一EE后綴型病毒文件的手工殺毒的方法教程

—EXE里啟動(dòng)的。1/進(jìn)展刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnceHKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionExplorer/ShellFoldersStartup=“C:/windows/startmenu/programs/startup2/系統(tǒng)WIN.INIwin.ini，“run=”和“l(fā)oad=”是可能加載“木馬”程序的途徑，必需認(rèn)真留心它們。一般狀況下，它們的等號(hào)后面什么都沒有，假設(shè)覺察后面跟有路徑與文件名不是你生疏“AOLTrojancommand.exeXPWIN.INI(XP);for16-bitappsupport[fonts][extensions][mciextensions][files][Mail]MAPI=1CMCDLLNAME32=mapi32.dllCMCDLLNAME=mapi.dllCMC=1MAPIX=1MAPIXVER=1.0.0.1OLEMessaging=1[MCIExtensions.BAK]aif=MPEGVideoaifc=MPEGVideoaiff=MPEGVideoasf=MPEGVideo2asx=MPEGVideo2au=MPEGVideom1v=MPEGVideom3u=MPEGVideo2mp2=MPEGVideomp2v=MPEGVideomp3=MPEGVideo2mpa=MPEGVideompe=MPEGVideompeg=MPEGVideompg=MPEGVideompv2=MPEGVideosnd=MPEGVideowax=MPEGVideo2wm=MPEGVideo2wma=MPEGVideo2wmv=MPEGVideo2wmx=MPEGVideo2wvx=MPEGVideo2wpl=MPEGVideo“shell=文件名”。正確的文件名應(yīng)當(dāng)是“explorer.exe”，假設(shè)不是“explorer.exe”，而是“shell=explorer.exe程序名”，本文發(fā)表于pcpxp網(wǎng)站，那么后面跟著的那個(gè)程序就是“木馬”程序，就是說你已經(jīng)中“木馬”了。又會(huì)有人XPXPSYSTEM.INISYSTEM.INI;for16-bitappsupport[drivers]wave=mmdrv.dlltimer=timer.drv[mci][driver32][386enh]woafont=app936.FONEGA80WOA.FON=EGA80WOA.FONEGA40WOA.FON=EGA40WOA.FONCGA80WOA.FON=CGA80WOA.FONCGA40WOA.FON=CGA40WOA.FON4/在config.sys或許會(huì)有收獲的。5/在autuexec.batconfig.sys查找。WINDOWS必備的系統(tǒng)進(jìn)程，EXE型病毒很簡(jiǎn)潔暴露出來的，下邊附上一張WINDOWS安全模式的必需進(jìn)程表smss.exeSessionManagercsrss.exe子系統(tǒng)效勞器進(jìn)程winlogon.exe治理用戶登錄services.exelsass.exeIPISAKMP/Oakley(IKE)和IP生會(huì)話密鑰以及授予用于交互式客戶/效勞器驗(yàn)證的效勞憑據(jù)(ticket)。(系統(tǒng)效勞)->netlogonsvchost.exe!!!->eventsystem,(SPOOLSV.EXE將文件加載到內(nèi)存中以便遲后打印。)explorer.exe(internat.exesystemSystemIdleProcess處理器上，并在系統(tǒng)不處理其他線程的時(shí)候分派處理器時(shí)間taskmagr.exe就是任務(wù)治理器了DLL這類病毒大多是后門病毒，這類病毒一般不會(huì)把自己暴露在進(jìn)程中的，所以說特別隱蔽，比較不好覺察。啟動(dòng)DLLEXELoader。假設(shè)沒有Loader，那DLLDLLLoaderLoader可以是為我們的DLLEXERundll32.exeSvchost.exe，Rundll32.exeSvchost.exeDLLDLL擔(dān)憂，由于他們不肯定就是病毒，所以說這個(gè)病毒比較隱蔽，下邊來介紹幾種判別方法：pcpxp1/Svchost.exe“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost”每個(gè)鍵值表示一個(gè)獨(dú)立的Svchost.exe組。微軟還為我們供給了一種觀察系統(tǒng)正在運(yùn)行在Svchost.exe列表中的效勞的方法。cmd，然后在命令行模式中輸入：tasklist/svc。假設(shè)使用的是2000“tasklist/svc”命令替換為：“tlist-s”即可。假設(shè)你疑心計(jì)算機(jī)有可能被病毒感染，Svchost.exeSvchost.exe般只會(huì)找到一個(gè)在：“C:\Windows\System32”名目下的Svchost.exeSvchost.exe2/還有一種確認(rèn)Svchost.exeWindowsWindowsWindows2.5。這樣，可以覺察進(jìn)程到底饔昧聳裁碊LL3/一般后門連接需要翻開特定的端口，DLL端口。我們可以用netstat–anTCP/UDP的端口心中有數(shù)，并對(duì)netstat–anstateFport應(yīng)的進(jìn)程，這樣，系統(tǒng)有什么不明的連接和端口，都可以盡收眼底。system32EXEDLL*.exe>exe.txt&dir*.dll>dll.txt，這樣，就會(huì)把EXEDLLexe.txtdll.txtEXEDLLexe0.txtdll0.txt)，并使用：fcexe.txtexe0.txt>exedll.txt&fcdll.txtdll0.txt>exedll.txt，其意思為使用FCEXEDLLexedll.txtEXEDLLDLLDLL1/在確定DLL移除方法：“Regedit“搜尋“*.dll“刪除搜尋到的鍵值。重啟轉(zhuǎn)到C:\Windows\System32\刪除*.dll2/到注冊(cè)表以下地方查找DLLHKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/Currentversion/Svchost3/RUNDLL32.EXESVCHOST.EXEDLL1有效的三、$NtUninstallQxxxxxxx$〔x〕型病毒的手工殺毒的方法教程：Win2000/XP注冊(cè)表手動(dòng)刪除啟動(dòng)項(xiàng)，參考：HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run刪除：regedit-sC:\$NtUninstallQxxxxxxx$\WINSYS.cerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce刪除：Sys32，值為：C:\$NtUninstallQxxxxxxx$\WINSYS.vbsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run刪除：Sys32，值為：regedit-sC:\$NtUninstallQxxxxxxx$\WINSYS.cerinternat.exe刪除整個(gè)$NtUninstallQxxxxxxx$名目pcpxp補(bǔ)充說明：、$NtUninstallQ814033$這類WindowsUpdate或安裝微軟補(bǔ)丁程序留下的卸載信息，用來卸載已安裝的補(bǔ)丁，按補(bǔ)丁的編號(hào)Q823980、Q814033可以在微軟的網(wǎng)站查到相應(yīng)的說明。請(qǐng)留意與惡意代碼建立的文件夾區(qū)分。四、壓縮文件殺毒工具對(duì)其不能刪除的病毒的手工殺毒的方法教程：IEIE時(shí)文件。補(bǔ)充：1.)檢查注冊(cè)表看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrenVersion和HKEY_CURRENT_USER＼“Run”開頭的鍵值名，其下有沒有可疑的文件名。假設(shè)有，就需要?jiǎng)h除相應(yīng)的鍵值，再刪除相應(yīng)的應(yīng)用程序。2.)檢查啟動(dòng)組木馬們假設(shè)隱蔽在啟動(dòng)組雖然不是格外隱蔽，但這里確實(shí)是自動(dòng)加載運(yùn)行的好場(chǎng)所，因此還是有木馬寵愛menu＼programs＼startupC個(gè)東西？期望大家來爭(zhēng)論，看你們的有這個(gè)名目沒？)在注冊(cè)表中的位置：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼ShellFoldersStartup=“C:＼windows＼startmenu＼programs＼startup“。要留意常常檢查這兩個(gè)地方哦！3.)Win.ini以及System.iniWin.ini[WindowsloadrunSystem.ini[boot]小節(jié)的Shell=Explorer.exe很有可能就是木馬效勞端程序！趕