急救箱1.2.1：中了木马病毒的解决办法

1、 学习情境1 认识计算机 中了木马病毒故障描述：电脑检测到中木马解决办法：检测到电脑中了木马后，就要根据木马的特征来进行清除。查看是否有可疑的启动程序、可疑的进程存在，是否修改了win.ini、system.ini系统配置文件和注册表。如果存在可疑的程序和进程，就按照特定的方法进行清除。主要的步骤都不外乎以下几个：（但并不是所有的木马清除都能够根据下列步骤删除，这里只是介绍清除木马的基本方法）1、删除可疑的启动程序查看系统启动程序和注册表是否存在可疑的程序后，判断是否中了木马，如果存在木马，则除了要查出木马文件并删除外，还要将木马自动启动程序删除。例如Hack.Rbot病毒、后门就会拷贝自身到

2、一些固定的windows自启动项中：WINDOWSAll UsersStart MenuProgramsStartUpWINNTProfilesAll UsersStart MenuProgramsStartupWINDOWSStart MenuProgramsStartupDocuments and SettingsAll UsersStart MenuProgramsStartup查看一下这些目录，如果有可疑的启动程序，则将之删除。许多病毒会将win.ini和system.ini系统配置文件修改，使之能在系统启动时加载和运行木马程序。例如电脑中了“妖之吻”“”字段修改成“”,清除木马的方法

3、是把system.ini给恢复原始配置，即“”修改回“Shell=”，再删除掉病毒文件即可。“Run=”字段修改成“”字段。执行清除的步骤如下： （1）打开win.ini文本文件，将字段“”中等号后面的字符删除，仅保留“RUN=”。 （2）将被TROJ_BADTRANS.A病毒感染的文件删除。3、停止可疑的系统进程木马程序在运行时都会在系统进程中留下痕迹。通过查看系统进程可以发现运行的木马程序，在对木马进行清除时，当然首先要停掉木马程序的系统进程。例如Hack.Rbot病毒、后门除了将自身拷贝到一些固定的windows自启动项中外，还在进程中运行wuamgrd.exe程序，修改了注册表，以便病

4、毒可随机自启动。在看到有木马程序在进程中运行，则需要马上杀掉进程，并进行下一步操作，修改注册表和清除木马文件。4、修改注册表查看注册表，将注册表中木马修改的部分还原。例如上面所提到的Hack.Rbot病毒、后门，向注册表的以下地方：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunSe

5、rvicesHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun添加了键值"Microsoft Update" = "wuamgrd.exe"，以便病毒可随机自启动。这就需要我们进入注册表，将这个键值给删除。注意：可能有些木马会不允许执行.exe文件，这样我们就需要先将regedit.exe改成系统能够运行的，比如可以改成。这里就说说如何清除Hack.Rbot病毒、后门的。（1）将进程中运行的wuamgrd.exe进程停止，这是一个木马程序；（2）将Hack.Rbot拷贝到windows启动项中的启动文件删除； （3）将Hack.Rbot添加到注册表中的键值"Microsoft Update"= "wuamgrd.exe"删除；（4）手工或用专杀工具删除被Hack.Rbot病毒感染的文件。并全面检查系统。5、使用杀毒软件和木马查杀工具进行木马查杀常用的杀毒软件包括KV3000、瑞星、诺顿等，这些软件对木马的查杀是比较有效的，但是要注意时刻更新病毒库，而且对于一些木马查杀不彻底，在系统重新启动后还会自动加载。此外，你还可以使用The Cle