如果是要刪除一串機碼,可以在原來的登錄檔內容中多加一個 "-",如此在一次點擊該登錄檔
即可刪除那一串機碼。
例如之前我有發一篇 KAVO 的病毒討論,其中不是有登錄檔被植入 LEGACY_TRLMNCZQ 機碼一大串
語法:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRLMNCZQ]
"NextInstance"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRLMNCZQ\0000]
"Service"="trlmnczq"
"Legacy"=dword:00000001
"ConfigFlags"=dword:00000000
"Class"="LegacyDriver"
"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"
"DeviceDesc"="trlmnczq"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRLMNCZQ\0000\Control]
"*NewlyCreated*"=dword:00000000
"ActiveService"="trlmn
要做移除的登錄檔如下,刪除這一串 LEGACY_TRLMNCZQ 的目標機碼
語法:
Windows Registry Editor Version 5.00 ← 這一行敘述不能少
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TRLMNCZQ]
↑
這裡加 "-" 號
如此,重新匯入,就能刪除那一串機碼。
如果是要刪除其中的一個的 字串值或是 WORD 值呢?
就要使用 REGEDIT 去做個別搜尋,然後刪除;不然就要使用 CMD 命令窗的 REG.EXE
例如在原來的機碼中有 kava 關鍵字串
語法:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"kava"="C:\\WINDOWS\\system32\\kavo.exe"
此時利用 REGEDIT 可以搜尋 kavo 或是 kava 等關鍵字來找尋
或是使用 REG.EXE,至於有關 REG.EXE 我就不清楚了。