檢查登錄檔
登錄檔一直都是很多木馬和病毒「青睞」的寄生場所,注意在檢查登錄檔之前要先給登錄檔備份。
1、檢查登錄檔中hkey_local_machine/software/microsoft/windows/currentversion/ run和hkey_local_machine/software/microsoft/windows/currentversion/ runserveice,檢視鍵值中有沒有自己不熟悉的自動啟動檔案,副檔名一般為exe,然後記住木馬程式的檔名,再在整個登錄檔中搜尋,凡是看到了一樣的檔名的鍵值就要刪除,接著到電腦中找到木馬檔案的藏身地將其徹底刪除。
2、檢查登錄檔hkey_local_machine和hkey_current_user/software/microsoft/internet explorer/main中的幾項(如local page),如果發現鍵值被修改了,只要根據你的判斷改回去就行了。惡意**(如「萬花谷」)就經常修改這幾項。
3、檢查hkey_classes_root/inifile/shell/open/command和hkey_classes_root/ txtfile/shell/open/command等等幾個常用檔案型別的預設開啟程式是否被更改。這個一定要改回來,很多病毒就是通過修改. txt、.ini等的預設開啟程式而清除不了的。
檢查你的系統配置檔案
其實檢查系統配置檔案最好的方法是開啟windows「系統配置實用程式」(從開始選單執行msconfig.exe),在裡面你可以配置config.sys、autoexec.bat、system.ini和win.ini,並且可以選擇啟動系統的時間。
1、檢查win.ini檔案(在c:/windows/下),開啟後,在?windows?下面,「run=」和「load=」是可能載入「木馬」程式的途徑,必須仔細留心它們。在一般情況下,在它們的等號後面什麼都沒有,如果發現後面跟有路徑與檔名不是你熟悉的啟動檔案,你的計算機就可能中上「木馬」了。比如攻擊qq的「gop木馬」就會在這裡留下痕跡。
2、檢查system.ini檔案(在c:/windows/下),在boot下面有個「shell=檔名」。正確的檔名應該是「explorer.exe」,如果不是「explorer.exe」,而是「shell= explorer.exe 程式名」,那麼後面跟著的那個程式就是「木馬」程式,然後你就要在硬碟找到這個程式並將其刪除了。
木馬和病毒的區別
雖然木馬和病毒的危害性難分伯仲,甚至現在已經把木馬作為病毒的一種進行歸類,但實際上在網際網路普及之前,木馬和病毒是並駕齊驅的。早期的木馬和病毒的主要區別,就是病毒具有自傳播性,即能夠自我複製,而木馬則不具備這一點。這主要是因為,病毒的創造者當時主要是為了炫耀自己天才的創意,而可以自我複製傳播並做出不...
Winlogon(落雪)病毒手工清除辦法
不知 命的名,叫落雪還是蠻有意思的。今天一台測試的機器中毒了,剛裝好的windows xp pro with sp2正版,剛剛上windows updated 打好了到8月份的安全補丁,office 2003安裝了sp2,防火牆開啟了,安裝了symantec antivirus 10,更新到最新的病...
Winlogon(落雪)病毒手工清除辦法
不知 命的名,叫落雪還是蠻有意思的。今天一台測試的機器中毒了,剛裝好的windows xp pro with sp2正版,剛剛上windows updated 打好了到8月份的安全補丁,office 2003安裝了sp2,防火牆開啟了,安裝了symantec antivirus 10,更新到最新的病...