文章大纲：

• 1、怎样从注册表里杀毒
• 2、如何用注册表查杀木马病毒
• 3、怎么在注册表里面清除顽固的病毒和木马 ？详细一点的？
• 4、谁知道注册表怎么查杀病毒？
• 5、怎样在注册表中查杀 木马病毒
• 6、什么叫映像劫持?如何杀此木马?如何在注册表查杀病毒和木马?

怎样从注册表里杀毒

首先大家打开CMD，，开始→运行→打入CMD。然后回车，出来了CMD截面你就打入regedit，然后回车，你就打开了注册表的界面，你打开编辑→查找，键入你要杀的病毒的名称，查找病毒。找到了以后你就把他删除，这样你就把病毒移出了你的电脑(注意要重新启动)。OK。介绍完了。最近大家更好要小心了。偷号的行为特别严重。小心你的号被偷哦。如果你的电脑中毒严重的话更好把机子格了重新安装。因为有写病毒很顽固。很难清理的掉。这次时间有限。下次我把注册表的多功能用途发表出来。俺是电脑菜鸟。希望老手见了不要见笑。呵呵

如何用注册表查杀木马病毒

木马取自古希腊神话的特洛伊木马记，是一种基于远程控制的黑客工具，具有很强的隐藏性和危害性。为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己，加载运行的目的。这里，我们简要的介绍一下木马通用的激活方式，它们的藏身地，并通过一些实例来让您体会一下手动清除木马的 *** 。

●在Win.ini中启动木马：

在Win.ini的[Windows]小节中有启动命令“load=”和“run=”，在一般的情况下“=”后面是空的，如果后面跟有程序，比如：

run=C:Windows ile.exe

load=C:Windows ile.exe

则这个file.exe很有可能就是木马程序。

●在Windows XP注册表中修改文件关联：

修改注册表中的文件关联是木马常用的手段，如何修改的 *** 已在本系列的前几文中有过阐述。举个例子，在正常情况下txt文件的打开方式为Notepad.exe（记事本），但一旦感染了文件关联木马，则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”，就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”，这样，当你双击一个txt文件时，原本应该用记事本打开的文件，现在就成了启动木马程序了。当然，不仅是txt 文件，其它类型的文件，如htm、exe、zip、com等文件也都是木马程序的目标，要小心。

对这类木马程序，只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支，查看其值是否正常。

●在Windows XP系统中捆绑木马文件：

实现这种触发条件首先要控制端和服务端已通过木马建立连接，控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原有文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被重新安装了。如果捆绑在系统文件上，则每次Windows XP启动都会启动木马。

●在System.ini中启动木马：

System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所，木马通常的做法是将该语句变为这样：

Shell=Explorer.exe file.exe

这里的file.exe就是木马服务端程序。

另外，在[386enh]小节，要注意检查在此小节的“driver=path程序名”，因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的，所以也是添加木马的理想场所。

●利用Windows XP注册表加载运行：

注册表中的以下位置是木马偏爱的藏身之所：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

●在Autoexec.bat和Config.sys中加载运行木马：

要建立控制端与服务端的连接，将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽，所以这种方式并不多见，但也不能掉以轻心。

●在Winstart.bat中启动木马：

Winstart.bat也是一个能自动被Windows XP加载运行的文件，多数时由应用程序及Windows自动生成，在执行了Win.com或者Kernel386.exe，并加载了多数驱动程序之后开始执行（这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知）。由于Autoexec.bat的功能可以由 Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行。

木马病毒的通用排查技术

现在，我们已经知道了木马的藏身之处，查杀木马自然就容易了。如果您发现计算机已经中了木马，最安全最有效的 *** 就是马上与 *** 段开，防止计算机骇客通过 *** 对您进行攻击，执行如下步骤：

l 编辑Win.ini文件，将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”，“load=”。

l 编辑System.ini文件，将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。

l 在Windows XP注册表中进行修改：先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除，并在整个注册表中查找木马程序，将其删除或替换。但可恶的是，并不是所有的木马程序都只要删除就能万事大吉的，有的木马程序被删除后会立即自动添上，这时，您需要记下木马的位置，即它的路径和文件名，然后退到DOS系统下，找到这个文件并删除。重启计算机，再次回到注册表中，将所有的木马文件的键值项删除。

Re:用注册表清除计算机病毒

计算机木马清除实例

●冰河v1.1的注册表清除实例：

在注册表编辑器中打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，在右边的窗口中找到并删除C:WINNTSystem32Kernel32.exe，C:WINNTSystem32sysexplr.exe，再重新启动到MS-DOS方式后，删除C:WINNTSystem32Kernel32.exe和C:WINNTSystem32sysexplr.exe木马程序。

AOL Trojan的注册表清除实例：

首先到MS-DOS方式下，删除以下文件：

C:command.exe

C:Americ~1.0uddyl~1.exe

C:Windowssystem orton~1 egist~1.exe

打开Win.ini文件，在[Windows]小节下面将特洛伊木马程序的路径清除掉，改为“run=”，“load=”，保存Win.ini文件。

然后打开Windows XP注册表，打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右表窗口中的键值项“WinProfile=C:Command.exe”删除，关闭注册表，重启计算机即可。

●Doly v1.1-v1.5的注册表实例（v1.6和v1.7类似）：

首先进入MS-DOS方式，删除以下三个木马程序，但v1.35版还多一个木马文件Mdm.exe。

C:WindowsSystem esk.sys

C:WindwosStart MenuProgramsStartupmstesk.exe

C:Program FilesMStesk.exe

C:Program FilesMdm.exe

重新启动Windows，打开Win.ini文件，将[windows]小节下的“load=C:WindowsSystem esk.exe”删除，即改为“load=”，保存Win.ini文件。

然后，在注册表中打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除，打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionss子键分支，将其下的全部内容都删除（全为木马参数选择和设置的服务器）；再打开HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除。

关闭注册表，打开C:Autoexec.bat文件，删除如下两行：

@echo off copy c:sys.lon C:WindowsStart MenuStartup Items

Del c:win.reg

保存并关闭Autoexec.exe文件。

●IndocTrination v0.1-v0.11注册表清除实例：

在注册表中打开如下子键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once

将这些子键右边窗口中的如下键值项删除：

Msgsrv16=“Msgsrv16”，关闭注册表后重启Windows，删除C:WindowsSystemmsgserv16.exe文件。

●SubSeven-Introduction v1.8注册表清除实例：

打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子键分支，在右窗口中查找到含有“C:WindowsSystem.ini”的键值项数据，将它删除。

打开Win.ini文件，将其中的“run=kernel16.dl”改为“run=”，保存并关闭Win.ini文件。

打开System.ini文件，将其中的“shell=explorer.exe kernel32.dl”改为“shell=explorer.exe”，保存并关闭System.ini文件，重启Windows，删除C:Windowskernel16.dl文件。

●广外女生注册表清除实例：

退到MS-DOS模式下，删除System目录下的diagcfg.exe。由于该病毒关联的是exe文件，因此，现在删除它后Windows环境下任何exe文件都将无法运行。我们先找到Windows目录下的注册表编辑器“Regedit.exe”，将其改名为“Regedit.com”。

回到Windows模式下，运行“Regedit.com”。打开HKEY_CLASSES_ROOTexefileshellopencommand，将其默认值改为“%1 %*”，删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的键值项“Diagnostic Configuration”。关闭注册表。

回到Windows目录，将“Regedit.com”改回“Regedit.exe”。

●Netbull（ *** 公牛）注册表清除实例：

该病毒在Windows 9X下：捆绑notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆绑：notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打开：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun

在这些子键下删除键值项“CheckDll.exe”=“C:WindowsSystemCheckDll..exe”。

另外，要察看自己的机器是否中了该病毒，可以察看上面列出的文件，如果发现该文件长度发生变化（大约增加了40K左右），就删除它们。然后点击[开始]|[附件]|[系统工具]|[系统文件检查器]，在弹出的对话框中选择“从安装软盘提取一个文件”，在框中填入要提取的文件（前面你删除的），点“确定”，按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件，如realplay.exe、 *** 等被捆绑上了，那就必须把这些文件删除后重新安装了。

●聪明基因注册表清除实例：

删除C:Windows下的MBBManager.exe和Explore32.exe，再删除C:WindowsSystem下的editor.exe文件。如果服务端已经运行，则要先用进程管理软件终止MBBManager.exe这个进程后才能将它删除。

打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，删除键值项“MainBroad BackManager”。将HKEY_CLASSES_ROOT xtfileshellopencommand的默认值改为“C:WindowsNotepad.exe %1”，恢复txt文件关联。将HKEY_CLASSES_ROOThlpfileshellopencommand的默认值改为“C:Windowswinhlp32.exe %1”，恢复hlp文件关联。

;ID=749page=7

怎么在注册表里面清除顽固的病毒和木马 ？详细一点的？

请问你知道木马的文件名吗？知道就好办了，复制该文件名，打开注册表编辑器（想必知道注册表应该知道怎么打开），查看—查找下一个，弹出一个输入框，把文件名粘贴进去，查找，出现结果后把该文件夹下的东东都删除，右边目录里有相似文件名的文件夹也删除。

谁知道注册表怎么查杀病毒？

自己手动查杀病毒和木马 时下，病毒、木马可谓越来越多，而且经常造访我们的“爱机”，给工作带到来极大的不便！如此之多的病毒、木马，若要都用杀毒软件来杀的话，并非确保全盘杀掉，况且有的病毒出现快，杀毒软件还未来得及更新病毒库就已侵袭了我们的电脑，在这种情况下，如何是好呢？是否一筹莫展呢？非也，您不妨按照如下步骤自已动手进行删除。 1、检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址， 再将可疑的删除。 2、删除上述可疑键在硬盘中的执行文件。 3、一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。 4、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main中的几项（如Local Page），如果被修改了，改回来就可以。 5、检查HKEY_CLASSES_ROOT\inifile\shell\open\command和 HKEY_CLASSES_ROOT\txtfile\shell\open\command等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt、.ini等的默认打开程序让病毒“长生不老，永杀不尽”的。 6、如果有可能，对病毒的母文件进行反汇编，比如我上次中的那个病毒，通过用IDA反汇编，发现它还偷窃系统密码并建立 %systemroot%\system\mapis32a.dll 文件把密码送到一个邮箱中，由于我用的是W2K，所以它当然没有得手。 至此，病毒完全删除！ 笔者建议有能力的话，时刻注意系统的变化，奇怪端口、可疑进程等等。 现在的病毒都不象以前那样对系统数据破坏很严重，也好发现的多，所以尽量自己杀毒（较简单的病毒、木马）。

怎样在注册表中查杀 木马病毒

“木马”程序会想尽一切办法隐藏自己，主要途径有:在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服

务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的 *** ，“木马”都会用上，如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至:“HKEY-LOCAL-MACHINE”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记:有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE”下的 Explorer 键值改为Explorer=“C:.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如:“HKEY-CURRENT-USER”、“HKEY-USERS\u65290***”的目录下都有可能，更好的办法就是在“HKEY-LOCAL-MACHINE”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的 *** 就是马上将计算机与 *** 断开，防止黑客通过 *** 对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为:“shell=explorer.exe”;在注册表中，用regedit对注册表进行编辑，先在“HKEY-LOCAL-MACHINE”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE”下的“木马”键值删除就行了，因为有的“木马”如:BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS-DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

什么叫映像劫持?如何杀此木马?如何在注册表查杀病毒和木马?

映像劫持：

1、在Windows系统的注册表中，会找到一个项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，这个项其实也是系统启动过程中起着重要作用的启动项；

2、系统默认情况下对该项的权限设置并不严格，只要是管理员组用户，就拥有完全控制的权限。

3、而正是这一特点，也让病毒木马看到了进行镜像劫持的机会。它们通过改写该注册表项，在其下添加与各杀毒软件或安全软件进程名称相关的子项，然后在相关的子项右面窗口中会发现一个Debugger键值，并且其键值数据指向了病毒文件的路径，这其实就是看到的镜像劫持，若所安装的杀毒软件进程名称恰恰与被病毒木马创建过相关子键名称相同，那么杀毒软件就无法运行了，但是进程名称若没在木马病毒的名单中，那么这个杀毒软件就可以继续使用并发挥应有的作用。

查杀：万一遭遇这种病毒，可以先试试腾讯电脑管家，如果可以运行，在“杀毒”选项中点击全盘查杀，这时电脑管家将对包括注册表镜像劫持位置在内的所有系统关键位置，以及硬盘中所有文件进行检测，它毕竟拥有4+1核心杀毒引擎，且使用了CPU虚拟执行技术，能够发现病毒木马并对木马病毒予以根除。