科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道手工清理病毒病毒 原来如此简单(4)

手工清理病毒病毒 原来如此简单(4)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

当大家看到这个题目的时候一定会觉得手工杀毒真的很简单吗?笔者写这个文章的目的就是让所有菜鸟在面对病毒的时候能轻而易举的狙杀掉它,而不是重装系统,或者在重装N次系统以后无奈的选择格式化,结果却依然无法将讨厌的病毒驱逐出你可怜的电脑。

作者:论坛整理 来源:zdnet网络安全 2007年12月14日

关键字: 杀毒 病毒

  • 评论
  • 分享微博
  • 分享邮件

我们删除这个项,然后按下F3继续搜索下一个,找到就把它删除。这里要注意一个问题。如果你搜索出来的注册表项里面有很多个值,千万不要盲目删除项。只要删除包含病毒文件名称和路径的部分就可以了!避免系统崩溃!接下来删除映像劫持部分的注册表内容搜索Image File Execution Options既可来到

 

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个位置。你会发现里面几乎包含了所有你知道的杀毒软件的进程名,病毒就是通过识别这些进程名来进行劫持的。所以有的时候你可以通过修改程序的名称。比如把360safe.com改为xxx.exx就可以运行了。当然不是绝对。例如对AV终结者就是无效的,因为他识别的是窗体标题。所以你可以发现的杀毒软件他们推出的专杀工具一般都是.com的扩展名,而且运行时候是没有标题的。这个就是为了防止被感染或者被强制关闭。

    二话不说。删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options这个项。它所包含的子项也将一起被删除。这样就不会被劫持了。现在重新启动系统吧!你的电脑又是一片蓝天了!


第三步:收拾战场,修复系统
    首先我们重新启动重新上岗就业的杀毒软件。这里我使用360安全卫士,因为针对非感染exe类型的病毒,360足够应付了,而且速度快很多。

 

 


    选择查杀流行木马。好的,检测结果。已经没有木马病毒了。下一步我们重启启动被病毒关闭的防火墙以及系统自动更新的服务,我的电脑-右键-管理-服务和应用程序-服务,找到windows firewall开头的服务右键属性,启动类型改为自动,再找到Automatic Updates这个服务,同样将启动类型改为自动。

    下面修复安全模式:将如下代码保存为1.reg 然后运行导入既可

    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

    将如下代码保存为2.reg运行导入后文件夹选项里重新出现“隐藏受系统保护的操作系统文件,以及“隐藏文件和文件夹”选项,选择显示后即可和一样一样,正常情况下不需要去设置,隐藏的病毒文件已经被我们删除了,需要的人可以自行选择

    Windows Registry Editor Version 5.00
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
    "Text"="@shell32.dll,-30501"
    "Type"="radio"
    "CheckedValue"=dword:00000002
    "ValueName"="Hidden"
    "DefaultValue"=dword:00000002
    "HKeyRoot"=dword:80000001
    "HelpID"="shell.hlp#51104"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
    "Text"="@shell32.dll,-30500"
    "Type"="radio"
    "CheckedValue"=dword:00000001
    "ValueName"="Hidden"
    "DefaultValue"=dword:00000002
    "HKeyRoot"=dword:80000001
    "HelpID"="shell.hlp#51105"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
    "Type"="checkbox"
    "Text"="@shell32.dll,-30508"
    "WarningIfNotDefault"="@shell32.dll,-28964"
    "HKeyRoot"=dword:80000001
    "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
    "ValueName"="ShowSuperHidden"
    "CheckedValue"=dword:00000000
    "UncheckedValue"=dword:00000001
    "DefaultValue"=dword:00000000
    "HelpID"="shell.hlp#51103"

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

    重新启动后。您的电脑又是一片蓝色的天空。

    自此,菜鸟们再也不用为中毒烦恼了,重装系统和格式化,不再是噩梦!建议重启后用杀毒软件彻底查杀整个硬盘避免存在感染exe型病毒哦!偷懒的人跳过前面的介绍直接看操作实战,是不是觉得非常容易?以后你也可以轻易的告诉MM电脑中毒?找我就行!重装既浪费时间,又不能彻底解决问题哦!希望大家看完我的文章能够学会举一反三,轻松应对各种各样病毒哦!


 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章