開始]|[附件]|[系統(tǒng)工具]|[系統(tǒng)文件檢查器],在彈出的對話框中選擇“從安裝軟盤提取一個文件”,在框中填入要提取的文件(前面你刪除的),點(diǎn)“確定”,按屏幕提示將這些文件恢復(fù)即可。如果是開機(jī)時自動運(yùn)行的第三方軟件,如realplay.exe、QQ等被捆綁上了,那就必須把這些文件刪除后重新安裝了。

  ●聰明基因注冊表清除實(shí)例:

  刪除C:Windows下的MBBManager.exe和Explore32.exe,再刪除C:WindowsSystem下的editor.exe文件。如果服務(wù)端已經(jīng)運(yùn)行,則要先用進(jìn)程管理軟件終止MBBManager.exe這個進(jìn)程后才能將它刪除。

  打開HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,刪除鍵值項“MainBroad BackManager”。將HKEY_CLASSES_ROOT xtfileshellopencommand的默認(rèn)值改為“C:WindowsNotepad.exe %1”,恢復(fù)txt文件關(guān)聯(lián)。將HKEY_CLASSES_ROOThlpfileshellopencommand的默認(rèn)值改為“C:Windowswinhlp32.exe %1”,恢復(fù)hlp文件關(guān)聯(lián)。

  以上是一些比較典型的手動清除特洛伊木馬操作步驟,希望大家能在動手的過程中得到啟發(fā),慢慢摸索木馬的藏身和激活規(guī)律,以達(dá)到以不變應(yīng)萬變的境地。祝大家好運(yùn):)
看過“注冊表電腦病毒清除 ”人還看了:

1.如何徹底清除電腦病毒

2.該怎樣清除電腦病毒呢

3.頑固電腦病毒清理方法

4.電腦病毒清除軟件

5.電腦病毒清除

594047