用注册表清除计算机病毒

用注册表清除计算机病毒编制:陈天德版本:1.0日期:2011-1-8一．木马藏身地及通用排查技术木马取自古希腊神话的特洛伊木马记，是一种基于远程控制的黑客工具，具有很强的隐藏性和危害性。为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己，加载运行的目的。这里，我们简要的介绍一下木马通用的激活方式，它们的藏身地，并通过一些实例来让您体会一下手动清除木马的方法。1.1在Win.ini中启动木马：在Win.ini的[Windows]小节中有启动命令“load=”和“run=”，在一般的情况下“=”后面是空的，如果后面跟有程序，比如：run=C:Windowsile.exeload=C:Windowsile.exe则这个file.exe很有可能就是木马程序。1.2在WindowsXP注册表中修改文件关联：修改注册表中的文件关联是木马常用的手段，如何修改？举个例子，在正常情况下txt文件的打开方式为Notepad.exe（记事本），但一旦感染了文件关联木马，则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”，就是将注册表HKEY_CLASSES_ROOTxtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windowsotepad.exe%1”修改为“C:WindowsSystemSysexplr.exe”对这类木马程序，只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支，查看其值是否正常。1.3在WindowsXP系统中捆绑木马文件：实现这种触发条件首先要控制端和服务端已通过木马建立连接，控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原有文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被重新安装了。如果捆绑在系统文件上，则每次WindowsXP启动都会启动木马。1.4在System.ini中启动木马：System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所，木马通常的做法是将该语句变为这样：Shell=Explorer.exefile.exe这里的file.exe就是木马服务端程序。另外，在[386enh]小节，要注意检查在此小节的“driver=path程序名”，因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的，所以也是添加木马的理想场所。1.5利用WindowsXP注册表加载运行：注册表中的以下位置是木马偏爱的藏身之所：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。1.6要建立控制端与服务端的连接，将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽，所以这种方式并不多见，但也不能掉以轻心。1.7在Winstart.bat中启动木马：二．木马病毒的通用排查技术现在，我们已经知道了木马的藏身之处，查杀木马自然就容易了。如果您发现计算机已经中了木马，最安全最有效的方法就是马上与网络段开，防止计算机骇客通过网络对您进行攻击，执行如下步骤：编辑Win.ini文件，将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”，“load=”。编辑System.ini文件，将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。在WindowsXP注册表中进行修改：先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除，并在整个注册表中查找木马程序，将其删除或替换。但可恶的是，并不是所有的木马程序都只要删除就能万事大吉的，有的木马程序被删除后会立即自动添上，这时，您需要记下木马的位置，即它的路径和文件名，然后退到DOS系统下，找到这个文件并删除。重启计算机，再次回到注册表中，将所有的木马文件的键值项删除计算机木马清除实例2.1冰河v1.1的注册表清除实例：在注册表编辑器中打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，在右边的窗口中找到并删除C:WINNTSystem32Kernel32.exe，C:WINNTSystem32sysexplr.exe，再重新启动到MS-DOS方式后，删除C:WINNTSystem32Kernel32.exe和C:WINNTSystem32sysexplr.exe木马程序。AOLTrojan的注册表清除实例：首先到MS-DOS方式下，删除以下文件：C:command.exeC:Americ~1.0_uddyl~1.exeC:Windowssystemorton~1egist~1.exe打开Win.ini文件，在[Windows]小节下面将特洛伊木马程序的路径清除掉，改为“run=”，“load=”，保存Win.ini文件。然后打开WindowsXP注册表，打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右表窗口中的键值项“WinProfile=C:Command.exe”删除，关闭注册表，重启计算机即可。2.2C:WindowsSystemesk.sysC:WindwosStartMenuProgramsStartupmstesk.exeC:ProgramFilesMStesk.exeC:ProgramFilesMdm.exe重新启动Windows，打开Win.ini文件，将[windows]小节下的“load=C:WindowsSystemesk.exe”删除，即改为“load=”，保存Win.ini文件。然后，在注册表中打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右边的窗口中的键值项“Mstesk=”C:ProgramFilesMStesk.exe””删除，打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionss子键分支，将其下的全部内容都删除（全为木马参数选择和设置的服务器）；再打开HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右边的窗口中的键值项“Mstesk=”C:ProgramFilesMStesk.exe””删除。关闭注册表，打开C:Autoexec.bat文件，删除如下两行：@echooffcopyc:sys.lonC:WindowsStartMenuStartupItemsDelc:win.reg保存并关闭Autoexec.exe文件。2.3IndocTrinationv0.1-v0.11注册表清除实例：在注册表中打开如下子键：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce将这些子键右边窗口中的如下键值项删除：Msgsrv16=“Msgsrv16”2.4SubSeven-Introductionv1.8注册表清除实例：打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子键分支，在右窗口中查找到含有“C:WindowsSystem.ini”的键值项数据，将它删除。打开Win.ini文件，将其中的“run=kernel16.dl”改为“run=”，保存并关闭Win.ini文件。打开System.ini文件，将其中的“shell=explorer.exekernel32.dl”改为“shell=explorer.exe”，保存并关闭System.ini文件，重启Windows，删除C:Windowskernel16.dl文件。2.5注册表清除实例：退到MS-DOS模式下，删除System目录下的diagcfg.exe。由于该病毒关联的是exe文件，因此，现在删除它后Windows环境下任何exe文件都将无法运行。我们先找到Windows目录下的注册表编辑器“Regedit.exe”，将其改名为“R”。回到Windows模式下，运行“R”。打开HKEY_CLASSES_ROOTexefileshellopencommand，将其默认值改为“%1%*”，删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的键值项“DiagnosticConfiguration”。关闭注册表。回到Windows目录，将“R”改回“Regedit.exe”。2.6Netbull（网络公牛）注册表清除实例：在这些子键下删除键值项“CheckDll.exe”=“C:WindowsSystemCheckDll..exe”。另外，要察看自己的机器是否中了该病毒，可以察看上面列出的文件，如果发现该文件长度发生变化（大约增加了40K左右），就删除它们。然后点击[开始]|[附件]|[系统工具]|[系统文件检查器]，在弹出的对话框中选择“从安装软盘提取一个文件”，在框中填入要提取的文件（前面你删除的），点“确定”，按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件，如realplay.exe、QQ等被捆绑上了，那就必须把这些文件删除后重新安装了。2.7聪明基因注册表清除实例：打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，删除键值项“Main