本文目录一览:
- 1、发现一个病毒,不知道怎么删除
- 2、如何清除冰河木马
- 3、冰河木马如何清除
发现一个病毒,不知道怎么删除
我很体谅你现在气愤的心情,你先把网络关闭了(要把网络线也拔了)然后再使用安全软件给查杀,如果没有杀毒软件,也不要紧,用以下方法:1、通过进程找病毒原程序:病毒只要运行,肯定会有一个进程,通过“任务管理器”或“360安全卫士”等,我们可以查看到系统中当前运行的进程。一旦发现特别占用内存或CPU资源的进程,可以初步判断为病毒的原程序。进程名字通常是扩展名为.exe或.com的可执行文件,可以通过操作系统自带的“搜索”功能,查找该可疑进程的位置。由于一些病毒或进程会伪装成系统进程,这样会迷惑用户。例如,一些病毒通常会生成名字为“svch0st.exe”,与系统进程“svchost”的差别在于数字“0”和字母“o”,用户在查找时一定要注意。
说明:如果在系统进程中查找到了可疑的进程,可利用系统的“搜索”功能却没有找到病毒原程序,通常是要查找的进程文件是隐藏文件,可以在搜索选项中查找系统或隐藏文件,这样就能查找到病毒原程序。
2、通过注册表找病毒原程序:病毒一旦感染操作系统,会在注册表中的启动项加载一些进程。在注册表的键值中,自动加载的选项中有文件的路径,这大大方便用户查找病毒的原程序。
通常情况下,病毒原程序的加载位置在注册表的如下位置:
①HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;
②HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值;
③HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以“run”开头的键值。
查找到病毒的原文件之后,便可以对病毒举起屠刀,结束其生命了。但有时用户删除了病毒原程序后,病毒无意之间又冒了出来,其实之所以会出现这种情况,是因为没有彻底删除病毒原程序及其相关的加载选项。
彻底删除病毒原程序和加载选项
一些病毒通常会感染系统文件,用户在删除该病毒原程序时,系统会弹出“文件正在使用,无法删除”的提示,这种情况之下,要想彻底删除病毒原程序,只能使用特殊方法。下面介绍一下两种常用的删除病毒原程序的方法。
1、安全模式删除:如果遇到病毒原程序无法被删除的情况,用户可以进入安全模式下删除。如果病毒原程序感染了系统文件,必须将感染了病毒的系统文件删除,在删除之前,可以从其他没有感染病毒的机器中复制一个正常的文件替代被感染的病毒文件。
2、终止进程再删除:有些病毒无法删除是因为该文件已经被加载到正常的进程中,要想删除病毒原文件,可以将该进程强行中止,然后删除。
另外,用户可以借助一些第三方的工具删除病毒原程序,经常使用而且效果不错的第三方软件有:killbox、Icesword和unlocker,其中 Icesword当属最得力助手。删除了病毒原程序后,切记不要忘记删除病毒在注册表等处的一些加载选项。病毒除了注册表的Run键值之外,还需要检查以下几个位置并一一删除。
1、启动组:在“开始”菜单的“程序”中有一个启动组,这也是病毒的一个加载地方。一定要删除此处的病毒加载文件。
2、注册表:上文中已经提及,病毒会加载在注册表的Run键中,用户需要一一检查。如病毒原文件名字为loveyou.exe,可以使用注册表的“查找”功能进行查找并一一进行删除。
3、系统文件:win.ini和system.ini两个系统文件也是病毒的最佳藏身之处。打开win.ini后,在它的[windows]字段中有启动命令“load=”和“run=”,病毒通常加载在“=”后面。而在system.ini中,boot字段和driver字段中也是病毒的加载地方。Driver字段后加载的病毒文件,也就是我们通常所说的驱动型病毒。用户要删除上述字段中的病毒的加载选项。
删除了病毒原程序文件,以及病毒在注册表、启动组及系统文件中的加载位置之后,病毒才算真正的被消灭。彻底、完全干净的删除了病毒之后,通常会留下一定的后遗症,手工杀毒之后,还要进行修复工作。
系统修复不容忽视
越来越多的病毒为了躲过杀毒软件的追杀,或者是为了麻痹杀毒软件,通常会感染系统文件,一旦删除了系统文件,操作系统可能会留下诸多的后遗症。例如,正常情况下txt文件的打开方式为notepad.exe文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,著名的冰河木马就是这样的情况。一旦你双击一个txt文件,原本应用notepad打开该文件的,现在却变成启动冰河木马了,删除了冰河木马之后,txt文件关联就错位了。为此,删除病毒之后必须对系统进行修复。
1、复制正常系统文件:通常情况下,病毒会感染rundll32.exe文件,或者是一些扩展名为dll的文件。这种情况下,修复被病毒破坏文件的最佳方法就是从没有感染病毒的系统中复制文件,拷贝到被病毒感染的机器中。拷贝文件成功之后,重新启动计算机就可以了。
2、用恢复命令修复:在Windows XP操作系统中,对于dll文件和一些关键文件都会保存在dllcache目录中,用户可以在DOS提示符下或“运行”中输入sfc /scannow命令恢复这些系统文件。在修复过程中,可能需要插入Windows XP的安装光盘。
3、手工恢复文件关联:删除一些病毒文件后,可能会影响正常的文件关系,用户可以手工恢复文件关联。以修复扩展名为txt的文件为例,打开“文件夹选项”,在“文件类型”选项中查找.txt的文件关联,然后选择删除,点击确定后退出。在硬盘中随便找一个扩展名为.txt的文件,双击会出现一个“选择打开程序”的对话框,选择notepad.exe程序之后,txt文件关联就被恢复了。
不同的病毒对系统文件的破坏程度不同,其修复方法也不同。
如何清除冰河木马
冰河可以说是最有名的木马了。标准版冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626.
一旦运行G-server,那么该程序就会在C:\\Windows\\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。
要清除冰河,首先要删除C:\\Windows\\system下的Kernel32.exe和Sysexplr.exe文件;冰河会在注册表的HKEY_LOCAL_MACHINE\\ software\\ microsoft\\ Windows\\CurrentVersion\\Run分支下扎根,键值为C:\\Windows\\system\\Kernel32. exe,删除它。在注册表的
HKEY_LOCAL_ MACHINE\\ software\\microsoft\\Windows\\Current Version\\Runservices
分支下,还有键值为C:\\Windows\\system\\ Kernel32.exe的,也要删除。
最后,恢复注册表中的TXT文件关联功能,只要将注册表的
HKEY_CLASSES_ROOT\\txtfile\\ shell\\open\\command
下的默认值,由中木马后的C:\\Windows\\system\\ Sysexplr.exe %1改为正常情况下的C:\\Windows\\ notepad.exe %1即可。
冰河木马如何清除
冰河可以说是最有名的木马了。标准版冰河的服务器端程序为G-server.exe,客户端程序为G-client.exe,默认连接端口为7626. 一旦运行G-server,那么该程序就会在C:\\Windows\\system目录下生成Kernel32.exe和sysexplr.exe,并删除自身。Kernel32.exe在系统启动时自动加载运行,sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe,但只要你打开TXT文件,sysexplr.exe就会被激活,它将再次生成Kernel32.exe,于是冰河又回来了!这就是冰河屡删不止的原因。 要清除冰河,首先要删除C:\\Windows\\system下的Kernel32.exe和Sysexplr.exe文件;冰河会在注册表的HKEY_LOCAL_MACHINE\\ software\\ microsoft\\ Windows\\CurrentVersion\\Run分支下扎根,键值为C:\\Windows\\system\\Kernel32. exe,删除它。在注册表的 HKEY_LOCAL_ MACHINE\\ software\\microsoft\\Windows\\Current Version\\Runservices 分支下,还有键值为C:\\Windows\\system\\ Kernel32.exe的,也要删除。 最后,恢复注册表中的TXT文件关联功能,只要将注册表的 HKEY_CLASSES_ROOT\\txtfile\\ shell\\open\\command 下的默认值,由中木马后的C:\\Windows\\system\\ Sysexplr.exe %1改为正常情况下的C:\\Windows\\ notepad.exe %1即可。