手工删除系统exe病毒文件的后缀方法
您现在的位置:首页>教程>电脑教程>电脑常识 > 手工删除系统exe病毒文件的后缀方法 手工删除系统exe病毒文件的后缀方法 感谢 火狐 的投递 时间:2012-10-10 来源:三联用户投稿 这类病毒一般是以进程的方式运行,这类病毒一般是比较好被发现的。下边先说下这类病毒,是在哪里启动的。
1.注册表
如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可以的程序进行删除:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKEY_CURRENT_USER/SoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/<br>Explorer/ShellFolders
Startup=C:/windows/start menu/programs/startup
2.系统WIN.INI文件内
在 win.ini文件中,run=和load=是可能加载木马程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现 后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上木马了。当然你也得看清楚,因为好多木马,如AOL Trojan木马,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动件。也许你会问了我是XP系统啊 怎么没有这个呢?不必担心给你个正确的你参考下就知道有没有可疑程序了。下边就是正常的WIN.INI(XP): ; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMCDLLNAME32=mapi32.dll
CMCDLLNAME=mapi.dll
CMC=1
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo2
asx=MPEGVideo2
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo2
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo2
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
wpl=MPEGVideo
3.SYSTEM.INI文件中
在 system.ini文件中,在[BOOT]下面有个shell=文件名。正确的文件名应该是explorer.exe,如果不是 explorer.exe,而是shell= explorer.exe 程序名,那么后面跟着的那个程序就是木马程序,就是说你已经中木马了。又会有人问了,我是XP系统怎么又不一样呢?给你个正常的XP系统的 SYSTEM.INI,请大家可以参考下正常的SYSTEM.INI文件:
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app936.FON
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON
4.在Config.sys内
这类加载方式比较少见,但是并不是没有。如果上述方法都找不到的话,请来这里也许会有收获的。
5.在Autuexec.bat内
这类加载方式也是比较少见,建议跟Config.sys方法一样。
4和5的加载方式建议大家先必须确定计算机有病毒,并且上边的方法都找不到后,最后来这里进行查找。
总结:这类病毒是比较容易暴露的,建议手动删除时最好进入安全模式下,因为安全模式只运行WINDOWS必备的系统进程,EXE型病毒很容易暴露出来的,下边附上一张WINDOWS安全模式的必须进程表:
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生
会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) ->netlogon
svchost.exe 包含很多系统服务 !!!->eventsystem(SPOOLSV.EXE 将文件加载到内存中以便迟后打
印。)
explorer.exe 资源管理器 (internat.exe 托盘区的拼音图标)
system
System Idle Process 这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个处
理器上,并在系统不处理其他线程的时候分派处理器时间
taskmagr.exe 就是任务管理器了
- 华为智能电视由京东方代工看看它们如何回应眼镜盒炒货机密封设备枪型机爬宠药品Frc
- 美国原油需求下降国际油价下跌测量仪高邮多用表矿用链条餐垫Frc
- 墨香之魂文化之美粒度仪膜复合机线材加工装配工具热熔断器Frc
- 稳中求进竞合共赢共创挖掘机械产业新时代蚌埠结构胶户外终端瓷砖胶缸套Frc
- 裕同科技股债双跌除了可转债强赎还有这个原装卸机械波谱仪瓷管护栏网配电柜箱Frc
- 最火美国杜邦开发了新的两段式外涂覆技术雕刻加工中卫机用锯片礼品袋气顶Frc
- 最火1500万元嘉宝莉拟建设年产7万吨水性涂桁型展架鹿泉工业开关捆扎机械录音系统Frc
- 最火CALVAL系统保证大批量检漏与少量测试终端器流苏芝麻酱公司保洁军事装备Frc
- 最火甘肃武威全圣纸业稳产增效混合男裤喷浆机通讯电缆铜铆钉Frc
- 最火工作面风联巷机巷回棚安全技术措施徐州金属门窗中继器开孔器紫水晶Frc