文章大纲：

• 1、如何用注册表查杀木马病毒
• 2、注册表被木马修改怎么办
• 3、怎么防止木马和病毒自动修改注册表？
• 4、电脑中毒时,屏幕上没有任何图标,估计是注册表被木马改了,我该怎么办?
• 5、我的电脑被木马和恶意程序修改了 注册表 怎么恢复 注册表里面有病毒吗
• 6、病毒木马会把信息写入注册表吗？求高手指教~~~

如何用注册表查杀木马病毒

木马取自古希腊神话的特洛伊木马记，是一种基于远程控制的黑客工具，具有很强的隐藏性和危害性。为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己，加载运行的目的。这里，我们简要的介绍一下木马通用的激活方式，它们的藏身地，并通过一些实例来让您体会一下手动清除木马的 *** 。

●在Win.ini中启动木马：

在Win.ini的[Windows]小节中有启动命令“load=”和“run=”，在一般的情况下“=”后面是空的，如果后面跟有程序，比如：

run=C:Windows ile.exe

load=C:Windows ile.exe

则这个file.exe很有可能就是木马程序。

●在Windows XP注册表中修改文件关联：

修改注册表中的文件关联是木马常用的手段，如何修改的 *** 已在本系列的前几文中有过阐述。举个例子，在正常情况下txt文件的打开方式为Notepad.exe（记事本），但一旦感染了文件关联木马，则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”，就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”，这样，当你双击一个txt文件时，原本应该用记事本打开的文件，现在就成了启动木马程序了。当然，不仅是txt 文件，其它类型的文件，如htm、exe、zip、com等文件也都是木马程序的目标，要小心。

对这类木马程序，只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支，查看其值是否正常。

●在Windows XP系统中捆绑木马文件：

实现这种触发条件首先要控制端和服务端已通过木马建立连接，控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原有文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被重新安装了。如果捆绑在系统文件上，则每次Windows XP启动都会启动木马。

●在System.ini中启动木马：

System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所，木马通常的做法是将该语句变为这样：

Shell=Explorer.exe file.exe

这里的file.exe就是木马服务端程序。

另外，在[386enh]小节，要注意检查在此小节的“driver=path程序名”，因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的，所以也是添加木马的理想场所。

●利用Windows XP注册表加载运行：

注册表中的以下位置是木马偏爱的藏身之所：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

●在Autoexec.bat和Config.sys中加载运行木马：

要建立控制端与服务端的连接，将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽，所以这种方式并不多见，但也不能掉以轻心。

●在Winstart.bat中启动木马：

Winstart.bat也是一个能自动被Windows XP加载运行的文件，多数时由应用程序及Windows自动生成，在执行了Win.com或者Kernel386.exe，并加载了多数驱动程序之后开始执行（这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知）。由于Autoexec.bat的功能可以由 Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行。

木马病毒的通用排查技术

现在，我们已经知道了木马的藏身之处，查杀木马自然就容易了。如果您发现计算机已经中了木马，最安全最有效的 *** 就是马上与 *** 段开，防止计算机骇客通过 *** 对您进行攻击，执行如下步骤：

l 编辑Win.ini文件，将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”，“load=”。

l 编辑System.ini文件，将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。

l 在Windows XP注册表中进行修改：先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除，并在整个注册表中查找木马程序，将其删除或替换。但可恶的是，并不是所有的木马程序都只要删除就能万事大吉的，有的木马程序被删除后会立即自动添上，这时，您需要记下木马的位置，即它的路径和文件名，然后退到DOS系统下，找到这个文件并删除。重启计算机，再次回到注册表中，将所有的木马文件的键值项删除。

Re:用注册表清除计算机病毒

计算机木马清除实例

●冰河v1.1的注册表清除实例：

在注册表编辑器中打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，在右边的窗口中找到并删除C:WINNTSystem32Kernel32.exe，C:WINNTSystem32sysexplr.exe，再重新启动到MS-DOS方式后，删除C:WINNTSystem32Kernel32.exe和C:WINNTSystem32sysexplr.exe木马程序。

AOL Trojan的注册表清除实例：

首先到MS-DOS方式下，删除以下文件：

C:command.exe

C:Americ~1.0uddyl~1.exe

C:Windowssystem orton~1 egist~1.exe

打开Win.ini文件，在[Windows]小节下面将特洛伊木马程序的路径清除掉，改为“run=”，“load=”，保存Win.ini文件。

然后打开Windows XP注册表，打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右表窗口中的键值项“WinProfile=C:Command.exe”删除，关闭注册表，重启计算机即可。

●Doly v1.1-v1.5的注册表实例（v1.6和v1.7类似）：

首先进入MS-DOS方式，删除以下三个木马程序，但v1.35版还多一个木马文件Mdm.exe。

C:WindowsSystem esk.sys

C:WindwosStart MenuProgramsStartupmstesk.exe

C:Program FilesMStesk.exe

C:Program FilesMdm.exe

重新启动Windows，打开Win.ini文件，将[windows]小节下的“load=C:WindowsSystem esk.exe”删除，即改为“load=”，保存Win.ini文件。

然后，在注册表中打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除，打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionss子键分支，将其下的全部内容都删除（全为木马参数选择和设置的服务器）；再打开HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除。

关闭注册表，打开C:Autoexec.bat文件，删除如下两行：

@echo off copy c:sys.lon C:WindowsStart MenuStartup Items

Del c:win.reg

保存并关闭Autoexec.exe文件。

●IndocTrination v0.1-v0.11注册表清除实例：

在注册表中打开如下子键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once

将这些子键右边窗口中的如下键值项删除：

Msgsrv16=“Msgsrv16”，关闭注册表后重启Windows，删除C:WindowsSystemmsgserv16.exe文件。

●SubSeven-Introduction v1.8注册表清除实例：

打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子键分支，在右窗口中查找到含有“C:WindowsSystem.ini”的键值项数据，将它删除。

打开Win.ini文件，将其中的“run=kernel16.dl”改为“run=”，保存并关闭Win.ini文件。

打开System.ini文件，将其中的“shell=explorer.exe kernel32.dl”改为“shell=explorer.exe”，保存并关闭System.ini文件，重启Windows，删除C:Windowskernel16.dl文件。

●广外女生注册表清除实例：

退到MS-DOS模式下，删除System目录下的diagcfg.exe。由于该病毒关联的是exe文件，因此，现在删除它后Windows环境下任何exe文件都将无法运行。我们先找到Windows目录下的注册表编辑器“Regedit.exe”，将其改名为“Regedit.com”。

回到Windows模式下，运行“Regedit.com”。打开HKEY_CLASSES_ROOTexefileshellopencommand，将其默认值改为“%1 %*”，删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的键值项“Diagnostic Configuration”。关闭注册表。

回到Windows目录，将“Regedit.com”改回“Regedit.exe”。

●Netbull（ *** 公牛）注册表清除实例：

该病毒在Windows 9X下：捆绑notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆绑：notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打开：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun

在这些子键下删除键值项“CheckDll.exe”=“C:WindowsSystemCheckDll..exe”。

另外，要察看自己的机器是否中了该病毒，可以察看上面列出的文件，如果发现该文件长度发生变化（大约增加了40K左右），就删除它们。然后点击[开始]|[附件]|[系统工具]|[系统文件检查器]，在弹出的对话框中选择“从安装软盘提取一个文件”，在框中填入要提取的文件（前面你删除的），点“确定”，按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件，如realplay.exe、 *** 等被捆绑上了，那就必须把这些文件删除后重新安装了。

●聪明基因注册表清除实例：

删除C:Windows下的MBBManager.exe和Explore32.exe，再删除C:WindowsSystem下的editor.exe文件。如果服务端已经运行，则要先用进程管理软件终止MBBManager.exe这个进程后才能将它删除。

打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，删除键值项“MainBroad BackManager”。将HKEY_CLASSES_ROOT xtfileshellopencommand的默认值改为“C:WindowsNotepad.exe %1”，恢复txt文件关联。将HKEY_CLASSES_ROOThlpfileshellopencommand的默认值改为“C:Windowswinhlp32.exe %1”，恢复hlp文件关联。

;ID=749page=7

注册表被木马修改怎么办

下面两种 *** 一是手动，一是用软件改，自己挑吧。

一、点 开始→运行→输入 regedit 后回车进入注册表编辑器

【记得新窗口中鼠标点到左上角的"我的电脑"上，以保证全盘搜索】

然后点击左上角的 "编辑"→查找→输入 08db.dll 后开始查找

找到后就将它删除,有多少删多少

最后重起机器即可.

这是软件删除不完全或是杀毒遗留,删了不影响电脑.

二、如果按我这 *** 都没有找到，就下个 【超级兔子】 清理一下。

到百度搜索“超级兔子 下载”，之一个网页是天空软件站的，就他吧

很好操作 很好用 很专业，修复IE，清除木马、流氓软件、IE插件等 功能很强大，

对了，还可以个性化自己的系统。

推荐

打开超级兔子以后点"打造属于自己的系统 → 启动程序 → 在里面找这个出错的DLL禁止掉

你去试试吧

怎么防止木马和病毒自动修改注册表？

你可以试试下面的办法

在资源管理器里选择“工具－－文件夹选项－－查看”，勾选“显示所有文件和文件夹”并去掉“隐藏受保护的操作系统文件”前的勾。

1 如果各分区根目录下除autorun.inf外还有什么其它隐藏文件，有的话，记下名字然后将它删除（如果能删除的话）。右击这个Autorun.inf文件，选择用记事本打开，查看里面的内容，记下其中“open=”这个等于后面的那个文件名。然后将这个Autorun.inf也删除。重新启动电脑。

2.下载一个软件：冰刃()

这是一个绿色软件，下载解压缩后即可使用。

3.直接在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件。

4.通过按钮“创建时间”对这个文件夹下的文件进行排序，仔细查看与这个文件在创建时间是同一天的所有文件（但是不是都是与它一样是病毒文件，需要你判断）。右击它们一一删除。

5.以记下的、Open后面的这些文件的文件名搜索整个注册表，删除搜索到的键值。

6.重启电脑。

如果这样操作以后，出现双击分区不能打开分区的情况，请按下面的操作即可。

打开我的电脑 工具 文件夹选项 文件类型 找到“驱动器” 点下方的“高级” 点选“编辑文件类型”里的“新建” 操作里填写“open”（这个可随意填写） 用于执行操作的应用程序里填写explorer.exe 确定

随后返回到“编辑文件类型”窗口，选中open 设为默认值 确定 现在再打开分区看下，是不是已恢复正常？

电脑中毒时,屏幕上没有任何图标,估计是注册表被木马改了,我该怎么办?

朋友，这是你的电脑误删了系统文件，或系统文件被顽固木马破坏！（答案原

创，原作者：力王历史）提示：急救箱无法联网，就用：“离线模式”！

1.下载个“360系统急救箱”，已经安装了“360安全卫士”的朋友，直接打开

“查杀木马”，“自定义扫描”的下面的“360系统急救箱”，点击它：

【1】。开始急救！急救完毕后，立即处理，重启！

【2】。开机后，“文件恢复区”，彻底删除文件！

【3】。“系统修复”，全选，立即修复！【关键】

【4】。 *** 修复，开始修复，重启电脑！【关键】

【5】。dll文件恢复，扫描一下，如果有丢失，添加恢复，没有就行了！

2。用“360安全卫士”的“系统修复”，点“IE常用设置”，“修改主页”，

“使用360安全网址导航”，点：“一键修复”！

3。用“360安全卫士”的“扫描插件”，然后再点：“清理插件”，把“恶评

插件”删除！

4。再用“360杀毒双引擎版”，勾选“自动处理扫描出的病毒威胁”，“全盘

扫描”与“自定义扫描”，病毒木马，再点删除！重启电脑后，来到“隔离

区”，点“彻底删除”！

5。木马查杀，“全盘扫描”与“自定义扫描”，查杀到木马，立即处理！重

启！“文件恢复区”，彻底删除！

6。再不行，试试：金山急救箱，勾选“扩展扫描”，立即处理，重启电脑！

7。再不行，试试：金山网盾，一键修复！

8。实在不行，只能：一键还原（ *** ：访问我的“百度空间”博客）或重装系统！

我的电脑被木马和恶意程序修改了 注册表 怎么恢复 注册表里面有病毒吗

如果发现有木马存在,最安全了最有效的 *** 就是马上将计算机与 *** 断开,防止黑客通过 *** 进行攻击.然后编辑win.ini文件,将[WINDOWS]下面的"run=木马程序"或"load=木马程序"更改为run=和load=;编辑system.ini文件,将[BOOT]下面的"shell=木马文件",更改为:shell=explorer.exe;在注册表中,用regedit对注册表进行编辑,先在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下找到木马程序的文件名,再在整个注册表中搜索并替换掉木马程序.另外还需要注意的是:对于有的木马程序并不是直接将HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的木马键值删除就行了,因为有的木马如: BladeRunner木马,如果删除它,木马会立即自动加上,所以应记下木马的名字与目录,然后退回到MS_DOS下,找到此木马文件并删除掉.重新启动计算机,然后再到注册表中将所有木马文件的键值删除.

病毒木马会把信息写入注册表吗？求高手指教~~~

会的，像我们上网的时候IE主页被修改了，就可以肯定你的电脑中毒了，是因为这些病毒就是把注册表修改了。所以刚装的电脑，通常我们要备份注册表的。