文章大纲：

• 1、电脑木马病毒怎么彻底清理
• 2、如何清除注册表中的木马病毒?
• 3、如何用注册表查杀木马病毒

电脑木马病毒怎么彻底清理

笔记本电脑病毒主要包括以破坏笔记本电脑文件等为目的的普通病毒和通过 *** 盗取别人笔 记本电脑资料和秘密的黑客、木马病毒。下面分别介绍电脑感染病毒木马后如何查找和清除。

1 普通病毒诊断与排除

笔记本电脑病毒会破坏文件或数据，造成用户数据丢失或毁损;抢占系统 *** 资源，造成网 络阻塞或系统瘫痪;破坏操作系统等软件或计算机主板等硬件，造成计算机无法启动，因此必须 及时发现并杀掉病毒。

当笔记本电脑感染病毒后通常会出现异常死机，或程序装入时间增长，文仵运行速度下降， 或屏幕显示异常，屏幕显示出不是由正常程序产生的界面或字符串，屏幕显示混乱，或系统自行 引导，或用户并没有访问的设备出现“忙”信号，或磁盘出现莫名其妙的文件和坏块，卷标发生 变化，或丢失数据或程序，文件字节数发生变化，或打印出现问题，打印速度变慢或打印异常字 符.或内存空间、磁盘空间减小，或磁盘访问时间比平时增长，或出现莫明其妙的隐蔽文件，或 程序或数据神秘丢失了，或系统引导时间增长，或可执行文件的大小发生变化等现象。

当笔记本电脑出现上述故障现象后，可以采用下面的 *** 进行检修。

安装最新版的杀毒软件(如瑞星等)，然后查杀病毒;杀毒时杀毒软件会自动检查有无病毒， 如有病毒，杀毒软件会自动将病毒清除。

2 黑客、木马病毒诊断与排除

黑客、木马病毒的目的一般是为了盗取笔记本电脑用户的个人秘密、银行密码、公司机密等， 而不是为了破坏用户的笔记本电脑，因此笔记本电脑感染黑客、木马病毒后，系统一般不会出现 损坏。只是由于黑客、木马病毒在笔记本电脑中运行需要占用笔记本电脑的资源，因此笔记本电 脑的速度可能变得比较慢，另外，在不使用笔记本电脑的时候，笔记本电脑看起来还是很忙。

如果笔记本电脑感染黑客、木马病毒可以采用下面 *** 进行检修。

① 安装最新版杀毒软件和防火墙(如瑞星)，然后运行杀毒软件杀毒即可。

② 手动查找黑客、木马病毒，具体的操作 *** 如下。

◆重新启动笔记本电脑到安全模式下，然后单击窗口中的“查看—文件夹选项”命令，接着单击切 换到“查看”选项卡，在“高级选项”列表框中取消“隐藏受保护的操作系统文件(推荐)”复选框，并选中“显示所有文件和文件夹”单选按钮，然后单击“确定”按钮，让所有文件都可见。

◆打开“我的电脑”中的c盘，查看c盘根目录下是否存在不熟悉的文件。如果有，且日期为发现 中毒现象当天，则将其删除。

◆查看完C盘根目录下后，接着打开C盘中的MNDOWS文件夹，首先按照修改时间顺序徘列图标， 查看最下面的文件。如果发现有中毒现象当天新建的文件，且为没有见过的，将其删除。

◆进入C盘WINDOWS文件夹中的system32文件夹，同样按照修改时间顺序排列图标，查看其中 的文件和文件夹。如果发现当天新建的文件或文件夹有中毒现象，且为没有见过的，将其删除。

◆查看C盘Program Files文件夹中的Intemet Explorer文件夹和Common Files文件夹，按照上面的 *** 进行查看。

◆查看注册表的启动项，看有无不认识的启动项目，如果有，将其删除，同时清空临时文件夹 ( C:\WINDOWS\Temp)，接着重新启动笔记本电脑即可。

如何清除注册表中的木马病毒?

1.推荐a-squared

Free

V3.0

中文绿色版

可以查杀1427681种木马、后门、蠕虫、拨号器、间谍软件和广告软件

2.Windows清理助手

3.免费的、汉化的AVG

Anti-Spyware

7.5.1.43

他的数据库中的特征码数量是1289493

这些都是绿色软件

不需要安装

不随系统启动

与任何杀毒软件都没有冲突

如果以上都不可以,请出动那手管家:木马清道夫

如何用注册表查杀木马病毒

木马取自古希腊神话的特洛伊木马记，是一种基于远程控制的黑客工具，具有很强的隐藏性和危害性。为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己，加载运行的目的。这里，我们简要的介绍一下木马通用的激活方式，它们的藏身地，并通过一些实例来让您体会一下手动清除木马的 *** 。

●在Win.ini中启动木马：

在Win.ini的[Windows]小节中有启动命令“load=”和“run=”，在一般的情况下“=”后面是空的，如果后面跟有程序，比如：

run=C:Windows ile.exe

load=C:Windows ile.exe

则这个file.exe很有可能就是木马程序。

●在Windows XP注册表中修改文件关联：

修改注册表中的文件关联是木马常用的手段，如何修改的 *** 已在本系列的前几文中有过阐述。举个例子，在正常情况下txt文件的打开方式为Notepad.exe（记事本），但一旦感染了文件关联木马，则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”，就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”，这样，当你双击一个txt文件时，原本应该用记事本打开的文件，现在就成了启动木马程序了。当然，不仅是txt 文件，其它类型的文件，如htm、exe、zip、com等文件也都是木马程序的目标，要小心。

对这类木马程序，只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支，查看其值是否正常。

●在Windows XP系统中捆绑木马文件：

实现这种触发条件首先要控制端和服务端已通过木马建立连接，控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原有文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被重新安装了。如果捆绑在系统文件上，则每次Windows XP启动都会启动木马。

●在System.ini中启动木马：

System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所，木马通常的做法是将该语句变为这样：

Shell=Explorer.exe file.exe

这里的file.exe就是木马服务端程序。

另外，在[386enh]小节，要注意检查在此小节的“driver=path程序名”，因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的，所以也是添加木马的理想场所。

●利用Windows XP注册表加载运行：

注册表中的以下位置是木马偏爱的藏身之所：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

●在Autoexec.bat和Config.sys中加载运行木马：

要建立控制端与服务端的连接，将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽，所以这种方式并不多见，但也不能掉以轻心。

●在Winstart.bat中启动木马：

Winstart.bat也是一个能自动被Windows XP加载运行的文件，多数时由应用程序及Windows自动生成，在执行了Win.com或者Kernel386.exe，并加载了多数驱动程序之后开始执行（这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知）。由于Autoexec.bat的功能可以由 Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行。

木马病毒的通用排查技术

现在，我们已经知道了木马的藏身之处，查杀木马自然就容易了。如果您发现计算机已经中了木马，最安全最有效的 *** 就是马上与 *** 段开，防止计算机骇客通过 *** 对您进行攻击，执行如下步骤：

l 编辑Win.ini文件，将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”，“load=”。

l 编辑System.ini文件，将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。

l 在Windows XP注册表中进行修改：先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除，并在整个注册表中查找木马程序，将其删除或替换。但可恶的是，并不是所有的木马程序都只要删除就能万事大吉的，有的木马程序被删除后会立即自动添上，这时，您需要记下木马的位置，即它的路径和文件名，然后退到DOS系统下，找到这个文件并删除。重启计算机，再次回到注册表中，将所有的木马文件的键值项删除。

Re:用注册表清除计算机病毒

计算机木马清除实例

●冰河v1.1的注册表清除实例：

在注册表编辑器中打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，在右边的窗口中找到并删除C:WINNTSystem32Kernel32.exe，C:WINNTSystem32sysexplr.exe，再重新启动到MS-DOS方式后，删除C:WINNTSystem32Kernel32.exe和C:WINNTSystem32sysexplr.exe木马程序。

AOL Trojan的注册表清除实例：

首先到MS-DOS方式下，删除以下文件：

C:command.exe

C:Americ~1.0uddyl~1.exe

C:Windowssystem orton~1 egist~1.exe

打开Win.ini文件，在[Windows]小节下面将特洛伊木马程序的路径清除掉，改为“run=”，“load=”，保存Win.ini文件。

然后打开Windows XP注册表，打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右表窗口中的键值项“WinProfile=C:Command.exe”删除，关闭注册表，重启计算机即可。

●Doly v1.1-v1.5的注册表实例（v1.6和v1.7类似）：

首先进入MS-DOS方式，删除以下三个木马程序，但v1.35版还多一个木马文件Mdm.exe。

C:WindowsSystem esk.sys

C:WindwosStart MenuProgramsStartupmstesk.exe

C:Program FilesMStesk.exe

C:Program FilesMdm.exe

重新启动Windows，打开Win.ini文件，将[windows]小节下的“load=C:WindowsSystem esk.exe”删除，即改为“load=”，保存Win.ini文件。

然后，在注册表中打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除，打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionss子键分支，将其下的全部内容都删除（全为木马参数选择和设置的服务器）；再打开HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除。

关闭注册表，打开C:Autoexec.bat文件，删除如下两行：

@echo off copy c:sys.lon C:WindowsStart MenuStartup Items

Del c:win.reg

保存并关闭Autoexec.exe文件。

●IndocTrination v0.1-v0.11注册表清除实例：

在注册表中打开如下子键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once

将这些子键右边窗口中的如下键值项删除：

Msgsrv16=“Msgsrv16”，关闭注册表后重启Windows，删除C:WindowsSystemmsgserv16.exe文件。

●SubSeven-Introduction v1.8注册表清除实例：

打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子键分支，在右窗口中查找到含有“C:WindowsSystem.ini”的键值项数据，将它删除。

打开Win.ini文件，将其中的“run=kernel16.dl”改为“run=”，保存并关闭Win.ini文件。

打开System.ini文件，将其中的“shell=explorer.exe kernel32.dl”改为“shell=explorer.exe”，保存并关闭System.ini文件，重启Windows，删除C:Windowskernel16.dl文件。

●广外女生注册表清除实例：

退到MS-DOS模式下，删除System目录下的diagcfg.exe。由于该病毒关联的是exe文件，因此，现在删除它后Windows环境下任何exe文件都将无法运行。我们先找到Windows目录下的注册表编辑器“Regedit.exe”，将其改名为“Regedit.com”。

回到Windows模式下，运行“Regedit.com”。打开HKEY_CLASSES_ROOTexefileshellopencommand，将其默认值改为“%1 %*”，删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的键值项“Diagnostic Configuration”。关闭注册表。

回到Windows目录，将“Regedit.com”改回“Regedit.exe”。

●Netbull（ *** 公牛）注册表清除实例：

该病毒在Windows 9X下：捆绑notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆绑：notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打开：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun

在这些子键下删除键值项“CheckDll.exe”=“C:WindowsSystemCheckDll..exe”。

另外，要察看自己的机器是否中了该病毒，可以察看上面列出的文件，如果发现该文件长度发生变化（大约增加了40K左右），就删除它们。然后点击[开始]|[附件]|[系统工具]|[系统文件检查器]，在弹出的对话框中选择“从安装软盘提取一个文件”，在框中填入要提取的文件（前面你删除的），点“确定”，按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件，如realplay.exe、 *** 等被捆绑上了，那就必须把这些文件删除后重新安装了。

●聪明基因注册表清除实例：

删除C:Windows下的MBBManager.exe和Explore32.exe，再删除C:WindowsSystem下的editor.exe文件。如果服务端已经运行，则要先用进程管理软件终止MBBManager.exe这个进程后才能将它删除。

打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，删除键值项“MainBroad BackManager”。将HKEY_CLASSES_ROOT xtfileshellopencommand的默认值改为“C:WindowsNotepad.exe %1”，恢复txt文件关联。将HKEY_CLASSES_ROOThlpfileshellopencommand的默认值改为“C:Windowswinhlp32.exe %1”，恢复hlp文件关联。

;ID=749page=7