學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>病毒知識>

電腦病毒清除軟件

時間: 林輝766 分享

  有什么好的電腦病毒清除軟件呢!學(xué)習(xí)啦小編來教你!

  電腦病毒清除軟件:

  一 EXE后綴型病毒文件的手工殺毒的方法教程:

  這類病毒一般是以進程的方式運行,這類病毒一般是比較好被發(fā)現(xiàn)的。下邊先說下這類病毒,是在哪里啟動的。

  1/注冊表 如果發(fā)現(xiàn)計算機有不名的進程和異常情況請在注冊表內(nèi)下列地方進行核實找住可以的程序進行刪除

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

  HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServicesOnce

  HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run

  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

  HKEY_CURRENT_USER \Software \Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\Run

  HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion

  Explorer/ShellFolders Startup="C:/windows/start menu/programs/startup

  2/系統(tǒng)WIN.INI文件內(nèi)在win.ini文件中,“run=”和“load=”是可能加載“木馬”程序的途徑,必須仔細留心它們。一般情況下,它們的等號后面什么都沒有,如果發(fā)現(xiàn)后面跟有路徑與文件名不是你熟悉的啟動文件,你的計算機就可能中上“木馬”了。當(dāng)然你也得看清楚,因為好多“木馬”,如“AOL Trojan木馬”,它把自身偽裝成command.exe文件,如果不注意可能不會發(fā)現(xiàn)它不是真正的系統(tǒng)啟動件。也許你會問了我是XP系統(tǒng)啊怎么沒有這個呢?不必擔(dān)心給你個正確的你參考下就知道有沒有可疑程序了。下邊就是正常的WIN.INI(XP)

  ; for 16-bit app support

  [fonts]

  [extensions]

  [mci extensions]

  [files]

  [Mail]

  MAPI=1

  CMCDLLNAME32=mapi32.dll

  CMCDLLNAME=mapi.dll

  CMC=1

  MAPIX=1

  MAPIXVER=1.0.0.1

  OLEMessaging=1

  [MCI Extensions.BAK]

  aif=MPEGVideo

  aifc=MPEGVideo

  aiff=MPEGVideo

  asf=MPEGVideo2

  asx=MPEGVideo2

  au=MPEGVideo

  m1v=MPEGVideo

  m3u=MPEGVideo2

  mp2=MPEGVideo

  mp2v=MPEGVideo

  mp3=MPEGVideo2

  mpa=MPEGVideo

  mpe=MPEGVideo

  mpeg=MPEGVideo

  mpg=MPEGVideo

  mpv2=MPEGVideo

  snd=MPEGVideo

  wax=MPEGVideo2

  wm=MPEGVideo2

  wma=MPEGVideo2

  wmv=MPEGVideo2

  wmx=MPEGVideo2

  wvx=MPEGVideo2

  wpl=MPEGVideo

  3/SYSTEM.INI文件中在system.ini文件中,在[BOOT]下面有個“shell=文件名”。正確的文件名應(yīng)該是“explorer.exe”,如果不是 “explorer.exe”,而是“shell= explorer.exe 程序名”,本文發(fā)表于pcpxp.com網(wǎng)站,那么后面跟著的那個程序就是“木馬”程序,就是說你已經(jīng)中“木馬”了。 又會有人問了我是XP系統(tǒng)怎么又不一樣呢?在給你個正常的XP系統(tǒng)的SYSTEM.INI請大家可以參考下 正常的SYSTEM.INI文件

  ; for 16-bit app support

  [drivers]

  wave=mmdrv.dll

  timer=timer.drv

  [mci]

  [driver32]

  [386enh]

  woafont=app936.FON

  EGA80WOA.FON=EGA80WOA.FON

  EGA40WOA.FON=EGA40WOA.FON

  CGA80WOA.FON=CGA80WOA.FON

  CGA40WOA.FON=CGA40WOA.FON

  4/在config.sys內(nèi) 這類加載方式比較少見 ,但是并不是沒有,如果上述方法都找不到的話,請來這里也許會有收獲的。

  5/在autuexec.bat內(nèi) 這類加載方式也是比較少見,建議跟config.sys方法一樣。

  4 和5 的加載方式建議大家先必須確定計算機有病毒后在 并且上邊的方法都找不到后,最后來這里進行查找。

  總結(jié):這類病毒是比較容易暴露的,建議手動刪除時最好進入安全模式下,因為安全模式只運行WINDOWS必備的系統(tǒng)進程,EXE型病毒很容易暴露出來的,下邊附上一張WINDOWS安全模式的 必須進程表

  smss.exe Session Manager

  csrss.exe 子系統(tǒng)服務(wù)器進程

  winlogon.exe 管理用戶登錄

  services.exe 包含很多系統(tǒng)服務(wù)

  lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動程序。(系統(tǒng)服務(wù)) 產(chǎn)生會話密鑰以及授予用于交互式客戶/服務(wù)器驗證的服務(wù)憑據(jù)(ticket)。(系統(tǒng)服務(wù)) ->netlogon

  svchost.exe 包含很多系統(tǒng)服務(wù) !!!->eventsystem,(SPOOLSV.EXE 將文件加載到內(nèi)存中以便遲后打印。)

  explorer.exe 資源管理器 (internat.exe 托盤區(qū)的拼音圖標(biāo))

  system

  System Idle Process 這個進程是不可以從任務(wù)管理器中關(guān)掉的。這個進程是作為單線程運行在每個處理器上,并在系統(tǒng)不處理其他線程的時候分派處理器時間

  taskmagr.exe 就是任務(wù)管理器了

  二、DLL型后綴病毒的手工殺毒的方法教程:

  這類病毒大多是后門病毒,這類病毒一般不會把自己暴露在進程中的,所以說特別隱蔽,比較不好發(fā)現(xiàn)。啟動DLL后門的載體EXE是不可缺少的,也是非常重要的,它被稱為:Loader。如果沒有Loader,那DLL后門如何啟動呢?因此,一個好的DLL后門會盡力保護自己的Loader不被查殺。Loader的方式有很多,可以是為我們的DLL后門而專門編寫的一個EXE文件;也可以是系統(tǒng)自帶的Rundll32.exe和 Svchost.exe,即使停止了Rundll32.exe和Svchost.exeDLL后門的主體還是存在的。現(xiàn)在大家也許對DLL有了個初步的了解了,但是不是后綴是DLL就是病毒哦,也不要因為系統(tǒng)有過多的Rundll32.exe和Svchost.exe進程而擔(dān)心,因為他們不一定就是病毒,所以說這個病毒比較隱蔽,下邊來介紹幾種判別辦法:pcpxp.com供稿

  1/Svchost.exe的鍵值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Svchost”每個鍵值表示一個獨立的Svchost.exe組。微軟還為我們提供了一種察看系統(tǒng)正在運行在 Svchost.exe列表中的服務(wù)的方法。以Windows XP為例:在“運行”中輸入:cmd,然后在命令行模式中輸入:tasklist /svc。如果使用的是Windows 2000系統(tǒng)則把前面的“tasklist /svc”命令替換為:“tlist -s”即可。如果你懷疑計算機有可能被病毒感染,Svchost.exe的服務(wù)出現(xiàn)異常的話通過搜索 Svchost.exe文件就可以發(fā)現(xiàn)異常情況。一般只會找到一個在:“C:\Windows\System32”目錄下的Svchost.exe程序。如果你在其他目錄下發(fā)現(xiàn)Svchost.exe程序的話,那很可能就是中毒了。

  2/還有一種確認Svchost.exe是否中毒的方法是在任務(wù)管理器中察看進程的執(zhí)行路徑。但是由于在Windows系統(tǒng)自帶的任務(wù)管理器不能察看進程路徑,所以要使用第三方的進程察看工具。比如Windows優(yōu)化大師中的Windows 進程管理 2.5。這樣,可以發(fā)現(xiàn)進程到底饔昧聳裁碊LL文件.

  3/普通后門連接需要打開特定的端口,DLL后門也不例外,不管它怎么隱藏,連接的時候都需要打開端口。我們可以用netstat –an來查看所有TCP/UDP端口的連接,以發(fā)現(xiàn)非法連接。大家平時要對自己打開的端口心中有數(shù),并對netstat –an中的state屬性有所了解。當(dāng)然,也可以使用Fport來顯示端口對應(yīng)的進程,這樣,系統(tǒng)有什么不明的連接和端口,都可以盡收眼底。

  4/最關(guān)鍵的方法對比法。安裝好系統(tǒng)和所有的應(yīng)用程序之后,備份system32目錄下的EXE和DLL文件:打開CMD,來到 WINNTsystem32目錄下,執(zhí)行:dir *.exe>exe.txt & dir *.dll>dll.txt,這樣,就會把所有的EXE和DLL文件備份到exe.txt和dll.txt文件中;日后,如發(fā)現(xiàn)異常,可以使用相同的命令再次備份EXE和DLL文件(這里我們假設(shè)是exe0.txt和dll0.txt),并使用:fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt,其意思為使用FC命令比較兩次的EXE文件和DLL文件,并將比較結(jié)果保存到exedll.txt文件中。通過這種方法,我們就可以發(fā)現(xiàn)多出來的EXE和DLL文件,并通過文件大小,創(chuàng)建時間來判斷是否是DLL后門。

  DLL型病毒的清除方法

  1/ 在確定DLL病毒的文件的話請嘗試下邊方法

  移除方法:

  1. 開始——運行——輸入"Regedit"

  2. 搜索"*.dll"

  3. 刪除搜索到的鍵值。

  4. 重啟

  5. 轉(zhuǎn)到C:\Windows\System32\

  6. 刪除*.dll

  2/到注冊表下列地方尋找DLL的蹤跡

  HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ WindowsNT/ Currentversion/ Svchost

  3/如果上邊的地方都找不到的話建議使用優(yōu)化大勢進程顯示工具 對 RUNDLL32.EXE和SVCHOST.EXE里邊運行的DLL程序進行核實找到病毒文件對其進行結(jié)束 然后在對他進行刪除 建議使用第1種方法是非常有效的

  三、$NtUninstallQxxxxxxx$(x代表數(shù)字)型病毒的手工殺毒的方法教程:

  這個屬于惡意腳本文件病毒。C盤下生成文件夾:$NtUninstallQxxxxxxx$(x代表數(shù)字) 冒充微軟更新補丁的卸載文件夾,并且在Win2000/XP下?lián)碛邢到y(tǒng)文件級隱藏屬性。下邊說下清楚方法

  注冊表手動刪除啟動項,參考:

  HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run

  HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run

  刪除:regedit -s C:$NtUninstallQxxxxxxx$\WINSYS.cer

  HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\ CurrentVersion\ RunOnce

  HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft\ Windows\ CurrentVersion\RunOnce

  刪除:Sys32,值為:C:$NtUninstallQxxxxxxx$\WINSYS.vbs

  HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Windows\ CurrentVersion \Run

  刪除:Sys32,值為:regedit -s C:$NtUninstallQxxxxxxx$\WINSYS.cer

  刪除:internat.exe,值為:internat.exe

  刪除整個$NtUninstallQxxxxxxx$ 目錄

  pcpxp.com 補充說明:

  系統(tǒng)文件夾(\WINNT或\Windows)下出現(xiàn)的如$NtUninstallQ823980$ 、$NtUninstallQ814033$ 這類文件夾是Windows Update 或安裝微軟補丁程序留下的卸載信息,用來卸載已安裝的補丁,按補丁的編號如Q823980、Q814033 可以在微軟的網(wǎng)站查到相應(yīng)的說明。請注意與惡意代碼建立的文件夾區(qū)分。

  四、壓縮文件殺毒工具對其不能刪除的病毒的手工殺毒的方法教程:

  這類病毒大多是在IE臨時文件里的,請對臨時文件進行清除即可清楚此類病毒,建議定時清理IE臨時文件。

  補充:

  1.)檢查注冊表

  看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以 “Run”開頭的鍵值名,其下有沒有可疑的文件名。如果有,就需要刪除相應(yīng)的鍵值,再刪除相應(yīng)的應(yīng)用程序。

  2.)檢查啟動組

  木馬們?nèi)绻[藏在啟動組雖然不是十分隱蔽,但這里的確是自動加載運行的好場所,因此還是有木馬喜歡在這里駐留的。啟動組對應(yīng)的文件夾為:C:\windows\start menu\programs\startup,(查了下C沒這個東西?希望大家來研究,看你們的有這個目錄沒?)在注冊表中的位置: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Shell

  Folders Startup="C:\windows\start menu\programs\startup"。要注意經(jīng)常檢查這兩個地方哦!

  3.)Win.ini以及System.ini也是木馬們喜歡的隱蔽場所,要注意這些地方

  比方說,Win.ini的[Windows]小節(jié)下的load和run后面在正常情況下是沒有跟什么程序的,如果有了那就要小心了,看看是什么;在 System.ini的[boot]小節(jié)的Shell=Explorer.exe后面也是加載木馬的好場所,因此也要注意這里了。當(dāng)你看到變成這樣: Shell=Explorer.exe wind0ws.exe,請注意那個wind0ws.exe很有可能就是木馬服務(wù)端程序!趕快檢查吧。

  4.)對于下面所列文件也要勤加檢查,木馬們也很可能隱藏在那里

  C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。

  5.)如果是EXE文件啟動,那么運行這個程序,看木馬是否被裝入內(nèi)存,端口是否打開。如果是的話,則說明要么是該文件啟動木馬程序,要么是該文件捆綁了木馬程序,只好再找一個這樣的程序,重新安裝一下了。

  6.)萬變不離其宗,木馬啟動都有一個方式,它只是在一個特定的情況下啟動

  所以,平時多注意一下你的端口,查看一下正在運行的程序,用此來監(jiān)測大部分木馬應(yīng)該沒問題的。

電腦病毒清除軟件

有什么好的電腦病毒清除軟件呢!學(xué)習(xí)啦小編來教你! 電腦病毒清除軟件: 一 EXE后綴型病毒文件的手工殺毒的方法教程: 這類病毒一般是以進程的方式運行,這類病毒一般是比較好被發(fā)現(xiàn)的。下邊先說下這類病毒,是在哪里啟動的。 1/注冊表 如
推薦度:
點擊下載文檔文檔為doc格式
582170