巧用注册表手动清除常见的木马和病毒

巧用注册表手工清除木马病毒 湖南省冷水江市教师进修学校  杨贤  417500 [摘要] 木马是病毒的一种，许多人为了利益，利用木马病毒控制他人的电脑，盗取 资料 新概念英语资料下载李居明饿命改运学pdf成本会计期末资料社会工作导论资料工程结算所需资料清单 ，威胁他人财产安全。很多人能用杀毒软件预防和清除木马病毒，但用注册表手工查看和清除木马病毒，可能知之甚少。 [关键词] 注册表、木马病毒、手工、实例、“冰河”木马 对Windows操作系统稍有了解的用户都听说过注册表，它是用来对Windows操作系统进行配置的一个工具。通过它可以对操作系统及应用软件进行优化，可以自己管理Windows的安全限制，可以解决硬件设置不当带来的故障，可以对网络进行管理，甚至可以改造自己的操作系统。但可以用注册表手工清除计算机感染的木马病毒，可能读者知之甚少。 统计表明，现在木马在病毒中所占的比例已经超过了四分之一，而在近年涌起的病毒潮中，木马类病毒占绝对优势。木马是一类特殊的病毒，如果你的电脑一旦感染木马，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了“黑客”，他便能通过跟踪击键输入等方式，窃取密码、信用卡号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作。 一、 在注册表等中查看是否浸入木马病毒： 1、打开“win.ini”文件，在[WINDOWS]下面，查看“run=”和“load=”后面是否有 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 。正常情况下，它们的等号后面什么都没有（有时连[WINDOWS]项都没有）。如果发现后面跟有你不熟悉的路径与启动文件，你的计算机就可能中上“木马”病毒了。更要小心的是有很多“木马”，如“AOLTrojan木马”，它把自身伪装成command.exe文件，你不要认为这是系统启动文件。 2、打开“system.ini”文件，在[BOOT]下面有“shell=文件名”项，正确的文件名应该是“explorer.exe”（正常时有时连[BOOT]项也没有），如果是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，说明你的计算机已经中“木马”病毒。 win.ini、system.ini文件打开的方法是：点击“开始”—“运行”，在出现的对话框中输入“msconfig”后点击“确定”就行了。 3、通过在“运行”对话框中输入“regedit”命令打开注册表编辑器，在左边列表中点击至：“HKEY-LOCAL-MACHINE\Software \Microsoft\Windows\CurrentVersion\Run”目录，在右边查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，如果有就说明你的计算机可能中“木马”病毒。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software \Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\***（每个子项）\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE \Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。 此外在注册表中的HKEY_CLASSES_ROOT\exefile\shell\open \command=%1%*处，如果其中的“1”被修改为木马程序，那么每次启动一个可执行文件时该木马就会启动一次，例如著名的冰河木马就是将TXT文件的Notepad.exe改成了它自己的启动文件，每次打开记事本时就会自动启动冰河木马，做得非常隐蔽。 二、使用注册表等方法手工清除木马病毒 杀毒软件查杀病毒很有效，对木马的预防、检查也是挺有效的，但彻底地清除不很理想，因为一般情况下木马在电脑每次启动时都会自动加载，而杀病毒软件却不能完全清除木马文件，所以我们有必要掌握手动人工清除木马病毒的方法。 如果发现你的电脑有“木马”病毒浸入，首先马上将计算机与网络断开，防止黑客通过网络对你进行攻击，然后就要清除木马病毒。现介绍如何使用注册表等方法手工清除木马病毒： 1、编辑“win.ini、system.ini”文件清除木马病毒 打开“win.ini”文件，将[WINDOWS]项下面“run＝＊＊＊”和“load＝＊＊＊”等号后面的内容删除。 打开“system.ini”文件，将[BOOT]下面“shell=＊＊＊”更改为“shell=explorer”。 ２、使用注册表清除木马病毒 用“regedit”命令进入注册表编辑窗口，检查“HKEY-LOCAL-MA CHINE\Software\Microsoft\Windows\CurrentVersion\Run(RunService)”下的键值中存在可疑的路径和文件名，如果存在就直接将此键值删除。还要搜索整个注册表，把存在于其他目录下的可疑路径和文件名都删除。 还需注意的是：有的“木马”程序并不是直接将注册表中“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。 3、用注册表清除常见的木马病毒实例 A、手工清除“冰河”木马 “冰河”可以说是最有名的木马病毒，现在网上出现了许多“冰河”变种程序。“冰河”的服务端程序为G-server.exe，客户端程序为G-client.exe，默认连接端口为7626。一旦运行G-server.exe，那么该程序就会在目录下生成 Kernel32.exe和Sysexplr.exe，并删除自身。Kernel32.exe在系统启动时自动加载，Sysexplr.exe和TXT文件关联。即使你删除了Kernel32.exe，但只要你打开TXT文件，Sysexplr.exe就会被激活，它将再次生成Kernel32.exe，于是“冰河”又回来了！ 清除方法： ①.在MS—DOS下，删除C:\windows\system下的Kernel32.exe和Sysexplr.exe两个文件。 ②.在注册表“HKEY-LOCAL-MACHINE \Software \Microsoft \Windows\CurrentVersion\Run”下，有键值为C:\windows \system \Kernel32.exe，删除它。 ③在注册表“HKEY-LOCAL-MACHINE\Software\Microsoft \Windows\CurrentVersion\Runservices”下，有键值C:\windows \system \Kernel32.exe，也删除它。 ④修改注册表“HKEY-CLASSES-ROOT\txtfile\shell\open \command”下的值，由中木马后的C:\windows\system\Sysexplr.exe %1改为正常情况下的C:\windows\notepad %1，即可恢复TXT文件关联功能。 B、手工清除“Nethief(网络神偷)”木马 “Nethief(网络神偷)”是反弹端口型木马。大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机连出的连接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口。为了隐蔽起见，客户端的监听端口一般开在80，这样，即使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP服务端的IP地址:1026　客户端的IP地址:80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。防火墙也会如此认为，大概没有哪个防火墙会不给用户向外连接80端口吧。 清除方法： ①.“网络神偷“会在注册表HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run下建立键值“internet”，其值为"internet.exe /s"，将键值删除； ②.删除其自启动程序C:WINDOWS\SYSTEM\INTE RNET.EXE。 C、手工清除“广外女生”木马 “广外女生”是是一种新出现的远程监控工具，破坏性很大，能远程上传、下载、删除文件、修改注册表。其可怕之处在于“广外女生”服务端被执行后，会自动检查进程中是否含有“金山毒霸”、“防火墙”、“iparmor”、“tcmonitor”、“实时监控”、“lockdown”、“kill”、“天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！该木马程序运行后，将会在系统的SYSTEM目录下生成一份自己的拷贝，名称为DIAGCFG.EXE，并关联.EXE文件的打开方式，如果贸然删掉了该文件，将会导致系统所有.EXE文件无法打开的问MATCH_ word word文档格式规范word作业纸小票打印word模板word简历模板免费word简历 _1715675419740_0。 清除方法： ①.在DOS模式下，找到System目录下的DIAGFG.EXE，删除； ②.由于DIAGCFG.EXE文件已经被删除了，因此在Windows环境下任何.exe文件都将无法运行。我们找到Windows目录中的注册表编辑器“Regedit.exe”，将它改名为“Regedit.com”； ③.回到Windows模式下，运行Windows目录下的Regedit.com程序（就是我们刚才改名的文件）； ④.找到HKEY_CLASSES_ROOT\exefile\shell\open\command，将其改成默认键值“%1 %*”； ⑤.找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\ CurrentVersion\RunServices，删除其中名称为“Diagnostic Configuration”的键值； ⑥.关掉注册表编辑器，回到Windows目录，将“Regedit.com”改回“Regedit.exe”。 D、手工清除“ShareQQ” 木马   这是一款QQ密码窃取软件。清除方法如下：   ①.用进程管理软件终止spolsv.exe这个进程（或到纯DOS下），然后到windows\system文件夹下将spolsv.exe文件删除，顺便删除的还有debug.dll、MSIME5f594f58.dll两个文件，再到Windows目录下删除winin.exe文件。   ②.　在注册表“HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run”下，删除名为“netconfig”的字符串。再到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce下，删除“winin”字符串即可。 木马病毒的数量繁多，不能一一例举，但我们采用以上方法，举一反三，手动人工清除。值得注意的是：对系统注册表进行删除修改前一定要将注册表备份，因为对注册表操作有一定的危险性，加上木马病毒的浸入比较隐蔽，可能会有一些误操作，如果发现操作错误，可以将备份的注册表文件导入到系统中进行恢复。 虽然用注册表等方法可以查杀木马病毒，但只要你的电脑浸入了木马病毒，总会给你带来多多少少的麻烦或损失。我们更重要的是要采取措施预防木马病毒的浸入，不要下载、接收、执行任何严厉不明的软件或文件，不要随意打开邮件的附件和可疑图片，尽量少用共享文件夹。在上网时最好运行反木马实时监控程序，实时显示当前所有运行程序并有详细的描述信息，加上安装最新杀毒软件、个人防火墙进行监控基本上可以放心了。 参考文献： [1]梁然：《微机组装与维护 教程 人力资源管理pdf成真迷上我教程下载西门子数控教程protel99se入门教程fi6130z安装使用教程 》（冶金工业出版社） [2]张雁 陶龙民 苏维维 赵明：《注册表实用操作1200例》（电脑报出版事业部）