史萊姆論壇 - 查看單個文章

psac · 2006-07-13, 10:51 AM

清除木馬v1.6：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案：SystemTray = "SysTray.Exe"
關閉儲存Regedit，重新啟動Windows
刪除C:\windows\systray.exe
ＯＫ
清除木馬v1.7：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
\
查找到右邊的專案：C:\windows\kernel16.dl，並刪除
關閉儲存Regedit，重新啟動Windows
刪除C:\windows\kernel16.dl
ＯＫ
清除木馬v1.8：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
\
查找到右邊的專案：c:\windows\system.ini.，並刪除
關閉儲存Regedit。
打開win.ini文件
查找到run= kernel16.dl
更改為run=
關閉儲存win.ini。
打開system.ini文件
查找到shell=explorer.exe kernel32.dl
更改為shell=explorer.exe
關閉儲存system.ini，重新啟動Windows
刪除C:\windows\kernel16.dl
ＯＫ
清除木馬v1.9 - 1.9b：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
\
刪除右邊的專案：RegistryScan = "rundll16.exe"
關閉儲存Regedit，重新啟動Windows
刪除C:\windows\rundll16.exe
ＯＫ
清除木馬v2.0：
打開system.ini文件
查找到shell=explorer.exe trojanname.exe
更改為shell=explorer.exe
關閉儲存system.ini，重新啟動Windows
刪除c:\windows\rundll16.exe
ＯＫ
清除木馬v2.1 - 2.1 Gold + SubStealth- 2.1.3 Mod + 2.1.3 MUIE + 2.1 Bonus：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
\
刪除右邊的專案：WinLoader = MSREXE.EXE
hkey_classes_root\exefile\shell\open\command
將右邊的專案更改為：@="\"%1\" %*"
關閉儲存Regedit。
打開win.ini文件
查找到run=msrexe.exe和
load=msrexe.exe
更改為run=
load=
關閉儲存win.ini。
打開system.ini文件
查找到shell=explore.exe msrexe.exe
更改為shell=explorer.exe
關閉儲存system.ini，重新啟動Windows
刪除C:\windows\ msrexe.exe
C:\windows\system\systray.dll
ＯＫ
清除木馬v2.2b1：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和
刪除右邊的專案：載入器 = "c:\windows\system\***"
註：載入器和文件名是隨意改變的
關閉儲存Regedit。
打開win.ini文件
更改為run=
關閉儲存win.ini。
打開system.ini文件
更改為shell=explorer.exe
關閉儲存system.ini，重新啟動Windows
刪除相對應的木馬程式
ＯＫ

39. Telecommando 1.54
清除木馬的步驟：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案：SystemApp＝"ODBC.EXE"
關閉儲存Regedit，重新啟動Windows
刪除C:\windows\system\ ODBC.EXE
ＯＫ
--

40. The Unexplained
清除木馬的步驟：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案：InetB00st = "C:\WINDOWS\TEMPINETB00ST.EXE"
關閉儲存Regedit，重新啟動Windows
刪除C:\WINDOWS\TEMPINETB00ST.EXE
ＯＫ

41. Thing v1.00 - 1.60
清除木馬v1.00-1.12：
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案：(Default) = "C:\some\path\here\thing.exe"
也有一些是在：
HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\SessionManager\Known16DL
Ls\
刪除右邊的專案：wsasrv.exe = "wsasrv.exe"
關閉儲存Regedit，重新啟動Windows
刪除C:\some\path\here\thing.exe
ＯＫ
清除木馬v 1.20版本:
進入MS_DOS方式：
del winspc13.exe
del ms097.exe
打開system.ini文件
查找到shell=explorer.exe ms097.exe
更改為：shell=explorer.exe
關閉儲存system.ini，重新啟動Windows
ＯＫ
清除木馬v1.50版本:
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
這個專案的路徑和文件名是隨機改變的，察看有可疑的文件路徑，將它刪除。
關閉儲存Regedit。
打開system.ini文件
查找到shell=explorer.exe後面是木馬文件
更改為：shell=explorer.exe
關閉儲存system.ini，重新啟動Windows
刪除相應的木馬文件
ＯＫ
清除木馬v1.50版本:
進入MS_DOS方式：
del winspc13.exe
del ms097.exe
打開system.ini文件
查找到shell=explorer.exe後面是木馬文件
更改為：shell=explorer.exe
關閉儲存system.ini，重新啟動Windows
刪除相應的木馬文件
ＯＫ

42. Transmission Scount v1.1 - 1.2
清除木馬的步驟：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案：Kernel16" = C:\WINDOWS\Kernel16.exe
關閉儲存Regedit，重新啟動Windows
刪除C:\WINDOWS\Kernel16.exe
ＯＫ

43. Trinoo
清除木馬的步驟：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案： System Services = service.exe
關閉儲存Regedit，重新啟動Windows
刪除C:\windows\system\service.exe
ＯＫ

44. Trojan Cow v1.0
清除木馬的步驟：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案：SysWindow = "C:\WINDOWS\Syswindow.exe"
關閉儲存Regedit，重新啟動Windows
刪除C:\WINDOWS\Syswindow.exe
ＯＫ

45. TryIt
清除木馬的步驟：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案：Rc5Dec = C:\Program Files\Internet Explorer\_.exe -guistart
關閉儲存Regedit，重新啟動Windows
刪除C:\Program Files\Internet Explorer\_.exe
ＯＫ

46. Vampire v1.0 - 1.2
清除木馬的步驟：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案：Sockets ="c:\windows\system\Sockets.exe"
關閉儲存Regedit，重新啟動Windows
刪除c:\windows\system\Sockets.exe
ＯＫ

47. WarTrojan v1.0 - 2.0
清除木馬的步驟：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案：Kernel32 = "C:\somepath\server.exe"
關閉儲存Regedit，重新啟動Windows
刪除C:\somepath\server.exe
ＯＫ

48. wCrat v1.2b
清除木馬的步驟：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案：MS Windows System Explorer ="C:\WINDOWS\sysexplor.exe"
關閉儲存Regedit，重新啟動Windows
刪除C:\WINDOWS\sysexplor.exe
ＯＫ

49. WebEx (v1.2, 1.3, and 1.4)
清除木馬的步驟：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案：RunDl32 = "C:\windows\system\task_bar"
關閉儲存Regedit，重新啟動Windows
刪除C:\windows\system\task_bar.exe和c:\windows\system\msinet.ocx
ＯＫ

50. WinCrash v2
清除木馬的步驟：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案：WinManager = "c:\windows\server.exe"
關閉儲存Regedit
打開win.ini文件
查找到run=c:\windows\server.exe
更改為：run=
儲存關閉win.ini，重新啟動Windows
刪除c:\windows\server.exe
ＯＫ

51. WinCrash
清除木馬的步驟：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案：MsManager ="SERVER.EXE"
關閉儲存Regedit，重新啟動Windows
刪除C:\windows\system\ SERVER.EXE
ＯＫ

52. Xanadu v1.1
清除木馬的步驟：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案：SETUP = "c:\somepath\setup.exe"
關閉儲存Regedit，重新啟動Windows
刪除c:\somepath\setup.exe
ＯＫ

53. Xplorer v1.20
清除木馬的步驟：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案：PCX = "C:\WINDOWS\system\PCX.exe"
關閉儲存Regedit，重新啟動Windows
刪除C:\WINDOWS\system\PCX.exe
ＯＫ

54. Xtcp v2.0 - 2.1
清除木馬的步驟：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
刪除右邊的專案：msgsv32 = "C:\WINDOWS\system\winmsg32.exe"
關閉儲存Regedit，重新啟動Windows
刪除C:\WINDOWS\system\winmsg32.exe
ＯＫ

55. YAT
清除木馬的步驟：
打開註冊表Regedit
點擊目錄至：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
刪除右邊的專案：Batterieanzeige = 'c:\pathnamehere\server.exe /nomsg'
關閉儲存Regedit，重新啟動Windows
刪除c:\pathnamehere\server.exe
ＯＫ

啟始型病毒
1、隱藏於硬碟或軟碟的啟始區中，當電腦從感染了此類病毒的磁碟啟始時，病毒駐留到記憶體中，之後向其他所有可寫磁碟複製傳播。
2、發作時可導致系統不啟始，分區表被破壞等現象。
利用乾淨的（確保無毒）軟碟或光碟啟始機器，利用dos版的殺毒軟件進行查殺。殺毒後有可能導致硬碟不啟始甚至分區丟失等現象，因此建議殺毒前，備份重要資料
1、用命令fdisk /mbr嘗試清除
2、用殺毒軟件查殺，查殺前建議備份啟始扇區和分區表。
文件型病毒
1、大多寄生在可執行文件上，使文件字節數變大，劫奪用來啟動主程式的可執行命令，用作它自身的執行命令。
2、同時還經常將控制權還給主程式，偽裝電腦系統正常執行。一旦執行被感染了病毒的程式文件，病毒便被激發，進行自我複製。
3、會使系統出現執行速度變慢，資料丟失，死機等現象。
利用乾淨的（確保無毒）軟碟或光碟啟始機器，利用dos版的殺毒軟件進行查殺。殺毒後可能會導致某些程式無法執行甚至無法進入系統，建議殺毒前重要資料先備份，出現這類情況可覆蓋安裝（9x、me或應用程式）或修復安裝（2k或xp）嘗試修復，系統文件可用sfc修復。如果無效建議格式化重裝。
1、如確認為染毒文件且文件無用最好在dos下直接刪除
2、如無把握建議最好用殺毒軟件查殺
蠕蟲病毒
1、通過網路複製，通過郵件系統自動發送自己的複製品。
2、傳播速度極快，會造成網路擁擠癱瘓
3、主機執行速度變慢或某些系統功能異常，死機重啟等異常。
1、如果病毒嚴重影響操作系統，導致系統無法執行，如出現關機、重啟等現象，像衝擊波和震盪波，出現倒計時關機提示視窗時，應用shutdown /a命令結束重啟，然後上網升級病毒軟件或下載修正檔程式和專殺工具。
2、如果病毒對系統執行影響不嚴重，僅是出現速度慢，死機等現象，應盡快上網升級病毒軟件或下載修正檔程式和專殺工具。
1、利用任務管理器查找可疑工作行程，嘗試結束
2、打開註冊表編輯器，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項，刪除可疑鍵值
3、對應查找病毒文件刪除（可能需進安全模式或dos模式）。
4、安裝修正檔程式，用專殺軟件或升級殺毒軟件全面查殺。
5、如病毒導致系統重啟，可用shutdown /a命令結束重啟
木馬
1、瀏覽器自動打開，自動連接到某個網站。
2、系統配置被莫名其妙地修改，比如屏保顯示的文字，時間和日期，聲音大小，滑鼠靈敏度，還有CD-ROM的自動執行配置。
3、執行中莫名其妙的彈出出現警告框或者是詢問框，問一些莫名其妙的問題。
4、機器啟動時異常緩慢，很長時間恢復正常；網路連接狀態時，大批量接收發送資料包；滑鼠指標時而沒緣由的成沙漏狀態；螢幕無緣故黑屏又恢復正常；硬碟老是沒理由地讀盤寫盤；軟式磁碟機燈經常自己亮起來；光碟自己彈開關閉。
5、QQ、MSN等登入時輸入帳號密碼的登入框連續出現兩次，或者輸入正確的密碼後提示不正確。
根據木馬的啟動執行原理，可先利用msconfig關閉啟動項中的可疑程式，重啟後上網升級病毒軟件或下載修正檔程式和專殺工具。
1、利用任務管理器查找可疑工作行程，嘗試結束
2、「系統配置實用程式（msconfig）」中的「啟動」項和「服務」項中找可疑啟動項刪除，或在「註冊表編輯器」中的 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項中找可疑啟動項刪除。
3、如果沒有活問題沒有解決可在「註冊表編輯器」中HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\Run項裡找找，或是進入「組策略編輯器（gpedit.msc僅xp的pro版有）」的「在用戶登入時執行這些程式」看看有沒有可疑的啟動的程式刪除。
4、症狀消失後，建議在安全模式用新版殺毒軟件全面查殺。
腳本病毒（網頁病毒/惡意代碼）
1、自動向outlook的地址簿中的郵件地址發送郵件，導致網路速度變慢。
2、自動掃瞄局域網中的有寫權限的共享目錄，向其中複製
3、通過感染htm、asp、jsp、php等網頁文件傳播，導致所有訪問過該網頁的用戶機器感染病毒。
4、防火牆/防病毒軟件被自動關閉甚至是被刪除。
此類病毒一般只是更改註冊表或系統配置文件設置，導致一些程式執行異常，某些類型文件打開異常。一般不會影響系統基本功，上網上網升級病毒軟件或下載修正檔程式和專殺工具。
1、用regsvr32 scrrun.dll /u命令禁止文件系統對像（FileSystemObject）。其中regsvr32是Windows\System下的可執行文件。或查找scrrun.dll文件刪除或者改名。
2、打開控制台→新增/刪除程式→Windows安裝程式→附件，卸載Windows Scripting Host一項。
3、打開資料夾選項→文件類型，刪除VBS、VBE、JS、JSE文件後綴名與應用程式的鏈接。
4、在Windows目錄中，找到WScript.exe，更改名稱或者刪除，如果覺得以後有機會用到請更改名稱。
5、打開瀏覽器，單擊表菜單欄裡「Internet 選項」安全選擇項裡的自定義級別。把「ActiveX控件及插件」的所有設為禁用，注意這樣會對網頁瀏覽稍有影響。
6、將安全級別設置至少為「中等」
7、禁止OE的自動收發郵件功能。
8、症狀消失後，建議在安全模式用新版殺毒軟件全面查殺。

2006-07-13, 10:51 AM	#4 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	清除木馬v1.6：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案：SystemTray = "SysTray.Exe" 關閉儲存Regedit，重新啟動Windows 刪除C:\windows\systray.exe ＯＫ清除木馬v1.7：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices \ 查找到右邊的專案：C:\windows\kernel16.dl，並刪除關閉儲存Regedit，重新啟動Windows 刪除C:\windows\kernel16.dl ＯＫ清除木馬v1.8：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices \ 查找到右邊的專案：c:\windows\system.ini.，並刪除關閉儲存Regedit。打開win.ini文件查找到run= kernel16.dl 更改為run= 關閉儲存win.ini。打開system.ini文件查找到shell=explorer.exe kernel32.dl 更改為shell=explorer.exe 關閉儲存system.ini，重新啟動Windows 刪除C:\windows\kernel16.dl ＯＫ清除木馬v1.9 - 1.9b：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices \ 刪除右邊的專案：RegistryScan = "rundll16.exe" 關閉儲存Regedit，重新啟動Windows 刪除C:\windows\rundll16.exe ＯＫ清除木馬v2.0：打開system.ini文件查找到shell=explorer.exe trojanname.exe 更改為shell=explorer.exe 關閉儲存system.ini，重新啟動Windows 刪除c:\windows\rundll16.exe ＯＫ清除木馬v2.1 - 2.1 Gold + SubStealth- 2.1.3 Mod + 2.1.3 MUIE + 2.1 Bonus：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices \ 刪除右邊的專案：WinLoader = MSREXE.EXE hkey_classes_root\exefile\shell\open\command 將右邊的專案更改為：@="\"%1\" %" 關閉儲存Regedit。打開win.ini文件查找到run=msrexe.exe和 load=msrexe.exe 更改為run= load= 關閉儲存win.ini。打開system.ini文件查找到shell=explore.exe msrexe.exe 更改為shell=explorer.exe 關閉儲存system.ini，重新啟動Windows 刪除C:\windows\ msrexe.exe C:\windows\system\systray.dll ＯＫ清除木馬v2.2b1：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和刪除右邊的專案：載入器 = "c:\windows\system\**" 註：載入器和文件名是隨意改變的關閉儲存Regedit。打開win.ini文件更改為run= 關閉儲存win.ini。打開system.ini文件更改為shell=explorer.exe 關閉儲存system.ini，重新啟動Windows 刪除相對應的木馬程式ＯＫ 39. Telecommando 1.54 清除木馬的步驟：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案：SystemApp＝"ODBC.EXE" 關閉儲存Regedit，重新啟動Windows 刪除C:\windows\system\ ODBC.EXE ＯＫ -- 40. The Unexplained 清除木馬的步驟：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案：InetB00st = "C:\WINDOWS\TEMPINETB00ST.EXE" 關閉儲存Regedit，重新啟動Windows 刪除C:\WINDOWS\TEMPINETB00ST.EXE ＯＫ 41. Thing v1.00 - 1.60 清除木馬v1.00-1.12：點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案：(Default) = "C:\some\path\here\thing.exe" 也有一些是在： HKEY_LOCAL_MACHINE\System\CurrentControlSet\control\SessionManager\Known16DL Ls\ 刪除右邊的專案：wsasrv.exe = "wsasrv.exe" 關閉儲存Regedit，重新啟動Windows 刪除C:\some\path\here\thing.exe ＯＫ清除木馬v 1.20版本: 進入MS_DOS方式： del winspc13.exe del ms097.exe 打開system.ini文件查找到shell=explorer.exe ms097.exe 更改為：shell=explorer.exe 關閉儲存system.ini，重新啟動Windows ＯＫ清除木馬v1.50版本: 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 這個專案的路徑和文件名是隨機改變的，察看有可疑的文件路徑，將它刪除。關閉儲存Regedit。打開system.ini文件查找到shell=explorer.exe後面是木馬文件更改為：shell=explorer.exe 關閉儲存system.ini，重新啟動Windows 刪除相應的木馬文件ＯＫ清除木馬v1.50版本: 進入MS_DOS方式： del winspc13.exe del ms097.exe 打開system.ini文件查找到shell=explorer.exe後面是木馬文件更改為：shell=explorer.exe 關閉儲存system.ini，重新啟動Windows 刪除相應的木馬文件ＯＫ 42. Transmission Scount v1.1 - 1.2 清除木馬的步驟：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案：Kernel16" = C:\WINDOWS\Kernel16.exe 關閉儲存Regedit，重新啟動Windows 刪除C:\WINDOWS\Kernel16.exe ＯＫ 43. Trinoo 清除木馬的步驟：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案： System Services = service.exe 關閉儲存Regedit，重新啟動Windows 刪除C:\windows\system\service.exe ＯＫ 44. Trojan Cow v1.0 清除木馬的步驟：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案：SysWindow = "C:\WINDOWS\Syswindow.exe" 關閉儲存Regedit，重新啟動Windows 刪除C:\WINDOWS\Syswindow.exe ＯＫ 45. TryIt 清除木馬的步驟：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案：Rc5Dec = C:\Program Files\Internet Explorer\_.exe -guistart 關閉儲存Regedit，重新啟動Windows 刪除C:\Program Files\Internet Explorer\_.exe ＯＫ 46. Vampire v1.0 - 1.2 清除木馬的步驟：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案：Sockets ="c:\windows\system\Sockets.exe" 關閉儲存Regedit，重新啟動Windows 刪除c:\windows\system\Sockets.exe ＯＫ 47. WarTrojan v1.0 - 2.0 清除木馬的步驟：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案：Kernel32 = "C:\somepath\server.exe" 關閉儲存Regedit，重新啟動Windows 刪除C:\somepath\server.exe ＯＫ 48. wCrat v1.2b 清除木馬的步驟：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案：MS Windows System Explorer ="C:\WINDOWS\sysexplor.exe" 關閉儲存Regedit，重新啟動Windows 刪除C:\WINDOWS\sysexplor.exe ＯＫ 49. WebEx (v1.2, 1.3, and 1.4) 清除木馬的步驟：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案：RunDl32 = "C:\windows\system\task_bar" 關閉儲存Regedit，重新啟動Windows 刪除C:\windows\system\task_bar.exe和c:\windows\system\msinet.ocx ＯＫ 50. WinCrash v2 清除木馬的步驟：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案：WinManager = "c:\windows\server.exe" 關閉儲存Regedit 打開win.ini文件查找到run=c:\windows\server.exe 更改為：run= 儲存關閉win.ini，重新啟動Windows 刪除c:\windows\server.exe ＯＫ 51. WinCrash 清除木馬的步驟：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案：MsManager ="SERVER.EXE" 關閉儲存Regedit，重新啟動Windows 刪除C:\windows\system\ SERVER.EXE ＯＫ 52. Xanadu v1.1 清除木馬的步驟：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案：SETUP = "c:\somepath\setup.exe" 關閉儲存Regedit，重新啟動Windows 刪除c:\somepath\setup.exe ＯＫ 53. Xplorer v1.20 清除木馬的步驟：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案：PCX = "C:\WINDOWS\system\PCX.exe" 關閉儲存Regedit，重新啟動Windows 刪除C:\WINDOWS\system\PCX.exe ＯＫ 54. Xtcp v2.0 - 2.1 清除木馬的步驟：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 刪除右邊的專案：msgsv32 = "C:\WINDOWS\system\winmsg32.exe" 關閉儲存Regedit，重新啟動Windows 刪除C:\WINDOWS\system\winmsg32.exe ＯＫ 55. YAT 清除木馬的步驟：打開註冊表Regedit 點擊目錄至： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ 刪除右邊的專案：Batterieanzeige = 'c:\pathnamehere\server.exe /nomsg' 關閉儲存Regedit，重新啟動Windows 刪除c:\pathnamehere\server.exe ＯＫ啟始型病毒 1、隱藏於硬碟或軟碟的啟始區中，當電腦從感染了此類病毒的磁碟啟始時，病毒駐留到記憶體中，之後向其他所有可寫磁碟複製傳播。 2、發作時可導致系統不啟始，分區表被破壞等現象。利用乾淨的（確保無毒）軟碟或光碟啟始機器，利用dos版的殺毒軟件進行查殺。殺毒後有可能導致硬碟不啟始甚至分區丟失等現象，因此建議殺毒前，備份重要資料 1、用命令fdisk /mbr嘗試清除 2、用殺毒軟件查殺，查殺前建議備份啟始扇區和分區表。文件型病毒 1、大多寄生在可執行文件上，使文件字節數變大，劫奪用來啟動主程式的可執行命令，用作它自身的執行命令。 2、同時還經常將控制權還給主程式，偽裝電腦系統正常執行。一旦執行被感染了病毒的程式文件，病毒便被激發，進行自我複製。 3、會使系統出現執行速度變慢，資料丟失，死機等現象。利用乾淨的（確保無毒）軟碟或光碟啟始機器，利用dos版的殺毒軟件進行查殺。殺毒後可能會導致某些程式無法執行甚至無法進入系統，建議殺毒前重要資料先備份，出現這類情況可覆蓋安裝（9x、me或應用程式）或修復安裝（2k或xp）嘗試修復，系統文件可用sfc修復。如果無效建議格式化重裝。 1、如確認為染毒文件且文件無用最好在dos下直接刪除 2、如無把握建議最好用殺毒軟件查殺蠕蟲病毒 1、通過網路複製，通過郵件系統自動發送自己的複製品。 2、傳播速度極快，會造成網路擁擠癱瘓 3、主機執行速度變慢或某些系統功能異常，死機重啟等異常。 1、如果病毒嚴重影響操作系統，導致系統無法執行，如出現關機、重啟等現象，像衝擊波和震盪波，出現倒計時關機提示視窗時，應用shutdown /a命令結束重啟，然後上網升級病毒軟件或下載修正檔程式和專殺工具。 2、如果病毒對系統執行影響不嚴重，僅是出現速度慢，死機等現象，應盡快上網升級病毒軟件或下載修正檔程式和專殺工具。 1、利用任務管理器查找可疑工作行程，嘗試結束 2、打開註冊表編輯器，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項，刪除可疑鍵值 3、對應查找病毒文件刪除（可能需進安全模式或dos模式）。 4、安裝修正檔程式，用專殺軟件或升級殺毒軟件全面查殺。 5、如病毒導致系統重啟，可用shutdown /a命令結束重啟木馬 1、瀏覽器自動打開，自動連接到某個網站。 2、系統配置被莫名其妙地修改，比如屏保顯示的文字，時間和日期，聲音大小，滑鼠靈敏度，還有CD-ROM的自動執行配置。 3、執行中莫名其妙的彈出出現警告框或者是詢問框，問一些莫名其妙的問題。 4、機器啟動時異常緩慢，很長時間恢復正常；網路連接狀態時，大批量接收發送資料包；滑鼠指標時而沒緣由的成沙漏狀態；螢幕無緣故黑屏又恢復正常；硬碟老是沒理由地讀盤寫盤；軟式磁碟機燈經常自己亮起來；光碟自己彈開關閉。 5、QQ、MSN等登入時輸入帳號密碼的登入框連續出現兩次，或者輸入正確的密碼後提示不正確。根據木馬的啟動執行原理，可先利用msconfig關閉啟動項中的可疑程式，重啟後上網升級病毒軟件或下載修正檔程式和專殺工具。 1、利用任務管理器查找可疑工作行程，嘗試結束 2、「系統配置實用程式（msconfig）」中的「啟動」項和「服務」項中找可疑啟動項刪除，或在「註冊表編輯器」中的 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run項和 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項中找可疑啟動項刪除。 3、如果沒有活問題沒有解決可在「註冊表編輯器」中HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run項裡找找，或是進入「組策略編輯器（gpedit.msc僅xp的pro版有）」的「在用戶登入時執行這些程式」看看有沒有可疑的啟動的程式刪除。 4、症狀消失後，建議在安全模式用新版殺毒軟件全面查殺。腳本病毒（網頁病毒/惡意代碼） 1、自動向outlook的地址簿中的郵件地址發送郵件，導致網路速度變慢。 2、自動掃瞄局域網中的有寫權限的共享目錄，向其中複製 3、通過感染htm、asp、jsp、php等網頁文件傳播，導致所有訪問過該網頁的用戶機器感染病毒。 4、防火牆/防病毒軟件被自動關閉甚至是被刪除。此類病毒一般只是更改註冊表或系統配置文件設置，導致一些程式執行異常，某些類型文件打開異常。一般不會影響系統基本功，上網上網升級病毒軟件或下載修正檔程式和專殺工具。 1、用regsvr32 scrrun.dll /u命令禁止文件系統對像（FileSystemObject）。其中regsvr32是Windows\System下的可執行文件。或查找scrrun.dll文件刪除或者改名。 2、打開控制台→新增/刪除程式→Windows安裝程式→附件，卸載Windows Scripting Host一項。 3、打開資料夾選項→文件類型，刪除VBS、VBE、JS、JSE文件後綴名與應用程式的鏈接。 4、在Windows目錄中，找到WScript.exe，更改名稱或者刪除，如果覺得以後有機會用到請更改名稱。 5、打開瀏覽器，單擊表菜單欄裡「Internet 選項」安全選擇項裡的自定義級別。把「ActiveX控件及插件」的所有設為禁用，注意這樣會對網頁瀏覽稍有影響。 6、將安全級別設置至少為「中等」 7、禁止OE的自動收發郵件功能。 8、症狀消失後，建議在安全模式用新版殺毒軟件全面查殺。
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次