彻底解决文件夹变EXE文件病毒
手自清除:
1.清除病毒。
a.结束进程:打开任务管理器,结束以名为XP-D41D8CD9.EXE的进程。(命令行可用TASKKILL /F /IM XP-D41D8CD9.EXE)
b.删除病毒文件:打开C:\Windows\system32\目录,删除名为XP-D41D8CD9.EXE 的病毒文件。(注:此文件具有隐藏属性,需要打开资源管理器的查看隐藏文件选项,当然也可用命令行去掉隐藏属性后del掉)
c.打开临时文件夹,删除所有可以删除的文件(可以借助其他软件或在资源管理器中的地址栏中输入%temp%转到)
至此,电脑中病毒已经清除完毕。
2.清除启动项:
此步骤可借助其他软件完成。
a.打开注册表,定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run,删除名为XP-D41D8CD9.EXE的项。
b. 打开启动文件夹,C:\Documents and Settings\用户名\「开始」菜单\程序\启动\,(注:可以通过在开始菜单->程序->启动项上右键选择打开,此时启动项显示为空,因为文件具有隐藏属性)通过类似1.b.的步骤删除文件夹下一个名为" .lnk"快捷方式。
3.重新显示被隐藏的文件:
此病毒只感染U盘,因此,首先下载Safe360之类的软件,打开U盘监控。在这里也可用USBKiller这款垃圾软件,它能错杀三千,而不漏过一个。
a.插入U盘后会有自动检测,并删除autorun.inf文件,以去掉病毒U潘的自运行。
b.删除所有具有文件夹图标的程序。显示所有隐藏文件后,选中文件夹,将属性中的隐藏属性去掉即可。
最近流行的ARP病毒彻底清除方法 1、删除”病毒(一种具有隐蔽性破坏性传染性的恶意代码)组件释放者”程序: “%windows%\System32\LOADHW.EXE”(window xp 系统目录为:“C:\WINDOWS\Syst em32\LOADHW.EXE”) 2、删除”发ARP欺骗包的驱动(驱动程序即添加到操作系统中的一小块代码,其中包含 有关硬件设备的信息)程序” (兼“病毒(一种具有隐蔽性破坏性传染性的恶意代码)守护程序”): “%windows%\System32\drivers\n pf.sys”(window xp 系统目录为:“C:\WINDOWS\Syste m32\drivers\npf.sys”) 2、npf.sys病毒手工清除方法 3、病毒的查杀有很多种方式,下面就让我们来介绍一下手工查杀的方法。 4、npf.sys(%system32/drivers/npf.sys)是该npf病毒主要文件,病毒修改注册表创建系统服务 NPF实现自启动,运行ARP欺骗,在病毒机器伪造MAC地址时,不停地向各个机器发送ARP包堵塞网络,使得传输数据越来越慢,并且通过伪掉线来使用户重新登陆游戏,这样它就可以截取局域所有用户登陆游戏时的信息数据。 5、该病毒往往造成网络堵塞,严重时造成机器蓝屏!!!!。开始杀毒: 6、1.首先删除%system32/drivers/下的npf.sys文件 7、2.进入注册表删除 8、HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/Npf服务。 9、同时删除 10、HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Enum/Root/LEGACY-NPF 11、HKEY_LOCAL_MACHINE/SYSTEM/ControlSet002/Enum/Root/LEGACY-NPF 12、 3.删这两键时,会提示无法删除,便右键,权限,设everyone控制,删除。 13、 14、 a. 在设备管理器中, 单击”查看”-->”显示隐藏的设备” b. 在设备树结构中,打开”非即插即用….” c. 找到“NetGroup Packet Filter Driver”或“NetGroup Packet Filter” ,若没找到,请先刷新设 备列表 d. 右键点击“NetGroup Packet Filter Driver”或“NetGr oup Packet Filter”菜单,并选择”卸 载” e. 重启windows系统 f. 删除“%windows%\System32\drivers\npf.sys”(window xp系统目录为:“C:WINDOWS\ System32\drivers\npf.sys”) 3、删除”命令驱动(驱动程序即添加到操作系统中的一小块代码,其中包含有关硬件设 备的信息)程序发ARP欺骗包的控制者”
文件夹变成exe,所有文件夹变成exe怎么办 根据网络安全的调查,发现最近文件夹变成exe的病毒困扰了不少的网友,很多网友中招之后只能是重装系统。下面小编将为大家开放专题课程手把手教大家所有文件夹变成exe修复方法,就用杀毒软件进行清除。 文件夹变成exe,所有文件夹变成exe怎么办 网友最佳回答:这种情况有可能是感染病毒,而且是披了个文件夹图标的马甲,你可以大胆的删除掉!你本身的文件夹则被隐藏了!打开文件夹选项-查看-显示所有文件,找到被隐藏的文件夹,更改属性,去掉隐藏前的勾!就可以了!最后提醒你一下,记得杀杀毒啊! 所有文件夹变成exe怎么办 网友电脑中文件夹变成exe后,网友如果不细心可能还不能发现电脑已经中毒,如果电脑设置的是默认的隐藏文件后缀名,用户发现的概率更低了。如果有网友怀疑电脑中了文件夹变成exe的病毒,
先将文件后缀名显示的选项打开。(请看下图详解)如果发现有很多与很多与文件夹同名的exe后缀的文件,那么就是中毒了。 现在大家会发现原来杀毒工具不光能够对游戏起到很好的保护作用,对于这类文件夹变成exe的病毒也能起到一个很好的查杀,不幸中招的网友可以下载杀毒软件或者木马查杀工具进行查杀。 文件夹变成exe病毒现象 用户如果不幸中了这个病毒,就会发现所有的文件夹都变成了exe,同时会出现电脑卡的情况,因为CPU资源被病毒占用了,这时候就需要用杀毒软件进行查杀了。 相关文章: 1.文件夹变成exe,所有文件夹变成exe怎么办
2.xlive.dll放在哪,没有找到xlive.dll怎么办 3.无法删除文件的解决办法 4.alg是什么进程能关闭吗 5.电脑空文件夹无法删除怎么办 6.c盘满了空间不足怎么办
手工清理病毒原来可以如此简单 2007-12-14来源: 进入论坛 编者按:当大家看到这个题目的时候一定会觉得手工杀毒真的很简单吗?笔者写这个文章的目的就是让所有菜鸟在面对病毒的时候能轻而易举的狙杀掉它,而不是重装系统,或者在重装N次系统以后无奈的选择格式化,结果却依然无法将讨厌的病毒驱逐出你可怜的电脑。今天我们以今年泛滥比较严重的病毒之一的“AV终结者”的手工清理方法来像大家讲述如何手工清理这类非感染exe文件类型的病毒(本次讲述的办法在清理完病毒源头以后借助专杀工具依然可以适用于清理感染exe类病毒)。 第一步:知己知彼,百战百胜 要战胜AV终结者,我们先要了解自己的处境和它的特性还有弱点。首先我们来了解下AV终结者的执行以后的特征: 1.在多个文件夹内生成随机文件名的文件 旧版本的AV终结者在任务管理器里可以查看2个随机名的进程,新的变种文件名格式发生变化,目前我遇到过2种。 一种是随机8个字母+数字.exe和随机8个字母+数字.dll;另一种是6个随机字母组成的exe文件和inf文件。不管变种多少它们保存的路径大概都是如下几个: C:\windows C:\windows\help C:\Windows\Temp C:\windows\system32 C:\Windows\System32\drivers C:\Program Files\ C:\Program Files\Common Files\microsoft shared\ C:\Program Files\Common Files\microsoft shared\MSInfo C:\Program Files\Internet Explorer 以及IE缓存等 这个是我个人总结出来的,随着病毒的变种。获取还有其他的。我这里只提供参考。 2.感染磁盘及U盘 当你的系统中了AV终结者,你会发现你的磁盘右键打开时将出现一个”Auto”也就是自动运行的意思,此时你的电脑已经中毒了,而且如果你这个时候企图插入移动硬盘、U盘,或者刻录光盘以保存重要资料,都将被感染。这也就为什么许多用户重装完系统甚至格式化磁盘以后病毒依然的原因。 当你重装完系统,必定会有双击打开硬盘寻找软件或者驱动的时候,这个时候寄生在你磁盘根目录内的Autorun.inf文件就起到让病毒起死回生的功能了。这绝对不是耸人听闻哦! 3.破坏注册表导致无法显示隐藏文件 我们一起来看看磁盘里的Autorun.inf,因为此时你的系统已经无法显示隐藏文件了。这个也是AV终结者的一个特征,所以我们这里用到几条简单的dos命令。 开始菜单-运行-输入“cmd”来到cmd界面,输入“D:” 跳转到D盘根目录,因为AV是不感染C盘根目录的,再输入“dir /a”显示D盘根目录内的所有文件及文件夹。“/a”这个参数就是显示所有文件,包含隐藏文件。如图:
以Safedrvse.exe为例进行蠕虫病毒行为分析与清除 【摘要】蠕虫病毒是目前所有计算机病毒中数量最多、传播最快、危害最大的一种病毒类型。如何有效的进行蠕虫病毒的防范与清除,是目前在计算机信息安全领域面临的一个严峻问题。只有清楚掌握蠕虫病毒在计算机中的运行情况,了解其行为,才能有效的对其进行防范和清除。本文以典型的蠕虫病毒Safedrvse.exe病毒为例说明蠕虫病毒的分析与清除方法。 【关键词】蠕虫病毒;行为分析;病毒防治 1.Safedrvse.exe病毒行为分析 1.1 Safedrvse.exe病毒简介 Safedrvse.exe病毒目前大范围感染高校内的计算机,使得计算机无法正常的使用。Safedrvse.exe病毒还会自动搜索和关闭杀毒软件,被长时间深度感染的计算机中的应用程序往往都会被破坏掉,使得计算机几乎无法正常使用。 1.2病毒行为分析 在虚拟机系统中,通过filemon监控工具、HA_ProcessExplorer进程分析工具和icesword病毒分析工具对病毒行为进行分析。 开启filemon后运行病毒程序,filemon会记录病毒的运行情况。 (1)找到病毒副本 Safedrvse.exe病毒在系统中的C:\Program Files\Common Files目录下创建了病毒文件的副本如图1所示。打开相应的文件夹可以验证病毒副本的存在如图2所示。并且病毒还会在系统中所有盘符的根目录中生成病毒副本。 图1 病毒在系统中创建副本 图2在系统中的病毒副本 (2)找到病毒进程 进程的判定对于病毒的分析非常重要。由于Safedrvse.exe病毒将自己在系统中的进程注入到svchost.exe 进程中,使得病毒本身具有较强的隐蔽性和迷惑性。在filemon的记录中可以看到svchost.exe 进程与病毒文件之间的关系,从而可以初步断定编号为2504的进程是病毒进程。 图3 病毒进程读写病毒文件 在HA_ProcessExplorer工具中可以看到,其中进程号为2504的svchost.exe 进程与系统中其它svchost.exe进程不同,它是explorer.exe的子进程,说明它是用户进程而不是系统进程。 图4编号为2504的svchost.exe进程是explorer.exe的子进程 打开资源管理器同样可以看到只有一个svchost.exe进程是用户进程如图5所示。 图5 svchost.exe进程是用户进程 (3)找到病毒启动项 蠕虫病毒通常会加载到注册表的自启动项中。通过查找可以发现在注册表HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Safedrvse.exe中存在病毒启动项。 2. Safedrvse.exe病毒手工清除 在掌握Safedrvse.exe病毒的关键行为之后可以对其进行手工清除。 (1)找到并关闭病毒进程svchost.exe。
常见木马病毒清除的方法 来源:互联网 | 2009年09月23日 | [字体:小大] | 网站首页 由于很多新手对安全问题了解不多,所以并不知道自己的计算机中了“木马”该怎么样清除。虽然现在市面上有很多新版杀毒软件都可以自动清除“木马”,但它们并不能防范新出现的“木马”程序,因此最关键的还是要知道“木马”的工作原理,这样就会很容易发现“木马”。相信你看了这篇文章之后,就会成为一名查杀“木马”的高手了。 “木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动,你当然不会指望用户每次启动后点击“木马”图标来运行服务端,,“木马”会在每次用户启动时自动装载服务端,Windows系统启动时自动加载应用程序的方法,“木马”都会用上,如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 在win.ini文件中,在[WINDOWS]下面,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan 木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。 在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表 “HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer 键值改为Explorer=“C:WINDOWSexpiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。 当然在注册表中还有很多地方都可以隐藏“木马”程序, 如:“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能,最好的办法就是在
实现在安卓系统上完美运行EXE格式文件办法 需要东西: 1网上下载Bochs模拟器主程序(就是一个apk程序文件) 2配置文件(已经打包好在附件里) 3系统镜像 操作步骤 步骤1:安装模拟器主程序(这个就不用多说了,和普通安卓应用一样) 步骤2:将装有配置文件的SDL文件夹拷贝到机身内存根目录中(没有机身内存的手机请拷贝到SD卡中,不清楚拷贝到哪里的就用RE管理器拷贝到手机根目录显示sdcard的文件夹里) 步骤3:将系统镜像文件改名为c.img,拷贝到步骤2中的SDL文件夹(要用什么系统就拷贝相应的镜像) 步骤4:运行安装好的模拟器主程序,没有问题的话就会开机运行操作系统了 教程只是个初级傻瓜教程,要想实现模拟系统实现更多的功能(优化虚拟机性能、增加磁盘等)请翻阅XDA的帖子。传送 门: h t t p: // https://www.doczj.com/doc/6413382590.html,/showthread.php?t=1459153 想要自己制作磁盘镜像来安装自己所需操作系统的请参阅这个帖子(希望能有人试试win7之类的系 统): h t t p: // https://www.doczj.com/doc/6413382590.html,/showthread.php?t=1 465365 最后放出用的工具和镜像 模拟器主程序+配置文件(配置文件已装在SDL文件夹,直接将SDL文件夹拷贝到内存根目录就行):https://www.doczj.com/doc/6413382590.html,/file/c2bqgy19# win98磁盘镜像:https://www.doczj.com/doc/6413382590.html,/file/dpy6g3eq# winxp磁盘镜像:https://www.doczj.com/doc/6413382590.html,/file/c2bqgit0# bochs的主页有一些linux和UNIX类的系统磁盘镜像,有需要的可以翻翻: h t t p://https://www.doczj.com/doc/6413382590.html,/diskimages.html
20种恶意插件手工清除方法 如今,恶意软件及插件已经成为一种新的网络问题,恶意插件及软件的整体表现为清除困难,强制安装,甚至干拢安全软件的运行。下面的文章中就给大家讲一部份恶意插件的手工清除方法,恶意插件实在太多,无法做到一一讲解,希望下面的这些方法能为中了恶意插件的网友提供一定的帮助。 1、恶意插件Safobj 相关介绍: 捆绑安装,系统速度变慢,没有卸载项/无法卸载,强制安装,干扰其它软件正常运行, 清除方法: 重新注册IE项,修复IE注册。从开始->运行 输入命令 regsvr32 actxprxy.dll 确定 输入命令 regsvr32 shdocvw.dll 确定 重新启动,下载反间谍专家查有没有ADWARE,spyware,木马等并用其IE修复功能修复IE和注册表,用流氓软件杀手或微软恶意软件清除工具清除一些难卸载的网站插件。 到https://www.doczj.com/doc/6413382590.html,下载KillBox.exe。在C:\Program Files\Internet Explorer\目录下,把LIB 目录或Supdate.log删除。 跳窗网页可能保留在HOSTS,一经上网就先触发该网址为默认,就会自动打开,检查HOSTS: 用记事本在C:\WINDOWS\system32\drivers\etc\目录下打开HOSTS 在里面检查有没有网址,有则删除。 或在前面加 127.0.0.1 保存后屏蔽掉。 如果是弹出的信使: 从开始->运行,输入命令: net stop msg net stop alert 即终止信使服务。 2、恶意插件MMSAssist 相关介绍: 这其实是一款非常简便易用的彩信发送工具,但它却属于流氓软件!并采用了类似于木马的Hook(钩子)技术,常规的方法也很难删除它,而且很占用系统的资源。 清除方法: 方法一:它安装目录里第一个文件夹有个.ini文件,它自动从 https://www.doczj.com/doc/6413382590.html,/updmms/mmsass.cab下载插件包,包里有albus.dll文件,UPX 0.80 - 1.24的壳,脱掉用16位进制软件打开发现这个垃圾插件利用HOOK技术插入到explorer和iexplore中,开机就在后台自动运行。 安全模式下,右键点击我的电脑-管理-服务-禁用jmediaservice服务,删除C:\windows\system32下的Albus.DAT,删除C:\WINDOWS\SYSTEM32\DRIVERS下的Albus.SYS,删除彩信通的安装文件夹,开始-运行-regedit-查找所有MMSAssist并删除,如果怕注册表还有彩信通的垃圾存在,下载个超级兔子扫描下注册表再一一删除,你也可以试试超级兔子的超级卸载功能。 要阻止它再次安装,也很简单。彻底删除它之后,你在它原来的位置新建一个与它同名的文件夹,
所有文件夹变成exe的解决办法 作者:不详加入时间:3/28/2008 10:37:49 AM 最近电脑中了一种很可恶的“病毒”,症状主要表现为电脑硬盘里所有的文件夹都被隐藏掉,无法用regedit进入注册表,也无法用cmd进入DOS命令行,然后创建与文件夹同名的exe可执行文件,该文件的图标与文件夹的图标完全一样,比较难以区分是文件还是文件夹。当用户双击这个文件时,屏幕会闪一下,然后打开相应的文件夹。而且系统时间会被更改为1988年的某月某日,所有创建的可执行文件时间都是一样的,文件大小为21K左右。 中这种病毒以后很是麻烦,最新版的瑞星也不起作用,甚至都启动不了瑞星,用瑞星来杀毒也显示没有病毒。我的解决办法如下: 1、用光盘或U盘启动的DOS下,然后用ghost恢复之前做过备份的系统(如果没备份的话就重装系统); 2、重启电脑进入系统,但不要打开其它盘里的任何可以看到的目录,因为此时所谓的目录可能还是那些可恶的可执行文件。打开我的电脑,点工具菜单里的文件夹选项,再点查看选项卡,按图1进行设置,点确定关闭窗口; 3、在开始菜单->运行,输入cmd回车进行DOS命令行, 输入d:回车进入d盘, 再输入dir /ah auto*.*回车,看有没有一个autorun.inf的文件存在。如果没有,可直接执行第四步,如果有,按以下步操作执行: 在DOS命令行窗口输入 attrib –s –r –a –h autorun.inf 回车 del autorun.inf 回车 然后再进入e盘、f盘等其它盘执行上面两个命令来删除那个autorun.inf的文件。 做完此步后,再打开我的电脑就可以双击进步d盘或者其它盘了,此时会看到里面有一些显示为灰色的文件夹,这些都是你自己的文件夹;同时还会有一些亮的文件夹,但它们是可执行文件,千万不要去双击打开它们,如果双击就又完蛋了;
U盘中exe文件夹病毒怎么办 当你使用U盘时发现你的U盘下面文件夹的后缀名都变成了.EXE,那恭喜你,你的U盘中了文件夹.EXE 病毒。 这个毒虽然是小毒,但是通常的杀毒软件和safe360都杀不掉,怎么办。如果不清除这个病毒,当你点了中病毒的文件夹,又会感染其他的电脑。后来我问了朋友U盘中了文件夹.exe病毒应该用什么杀毒软件,朋友说那些文印店、照相馆他们都用文件夹.exe专杀-U盘杀毒专家。 于是我下载了U盘杀毒专家USBkiller,并小小研究了一下,下面我展示一下我的研究成果,如何用U盘杀毒清除文件夹.exe病毒。 怎样使用U盘杀毒专家(USBKiller)清除电脑中的文件夹.exe病毒呢?请参照以下步骤操作: 1. 首先确保您已经正确安装了正版的U盘杀毒专家(USBKiller),有关该下载过程,可以参考以下教程:查看如何安装U盘杀毒专家单机版 2. 将U盘等可移动存储器插入USB接口,双击打开U盘杀毒专家(USBKiller),此时会出现如下界面:
3. 选择需要扫描的对象,然后点击“开始扫描”: U盘杀毒专家(USBkiller)开始对您的电脑进行查杀病毒,等待片刻,您就可以清除病毒。 4. 扫描结束,会在任务栏里面列出查杀到的文件夹.exe病毒,并且会列出处理的结果。 5. 此时,查杀到的文件夹.EXE病毒已经完全被杀掉了,再次打开U盘,我们可以正常打开文件夹,而且清楚的看到我们的磁盘上的文件夹后面的.exe后缀名都已经消失了。 利用U盘杀毒专家(USBKiller)这个文件夹.exe病毒专杀,我们可以轻松的将U盘中的文件夹.exe病毒进行剿灭。 到这里了解更多关于U盘杀毒专家(USBKiller)的信息: https://www.doczj.com/doc/6413382590.html,
手工清除https://www.doczj.com/doc/6413382590.html,病毒的方法 中毒现象:每隔30秒飞出一个飘动的图片,写着“your computer is being attacked”(您的计算机受到攻击),还不停地发出噔噔的声音。有时开机有一个进程借“regedit.exe"(注册表编辑器)发作,跳出一个象枫叶样的窗口在屏幕上晃来晃去。不能切换中英文输入,输入法失效和优盘文件夹丢失。查看各盘符根目录下有https://www.doczj.com/doc/6413382590.html, 文件;查看进程有:Global.exe、keyboard、fonts.exe等进程,即可确定电脑已被此病毒感染。由于其他盘上还有病毒(如优盘上的220K病毒文件),即使格式化C盘,重装系统,稍不留意仍然会死灰复燃,前功尽弃。我单位最近因为此病毒大面积泛滥造成人人自危,由于没有专杀软件,防毒、杀毒苦不堪言,严重影响正常工作。 杀毒需要的文件: 一共有四个文件:sreng-2,冰刃IceSword122cn ,yereg-rd.bat ,yereg-rd.bat。 第一步运行“冰刃IceSword122cn”,中止该死的进程。 第二步运行“yereg-rd.bat”,删除所有病毒文件,建立免疫文件夹。
第三步运行“sreng-2”,修复注册表编辑器的关联。打开sreng-2(可能有已经过期的提示,不要紧,把系统日期修改成2007年照样可用),别的都不用做,只把“系统修复--文件关联”做一下就可以了。重复点几下,当发现 .reg 的关联变成“regedit.exe”就正常了(如果第一步没有中止进程,这里也不可能恢复)。 第四步运行“killms.reg”,导入注册表,清除注册表启动项和清除映像劫持项以及清除一些病毒残留。 总结一下几个关键点:必须先中止进程,否则根本没办法继续往下做第二步;然后是修复regedit注册表编辑器的关联,这是为做第四步创造前提条件。环环相扣,不能省略也不能提前做。 具体的杀毒方法和原理分析 关键字:global.exe、fonts.exe、keyboard.exe、https://www.doczj.com/doc/6413382590.html,、tskmgr.exe、remoteabc.exe、autorun.inf、输入法丢失、找回输入法、220K文件夹、映像劫持、regedit 关联、病毒防御、病毒免疫。
解决U盘里文件夹变EXE文件问题 今天用U盘拷东西,发现文件夹后都有个exe,打不开删了又会生成,发现是中毒了,下面是查杀步骤: 病毒手段:根据老白的描述,这一病毒必然是更改了注册表,将显示隐藏文件这一功能给关了,同时将所有正常文件都加上了隐藏属性,所以大家就看不到自己的文件只是看到一些EXE的病毒生成的同名文件夹.不过如果该病毒只是采用这一招的话那手段并不高明,要是我写这一病毒,我必然会同时禁止掉任务管理器,同时禁止所有的杀毒软件,一发现杀毒软件就把它的进程杀掉,最后再写个保护进程的机制,每隔几秒就自动检测病毒生成文件也就是触发文件是否被删,如果被删就再自动生成.呵呵以上只是个人的一些方法,大家就不要去写了,因为写病毒是违法的,只是让大家了解下这方面的知识罢了.对了老白说是只有U盘中.应该是利用autorun.inf 在作怪,同时提醒大家一点利用这招可以让你的所有磁盘都中毒,所以如果你右击你的磁盘发现弹出的菜单有两个打开可是一个打开为加粗状态,那就不要直接双击打开该磁盘了,改用资源管理器打开. 好了说了一堆废话,现在说下解决方案: 重启电脑按F8进入安全模式(因为我没见到具体症状,所以让大家在安全模式下杀会安全些.),经下列注册表键值拷进记事本中另存为***.reg文件,直接双击,会提示说是否导入注册表,选择是,然后会提示导入成功,执行第4步后,此时打开"我的电脑"--工具--文件夹选项--将里面的隐藏文件和文件夹下的显示所有文件和文件夹,隐藏受保护的操作系统文件(推荐)选中点击确定,系统文件即可显示。 1.用Wsyscheck将红色可疑进程同时关掉,Default.exe,KEYBOARD.exe,Fonts.exe,Global.exe。
清理病毒的终极方法 【摘要】计算机病毒的泛滥与层出不穷,往往使普通用户深受其害,有时候更是束手无策,也使学生如临深渊,教材中也缺少系统的解决方案。寻找反击病毒的通用方法,尽最大可能恢复系统的正常,使普通用户也能在危机的时候凭最基本的操作能自己处理此类问题,为病毒防杀软件提供纯净平台。 【关键词】病毒可疑进程 DOS 运行权 PE系统釜底抽薪备份忠告 你已经明显的感觉到你的系统出现了问题,比如打开程序缓慢,移动鼠标困难,浏览网页不顺畅,莫明其妙的跳出些窗口,正常的程序不能运行,硬盘上出现了一些你不清楚的文件与目录,但是你却束手无策,因为你的杀毒软件已经不能正常运行,你的各种流氓软件清理工具也已经失灵,甚至你想登录到一些病毒防杀治理的网站都不可能。这个时候的病毒已经一手遮天,对它产生“危害”的程序及操作它都要想方设法阻止,它在大模大样的狞笑,怎么办?去找“高人”吗,好象也可以,但恰巧“高人”有事去了,你却心急如焚;去重装系统吗,好像绝大部分人不想这么做,恐怕你也不想这么做。怎么办?自己办! 一点预备知识。病毒本质上也是一个计算机程序,它再厉害还不能达到你对它不能进行任何操作的程度,脱离了系统环境,它的一切功能就将消失,随你来“修理”它。得不到系统的支持它没有任何威胁,只要我们不让它运行,就为我们来清理它创造了有利的条件。 病毒要挟持系统,无外乎是在杀毒软件及流氓软件清理工具掌管系统之前优先占领系统,在系统的制高点上来狙击对它自身产生“危害”的程序及操作,从而获得系统至高无上的权利,使自己随时处于保护与传播及破坏的状态。要想抢先运行,无外乎依赖系统提供的方式,都要在系统启动的时候加载自己,尽可能的利用系统存在的漏洞,既要保证系统工作又要使自己隐身其中,都要在内存及系统的关键位置留下蛛丝马迹,这就为我们消灭它提供了线索。摧毁其“政权”,支解它的体系,反其道而行之就是我们来发现它、战胜它的途径。下面我们就来见招拆招,练就清理病毒的终极方法。
最重要的是小心防范,陌生人的东西千万不要收!包括非exe文件,我们现在发现了doc文件能 隐藏exe文件,也会有人发现其他文件能隐藏exe,所以大家千万要小心 手工消灭了一个感染U盘文件的病毒DOC.exe,它的表现特征: U盘插入后,即被写入win32.exe、win33.exe以及很多.exe的病毒文件,以相似图标冒充mp3和doc文档;任务管理器打开察看,有名为doc.exe的进程。 此病毒名为:Worm.DocKill.b(移动杀手),可感染Win95以上的操作系统,以及MP3、U盘、软盘等存储媒体 病毒根治: 1.不要插U盘 2.在任务管理器中将 DOC.exe 结束 3.在C盘查找文件doc.exe, doc1.exe ,如果系统是XP还需要在高级选项中选中查找隐藏文件,找到后删除 4.打开资源管理器,找到文件夹 c:\Documents and settings\All Users\[开始]菜单\程序\启动 将其中的 Windows word 这个文件删掉(现在看不到看不到它的扩展名其实是exe) 5.运行regedit,将开机运行项目中的doc.exe清除 在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (另有资料表明:该病毒还创建了 c:\windows\system32\hook.dll , 并将之加入了注册表启动项里,不过我这里没发现这种情况) 后遗症的治疗: 经该病毒感染后,系统无法显示隐藏文件和文件扩展名,即使去文件夹选项中去改设置也没用,这时需要手工去注册表改 6.显示所有文件和文件夹
常见病毒手动查杀 计算机现在已经成为我们日常生活的不可或缺的一部分,但同时计算机病毒的泛滥也给我们的生活带来了不可估量的损失 和影响。如果计算机中了病毒,但没有联网或者杀毒软件失效时,我们该怎么应对呢,我们可以先尝试手动处理清除这些病毒,实在不行就只能重装系统了。这里我们简要介绍一下常见病毒的症状和清除方法。 本文主要介绍以下几种常见病毒的清除,其他的额可以举一反三:I-WORM/Badtrans.b病毒的清除、恶性蠕虫病毒 “I-Worm.Aliz”清除、Nimda.e病毒、I-WORM/Badtrans.b,病毒的清除、清除Sircam蠕虫病毒、清除“快乐时光”病毒、清除圣诞节病毒的方法、Win32/MTX.A.Worm病毒的清除方法、如何自行将MSIE.HTA(网路害虫)清除。 具体内容: 手工删除BackOrifice2000的方法: 首先用最新DOS版的杀毒软件开机杀毒,然后将邮箱中的带毒邮件一一删除,否则又会重复感染,该病毒传播能力极强,必须加强防范,为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。 恶性蠕虫病毒“I-Worm.Aliz” 又出现Nimda.e病毒,再次更新详细解毒方案
清除方法: 1.使用干净DOS软盘启动机器。 2.执行vrvdos,查杀所有硬盘。 3.在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。 4.开启实时监测病毒防火墙。 5.为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。 6.WINDOWS2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。 7.如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区。 8.下载补丁。 9.病毒被清除后,在windows的system目录下的文件riched20.dll将被删除,请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话,写字板和OFFICE,WORD等程序将不能正常运行。在WINDOWS98系统下的该文件大小是:431376字节。或重装office。 Nimda病毒解决方案
将PPT文件变为EXE可执行文件的几大步骤 导读:所有的电脑都可以执行EXE格式的文件,但是有些电脑上没有安装Office,也就无法查看PPT文档。那么如何将PPT文件打包成EXE可执行文件?也许,你会说,WORD的文件打包那么简单,ppt打包为EXE可执行文件也很简单吧.但是事实并非如此,不论是什么文件,打包成EXE的可执行文件在携带起来就会很方便,但对于PPT也就是PowerPoint 2003 (幻灯片)打包的方法很多人并不了解,所以,今天就为大家介绍一下新的在PowerPoint 2003(幻灯片)中打包的方法,且看以下的介绍: 1、在PowerPoint 2003中打开,创建或编辑一新的或已经存在的演示文档。在任何时候,尤其是创建新的演示文档或链接媒体做演示的时候,对文件名的命名请使用旧的DOS 8.3命名规则,就是文件名不要超过8个字符,扩展名不要超过3 个。保存演示时选文件---CD打包。…… 2、在CD打包的对话框中,给项目起个名字。你会发现活动演示已经包含在每一个默认的选项--包括在CD 编辑中新的PowerPoint 2003 查看器。选择拷贝到文件夹的选项(勿选拷贝到CD)。PowerPoint 将储存所有需要的内容-包括演示、链接的文件,查看器和两个文本文件(autorun.inf 和play.bat)。退出PowerPoint。 3、在windows 2000,xp,2003中,点开始--运行--输入"iexpress" (不含引号)。这将打开IExpress 向导,一个windows 没有公开的秘密。因为IExpress 是一系列向导驱动的屏幕显示,所以下面每一步以抓屏说明。 4、使用IExpress创建一个新的自解压引导文件,选择Create a new self extractiondirective file in IExpress,Next。 5、IExpress 需要知道如何将你的文件打包,选择第一项"Extract files and runan installation command",Next. 6、给你想打得包一个名字,Next 7、在这一屏,IExpress 需要知道在最终用户在激活你的包时我们是否需要一个确认提示--因为我们想要我们最终完成的单独exe文件尽可能的透明,在这我们选择“Noprompt”选项,Next 8、你可以选择显示同意许可--作为演示,我们选择Don"t diaplay a licence---Next 9、该屏可能在整个IExpress 向导里面是最重要的一步。点Add---引导到你创建的PowerPoint 2003 CD包所在的文件夹,添加所有的文件然后Next。
系统安全:剿清删不掉的DLL木马 DLL注入木马是目前网络上十分流行的木马形式,它就像是一个寄生虫,木马以DLL文件的形式,寄宿在某个重要的系统进程中,通过宿主来调用DLL文件,实现远程控制的功能。这样的木马嵌入到系统进程中可以穿越防火墙,更让人头疼的是,用杀毒软件进行查杀,杀软即使报警提示发现病毒,但是也无法杀掉木马病毒文件,因为木马DLL文件正被宿主调用而无法删除。下面我们把杀软放到一边,通过专用工具及其手工的方法来清除DLL木马。 一、清除思路 1、通过系统工具及其第三方工具找到木马的宿主进程,然后定位到木马DLL文件。 2、结束被木马注入的进程。 3、删除木马文件。 4、注册表相关项的清除。 二、清除方法 1、普通进程DLL注入木马的清除 有许多DLL木马是注入到“iexplore.exe”和“explorer.exe”这两个进程中的,对于注入这类普通进程的DLL木马是很好清除掉的。 如果DLL文件是注入到“iexplore.exe”进程中,此进程就是IE浏览进程,那么可以关掉所有IE窗口和相关程序,然后直接找到DLL文件进行删除就可以了。如果是注入到“explorer.exe”进程中,那么就略显麻烦一些,因为此进程是用于显示桌面和资源管理器的。当通过任务管理器结束掉“explorer.exe”进程时,桌面无法看到,此时桌面上所有图标消失掉,“我的电脑”、“网上邻居”等所有图标都不见了,也无法打开资源管理器找到木马文件进行删除了。怎么办呢? 这时候可以在任务管理器中点击菜单“文件”→“新任务运行”,打开创建新任务对话框,点击“浏览”挖通过浏览对话框就可以打开DLL文件所在的路径。然后选择“文件类型”为“所有文件”,即可显示并删除DLL了。(图1)
“ “ 把所有需要的文件(PPT 播放程序、PPT 文件、声音视频等外部文件)都封装到一个 EXE 文件中,是肯定 的,而且完全不需要其他高级程序,只要有 PowerPoint Viewer 2003 (因为 pptview97 对高版本支持不好, 所以采用 2003 版本)和 WinRAR 两个软件就能实现。 (一)准备: ①幻灯片源文件(你要打包的幻灯片源程序,如*.PPT/PPS/POT ); ②Microsoft Office PowerPoint Viewer 2003(PPT 播放程序); ③WinRAR (我用的是 3.30 中文版)。 (二)步骤:第一步: ①安装 Microsoft Office PowerPoint Viewer 2003 ; ②把 C:\Program Files\Microsoft PowerPoint Viewer\ 内的文件都复制到工作文件夹 ABC 中(包括: ppvwintl.dll; unicows.dll; gdiplus.dll; icons.icl; pptview.exe; saext.dll; intldate.dll ); ③把你要打包的 PPT 文件(如 123.ppt 和需要的声音视频文件)也复制到 ABC 文件夹内。 第二步:安装 WinRAR3.30 中文版,接下来步骤全部用 WinRAR 完成。 ①选中 ABC 文件夹内的所有文件,在选中文件上点击右键,选择“添加到档案文件(A)...”。 ②出现“档案文件名字和参数”窗口。在“常规”标签中的“创建释放格式档案文件(X)”选项前打勾,并为档 案文件任取一个文件名(如 123.exe ),注意以 EXE 结尾,然后点击“高级”标签。压缩方式”最好选择“存储” ,这样打开的速度最快。当然,假如空间紧张也可以适当调整。 ③在“高级”标签中点击“SFX 选项(X)…”按钮。 ④出现“高级自释放选项”窗口。在“常规”标签下的“释放后运行(F )”中,输入:“pptview.exe 123.ppt”, pptview.exe 和 123.ppt 中间有一空格。 ⑤在“模式”标签中,在“解压到临时文件夹(T )”前打上勾;“缄默模式”选择“全部隐藏”。这样可以在打开 文件时,不出现任何提示,播放幻灯片;并在退出演示后,不在演示电脑上留下任何痕迹。 ⑥在“文字和图标”标签中,自定义 SFX 图标”中给即将生成的 EXE 文件指定一个 ICO 图标。也可以不指 定,使用默认的 SFX 图标了。强烈建议指定一个个性化的图标,这样一般人就看不出这是用 WinRAR 制 作的了。 ⑦确定再确定之后,开始压缩,最后生成一个 123.exe 文件。 双击 123.exe ,开始播放幻灯片,退出之后在演示电脑内没有留下任何痕迹,目的达到。这样的一个 exe 文件,体积比 PPT 源文件增加了 4.5M 左右(主要是 PowerPoint Viewer 2003),假如在“压缩方式”中选择 压缩选项,体积还可以进一步缩小 2M 左右。 将 PPT 打包为在任何计算机都可直接自动播放的.exe 文件的方法 1.把 “你的文件.ppt” 复制一个,然后把“复件 你的文件.pp t ”重命名为“你的文件.pp s ”; 2.在 powerpoint 里面,选择“文件”-“打包成 CD”; 3.在弹出的对话窗体内(图 1),“将 CD 命名为”这一栏随意取一个名字;然后点击“添加文件”,选择刚刚 重命名好的“你的文件.pps”,以及在你的 PPT 里面所插入的链接内容如 MP3、SWF 等(不包括图片),确定后发现 窗口内容改变了(图 2),这时选中里面的后缀名为.ppt 的文件,点删除,然后点击复制到文件夹,选择一个位置, 确定;
清除方法 cmd.exe病毒进程清除方法 第一种情况 开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU。关闭cmd.exe 后,CPU实用率恢复正常。但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。 1.装了ewido 查杀木马,查出了几个感染目标,已删除。但是今天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。 2.再装“木马清除专家2006”,查杀,结果没有发现木马。 3.查system 32 中的CMD.EXE 大小,结果如下:CMD.EXE 大小:459 KB (470,016 字节) 占用空间:460 KB (471,040 字节) 应该没有异常。 解决方法 如果出现这种情况,很不幸,你99%是中了木马了。不过不妨继续验证一下,假定你的windows安装盘位于C:\,并且需要你在文件查看选项中打开查看隐藏文件的选项和显示所有文件扩展名的选项,则查看你的c:\Program Files\Internet Explorer\PLUGINS\目录,应该会发现有new123.bak和new123.sys两个文件;查看你的C:\Documents and Settings\Administrator\Local Settings\Temp\目录,应该会发现有MicroSoft.bat这个文件;你可以用记事本打开MicroSoft.bat文件,发现其中提到一个exe文件(具体名称会有不同),你也会在该目录下发现这个exe文件;如果以上两步你并未发现相应文件,请将你的文件查看改为不隐藏已知文件后缀,并在系统盘内进行文件搜索,确认是否的确没有相关的文件。 编辑本段木马描述 该木马主要是因为用户安装了嵌入木马程序的安装程序所致,这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序(比如qq的一些版本等)。该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。使得一般的杀毒和杀马程序无法识别。并且当你运行一些需要调用IE的一些程序时自动调用该木马插件,所以才出现“症状描述”中所描述的情况。该木马的母体就是new123.sys,属于Trojan-PSW.Win32.Delf.mc,可能会偷取你的一些应用的帐号和密码。 编辑本段木马清除 该木马可以很方便的手工清除,过程如下:打开“任务管理器”,在“进程”中结束cmd.exe的运行,此时CPU占用率会明显下降;进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录,删除MicroSoft.bat这个文件中所提到的exe 文件和该bat文件;(这一步不做也没有问题,但最好清除掉)进入c:\Program Files\Internet Explorer\PLUGINS\目录,删除new123.bak文件,但此时你无法删除new123.sys 文件,因为系统正在使用,你有两种方式处理new123.sys文件:重启机器并进入安全模式对new123.sys进行删除;当前状态虽无法删除该文件,但可更改new123.sys的文件名为new123.sysdel,并且重启机器(无需进入安全模式)后,再把new123.sysdel进行删除。处理完后,如果“症状描述”中的情况消失,则说明清除成功。