下载文档原格式
手工清理病毒原来可以如此简单今天我们以今年泛滥比较严重的病毒之一的“AV终结者”的手工清理方法来像大家讲述如何手工清理这类非感染exe文件类型的病毒(本次讲述的办法在清理完病毒源头以后借助专杀工具依然可以适用于清理感染exe类病毒)。
第一步:知己知彼,百战百胜要战胜AV终结者,我们先要了解自己的处境和它的特性还有弱点。
首先我们来了解下AV终结者的执行以后的特征:1.在多个文件夹内生成随机文件名的文件旧版本的AV终结者在任务管理器里可以查看2个随机名的进程,新的变种文件名格式发生变化,目前我遇到过2种。
一种是随机8个字母+数字.exe和随机8个字母+数字.dll;另一种是6个随机字母组成的exe文件和inf文件。
不管变种多少它们保存的路径大概都是如下几个:C:\windowsC:\windows\helpC:\Windows\TempC:\windows\system32C:\Windows\System32\driversC:\Program Files\C:\Program Files\Common Files\microsoft shared\C:\Program Files\Common Files\microsoft shared\MSInfoC:\Program Files\Internet Explorer以及IE缓存等这个是我个人总结出来的,随着病毒的变种。
获取还有其他的。
我这里只提供参考。
2.感染磁盘及U盘当你的系统中了AV终结者,你会发现你的磁盘右键打开时将出现一个”Auto”也就是自动运行的意思,此时你的电脑已经中毒了,而且如果你这个时候企图插入移动硬盘、U盘,或者刻录光盘以保存重要资料,都将被感染。
这也就为什么许多用户重装完系统甚至格式化磁盘以后病毒依然的原因。
当你重装完系统,必定会有双击打开硬盘寻找软件或者驱动的时候,这个时候寄生在你磁盘根目录内的Autorun.inf文件就起到让病毒起死回生的功能了。
一 EXE后缀型病毒文件的手工杀毒的方法教程: 这类病毒一般是以进程的方式运行,这类病毒一般是比较好被发现的。
下边先说下这类病毒,是在哪里启动的。
1/注册表如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可以的程序进行删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServicesOnce HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER \Software \Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\Run HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion Explorer/ShellFolders Startup="C:/windows/start menu/programs/startup 2/系统WIN.INI文件内在win.ini文件中,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。
一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。
没有杀毒软件如何徒手消灭电脑中的病毒想要消灭电脑中的病毒,但是没有杀毒软件你知道怎么徒手消灭电脑中的病毒吗?那么没有杀毒软件如何徒手消灭电脑中的病毒的呢?下面是店铺收集整理的没有杀毒软件如何徒手消灭电脑中的病毒,希望对大家有帮助~~没有杀毒软件徒手消灭电脑中的病毒的方法一、杀除自启动病毒自动启动文件夹的病毒打开位于“C:\Users\Administrator\AppData\Roaming\Microsoft\Window s\Start Menu\Programs\Startup”(XP系统:C:\document and setting\all users\开始菜单\程序\启动)的文件夹,一般情况下这个文件夹下什么东西也没有。
而有些病毒喜欢把执行文件拷贝到这个文件下。
组策略设置中的病毒步骤:"开始"-“运行”- 输入gpedit.msc - 打开左侧“用户配置”- “管理模板”- “系统”- “登陆” - “在用户登陆时运行这些程序”- 查看是否已启用 -如果已启用,点击显示可查看启动的程序。
找出注册表启动项中的病毒步骤:"开始"-“运行”- 输入regedit -在注册表run和runonce 分支下查看是否有陌生的键值找出服务列表中的病毒步骤:"开始"-“运行”- 输入services.msc - 找出陌生服务,并停止 -在常规标签中找到可执行文件的路径并删除找出系统配置程序中的病毒步骤:"开始"-“运行”- 输入msconfig-在启动项中查看陌生程序(一般陌生程序的可执行路径为system32,很可能它就是病毒) 用以上5中手工方法找出病毒后一般可以找到病毒的可执行文件的路径,删除它就可以杀掉病毒。
二、杀除dll病毒查找可以进程步骤:运行- cmd - 输入netstat -ano -tasklist /m列出进程详细信息- 把信息全部保存在记事本a1.txt中找出可疑模块在正常的电脑上上导出进程信息a2.txt,然后再cmd窗口中输入fc a1.txt a2.txt,缩小查找范围-最终找出木马病毒。
如何清除宏病毒
手工清除:1、全盘搜该文件,删除;[star tup.xls] 2、立即在相同位置创建一个同名的0字节文件[startup.xls],并设置为只读、隐藏模式;3、注册表中搜startup.xls字样,找到后删除;4、全盘搜名字为*.xls ,内容包括startup.xls 字样的文件,如果该文件打开时报错[提示无法打开文件],则证明该文件已经染毒;5、打开该染毒文件,按alt+F11 ,VB编辑器打开后,再按ctrl+r ,工程资源管理器打开后,如果找到startup. xls字样,就将该项移除,然后关闭VB 编辑器窗口,将该表保存退出即可
如何彻底清除宏病毒
如果是Excel2003的文件,而且你已经安装了Office2007文件格式兼容包,可以这样去处宏: 先把带有excel 4.0宏表的EXCEL
文件打开,然后另存为“Excel 2007 工作簿”,有提问时回答“是”。
这样保存的EXCE
L2007文件就已经被去除了宏,如果你想再转回EXCEL2003文件,那么打开刚才保存的EXCEL2007文件,另存为“Microsoft Of fice Excel 工作簿”或者“Microsoft Excel 9 5 - Excel 2003 & 5.0/95 工作簿”即可。
DLL病毒的常用3种清除方法|mgr病毒清除方法DLL病毒的几种基本原理:单独编写的DLL文件病毒:这类病毒是最容易被清除的DLL病毒,其原理也非常简单。
病毒作者编写一个DLL文件,然后通过注册表的Run键值或者其他可以被系统加载的地方启动。
替换系统文件的DLL病毒:病毒作者把病毒代码做成一个和系统匹配的DLL文件,并把原来的DLL文件改名。
遇到应用程序请求原来的DLL文件时,DLL病毒就启一个转发的作用,把“参数”传递给原来的DLL文件。
通过偷梁换柱的方法,DLL病毒堂而皇之的在用户电脑中活动。
动态嵌入式DLL病毒:这类病毒,可以在系统进程运行的时候,通过一些方法,进入系统的进程中。
由于系统进程无法终止,动态嵌入式的DLL病毒很难清除。
下面,我们以臭名昭著的守护者(NOIR—QUEEN)DLL木马为例,介绍一下DLL病毒的清除方法。
工具/原料DLL备份补丁步骤/方法第一步:查找DLL木马的Loader:守护者(NOIR—QUEEN)会以DLL文件的形式插入到系统的Lsass.exe进程中,由于Lsass.exe是系统的关键进程,不能被终止。
这种情况下,我们必须查找守护者的Loader。
使用“进程猎手”工具查看Lsass进程所调用的DLL文件,并与感染病毒前的信息比较,可以发现Lsass进程中增加了“QoSserver.dll”文件。
通过操作系统自带的文件搜索功能,查找到了QoSserver.exe文件,这就是守护者的Loader。
第二步:结束相关进程:感染了守护者病毒,在任务管理器中会有一个QoSserver.exe进程,强制结束这个进程。
并在“服务”选项中,找到该项服务,并将其禁用。
第三步:清理注册表:利用注册表中的查找服务,查找“QoSserver”关键字,并且将其键值逐一删除。
所有操作完成之后,重新启动计算机,然后逐一检查守护者是否被清理干净。
这样,我们就可以手工清除DLL病毒。
由于DLL病毒类型不同,其清除方法也有所差异。
木马病毒是什么怎么手工清除木马病毒电脑病毒看不见,却无处不在,有时防护措施不够或者不当操作都会导致病毒入侵。
木马病毒(木马程序)是目前比较流行的病毒文件,与一般的病毒不同,它不会自我繁殖,也并不“刻意”地去感染其他文件,它通过将自身伪装吸引用户下载执行,向施种木马者提供打开被种者电脑的门户,使施种者可以任意毁坏、窃取被种者的文件,甚至远程操控被种者的电脑。
下面一起看看清除方法!手工清除木马病毒具体方法如下:提示:以下修改注册表等相关操作具备风险,请慎重操作。
1.清除每次开机时自动弹出的网页其实清除每次开机时自动弹出的网页方法并不难,只要你记住地址栏里出现的网址,然后打开注册表编辑器(方法是在点击“开始”菜单,之后点击“运行”,在运行框中输入regedit命令进入注册表编辑器),分别定位到:HKEY_CURRENT_USER/Software/Microsoft/Windows/Curre ntVersion/Run和HKEY_CURRENT_USER/Software/Microsoft/Windows/Curre ntVersion/Runonce下,看看在该子项下是否有一个以这个网址为值的值项,如果有的话,就将其删除,之后重新启动计算机。
这样在下一次开机的时候就不再会有网页弹出来了。
不过网页恶意代码的编写者有时也是非常的狡猾,他会在注册表的不同键值中多处设有这个值项,这样上面提的方法也未必能完全解决问题。
遇到这种情况,你可以在注册表编辑器的选项菜单里选择“编辑”→“查找”,在“查找”对话框内输入开机时自动打开的网址,然后点击“查找下一个”,将查找到的值项删除。
2.IE标题栏被修改具体说来受到更改的注册表项目为:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InternetExplorer/Main/Window TitleHKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Window Title解决办法:①在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键;②展开注册表到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下,在右半部分窗口中找到串值“Window Title” ,将该串值删除即可,或将Window Title的键值改为“IE浏览器”等个人喜欢的名字;③同理,展开注册表到HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main然后按②中所述方法处理。
自己动手绝杀同名EXE病毒作者:香草来源:《电脑爱好者》2008年第20期近期非常流行一种病毒程序,电脑中病毒后,每个文件夹下面都有个和文件夹同名的EXE病毒文件,删了之后过一会又有,我们该如何查杀呢?我来教你手动杀毒。
断其后路防止重生病毒程序运行后会在所有磁盘和移动存储设备中生成Autorun.ini文件,实现浏览启动。
单纯地将所有Autorun.ini文件删除并不能解决这类问题,我们可以将一个健康系统的驱动盘下的Autorun.ini拷贝,覆盖所有中毒主机的Autorun.ini文件。
真枪实弹手工杀毒由于生成的EXE文件其实是病毒体,而真正的文件夹本身并没有丢失,而是被隐藏起来了,所以这类病毒可以采用如下方法进行清除:第一步:将电脑设置为显示隐藏文件及扩展名,查找[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\Hidden\SHOWALL],将“CheckedValue”的值改为1,如果这个键值没有,自己新建一个。
第二步:删除生成的与文件夹同名的EXE文件,新建一个文件夹,打开隐藏的文件夹,把里面的东西剪切到新建的文件夹中。
第三步:删除空了的隐藏文件夹,并把新建文件夹改名为删除的文件夹的名字。
第四步:按“Win+R”组合键调出运行窗口,输入CMD里检查每一个盘后用“attrib --a -h -s -r 文件名 del 文件名”来做最后清除。
最后,由于病毒并没有新建服务,所以在启动菜单里删除隐藏的启动项,在注册表项的启动项中删除一个启动键值即可。
(北京/香草)小提示这需要在不带网络环境的安全模式下,由于健康的Autorun.ini具有只读保护属性,病毒无法再次修改Autorun.ini。
小提示病毒运行后,会在Windows\SYSTEM32下释放主体,包括主程序,程序加载的文件,几个INF文件(主要用于调用Autorun.ini)。
发现U盘中毒后,不要耽心,清除的方法有很多种。
下面电脑店官网分别向大家介绍一些比较简单的做法。
1、手工清除由于U盘病毒作用的原理是利用了自动播放autorun.inf文件来完成的,因此我们可以将其手工删除。
打开“文件夹选项”窗口,切换到“查看”标签,将“隐藏受保护的操作系统文件”项取消,然后设置“显示所有文件和文件夹”,这样我们就可以查看到磁盘根目录下的autorun.inf 文件,将其打开后,查看open行后所跟的文件,正常情况下应该为sxs.xls.exe,但也有一些变种是其它文件名称,例如tel.xls.exe、fun.xls.exe等。
首先将open行后所跟的文件删除,然后再将autorun.inf文件一并删除。
一般来说,只要有一个盘符感染,那么其它分区也会被感染,因此要对所有分区进行同样的操作。
需要注意的是,手工清除只对部分对象适用。
如果大家对系统做了备份文件,那么可以用备份文件恢复,恢复成功后的C盘则是安全的,然后在资源管理器中将其它盘的上述文件删除,这样即比较彻底。
2、杀毒软件清除其实,如果大家安装了杀毒软件,只要将病毒库升级到最新版本,一般都能够将其查杀。
另外瑞星还提供了专杀工具,大家不防试用一下。
但是很多用户反映,使用杀毒软件清除后磁盘无法打开了。
这是因为杀毒软件只清除了open 行后所跟的文件,并不能清除autorun.inf文件。
而我们双击分区时则会自动运行autorun.inf文件中open行所列的文件,而该文件被删除了自然会出错。
因此此时大家则需要使用上面介绍的手工清除的方法将autorun.inf文件删除即可。
小提示:使用上述方法清除后需要重新启动电脑方能生效。
清除方法
cmd.exe病毒进程清除方法
第一种情况
开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU。
关闭cmd.exe 后,CPU实用率恢复正常。
但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
1.装了ewido 查杀木马,查出了几个感染目标,已删除。
但是今天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
2.再装“木马清除专家2006”,查杀,结果没有发现木马。
3.查system 32 中的CMD.EXE 大小,结果如下:CMD.EXE 大小:459 KB (470,016 字节) 占用空间:460 KB (471,040 字节) 应该没有异常。
解决方法
如果出现这种情况,很不幸,你99%是中了木马了。
不过不妨继续验证一下,假定你的windows安装盘位于C:\,并且需要你在文件查看选项中打开查看隐藏文件的选项和显示所有文件扩展名的选项,则查看你的c:\Program Files\Internet Explorer\PLUGINS\目录,应该会发现有new123.bak和new123.sys两个文件;查看你的C:\Documents and Settings\Administrator\Local Settings\Temp\目录,应该会发现有MicroSoft.bat这个文件;你可以用记事本打开MicroSoft.bat文件,发现其中提到一个exe文件(具体名称会有不同),你也会在该目录下发现这个exe文件;如果以上两步你并未发现相应文件,请将你的文件查看改为不隐藏已知文件后缀,并在系统盘内进行文件搜索,确认是否的确没有相关的文件。
编辑本段木马描述
该木马主要是因为用户安装了嵌入木马程序的安装程序所致,这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序(比如qq的一些版本等)。
该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE插件。
使得一般的杀毒和杀马程序无法识别。
并且当你运行一些需要调用IE的一些程序时自动调用该木马插件,所以才出现“症状描述”中所描述的情况。
该木马的母体就是new123.sys,属于Trojan-PSW.Win32.Delf.mc,可能会偷取你的一些应用的帐号和密码。
编辑本段木马清除
该木马可以很方便的手工清除,过程如下:打开“任务管理器”,在“进程”中结束cmd.exe的运行,此时CPU占用率会明显下降;进入C:\Documents and Settings\Administrator\Local Settings\Temp\目录,删除MicroSoft.bat这个文件中所提到的exe 文件和该bat文件;(这一步不做也没有问题,但最好清除掉)进入c:\Program Files\Internet Explorer\PLUGINS\目录,删除new123.bak文件,但此时你无法删除new123.sys 文件,因为系统正在使用,你有两种方式处理new123.sys文件:重启机器并进入安全模式对new123.sys进行删除;当前状态虽无法删除该文件,但可更改new123.sys的文件名为new123.sysdel,并且重启机器(无需进入安全模式)后,再把new123.sysdel进行删除。
处理完后,如果“症状描述”中的情况消失,则说明清除成功。
编辑本段第二种情况
1:XP系统里并没有cmd.exe的进程,cmd.exe是XP系统的命令提示符程序,可以执行一些在DOS下执行的应用程序,但是并不会随系统启动时运行,这有可能是个木马或者其他病毒程序,建议查杀1)、如果安装文件就在硬盘上,而且系统是从硬盘的安装目录装的,那先将这个安装目录改个名字2)、删除c:\winnt\system32\dllcache(没有这个子文俭)\cmd.exe,3)、然后再删除system32\cmd.exe 4、系统会提示说系统文件丢失要求插入光盘,忽略就行了禁止运行命令解释器和批处理文件方法:通过修改注册表,可以禁止用户使用命令解释器(CMD.exe)和运行批处理文件(.bat文件)。
新建一个双字节(REG_DWORD)执行HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\DisableCMD,修改其值为2,命令解释器和批处理文件都不能被运行。
修改其值为1,则只是禁止命令解释器的运行。
就是替换掉系统的cmd.exe文件。
但是由于此文件受系统保护,所以必须用一种特殊的办法。
至于那个用来替换cmd.exe的文件,可以随便找一个运行时候没有什么提示的东西就行。
C:\Windows\system32下面有很多这样的文件,随便找一个就行。
替换方法是:首先删除C:\WINDOWS\system32\Dllcache\下面的cmd.exe,然后尽快将C:\WINDOWS\system32\下面的cmd.exe替换成所需的文件。
当系统提示要求插入WINDOWS安装光盘的时候,不要理他,直接单击“取消”就可以了。
之后当你开始-〉运行-〉cmd的时候,dos窗口自然不会出现了
编辑本段第三种情况
如何解决cmd.exe占CPU资源100%问题造成机器运行很慢,关闭cmd.exe后,CPU使用率恢复正常。
但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU。
问题分析:后经上网查找和后来证实,应该是中了一种传播Viking的QQ尾巴病毒了,这种木马病毒主要是因为用户安装了嵌入木马程序的安装程序所致,这些安装程序极有可能是你在一些不知名的下载网站上下载的一些应用程序(比如qq的一些版本等)。
该木马利用安装程序在没有提醒用户的情况下在IE的插件中安装了实为木马的IE 插件。
使得一般的杀毒和杀马程序无法识别。
并且当你运行一些需要调用IE的一些程序时自动调用该木马插件,所以才出现“问题症状”中所描述的情况。
编辑本段解决方法
我只能讲一下大概的思路了,因为当时没有记录和截图。
首先在文件夹查看选项中打开查看隐藏文件的选项、显示所有文件扩展名和显示受保护的操作系统文件的选项。
1、从注册表里删除病毒添加的ShellExecuteHooks信息:打开注册表找到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellE xecuteHooks],在实际情况中,图中应该会出现除{AEB6717E-7E19-11d0-97EE-00C04FD91972}以外的其它可疑键值的,依次按步骤2检查它们;2、打开到注册表[HKEY_CLASSES_ROOT\CLSID\{这里是步骤1中提到的可疑键值}下,然后依次检查上图中所示的每一个路径指向的文件,应该会有个文件是以.sys 结尾的系统驱动文件,这个文件应该是隐藏文件,并且它的修改时间应该和该电脑出问题的时间差不多,而且在该文件旁边还会有和它的修改时间一样的隐藏文件,可以考虑将它们都删除了,以观后效。
记得我当时是删除了三个在C:\Program Files\Internet Explorer\Connection Wizard 下的隐藏文件,就OK了。
注:如果删不掉,可以进安全模式删除。
3、清除
C:\Documents and Settings\你的用户名\Local Settings\Temp\目录下的所有垃圾文件,因为里面含有病毒释放生成的执行文件,当时我的情况是有两个病毒释放的文件:_xiaran.bat和help.exe(这个是隐藏和系统文件)。
4、重新启动计算机,观察5分钟,如果不再出现“问题症状”中描述的情况,说明清除成功了。
