注册表之绪篇———清除你的病毒

webing

其实好多病毒就应该自己动手来解决,杀毒软件,有用,太大了,俺的机器可不太好啊,下面我来告诉大家一些常见的病毒怎么杀吧,现在开始.
第一天  清除BO黑客程序

BO黑客程序是一种比较典型的黑客程序,它的基本原理是通过修改注册表来设置后门的.

BO黑客程序利用了透明的图标来隐藏自身,将自身复制到系统目录下,改名为.exe(windows\\system)

而我们知道,一般系统中这些扩展名是不显示的,所以用户很难找到相应的文件,所以你可以用DOS命令中的DIR来查看,如果有,则删除,并注意修改注册表

位置:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunServices
值:umgr32.exe
操作:删除

webing

第二天 清除Back Door黑客程序

该程序主要是搜索系统的漏洞并进行攻击,修改注册表可以防止其破坏

位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

如果发现有Notopad值,删除该值,并重启计算机即可

第三天 清除WinNuke黑客程序

同样的,通过修改注册表可以预防WinNuke黑客程序的攻击

位置:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD\MSTCP
新建字符串值：BSDUrgent
值：0

webing

第四天 清除Pretty Park黑客程序

通过修改注册表可以预防Pretty Park黑客程序的攻击

位置：HKEY_CLASSES_ROOT\exefile\shell\open\command

如果右侧有一个File32.VXD的键值的话，删除即可


第五天 清除Sircam蠕虫病毒

这个病毒是从美国流传出来的一种电子邮件病毒,其基本形式为Worm.stream.warm@mm,主要通过邮件进行传播,一旦不小心运行了该邮件附件,系统将被感染.然后该病毒自动查找系统通讯簿上存放的邮件地址,自动向该邮件地址发送邮件,能够很快传播到许多地方.

操作步骤:
1、清空回收站，找开autoexec.bat文件，删除该文件中的@winecycledsirc32.exe"数据
2、打开注册表进行如下操作：

位置：HKEY_CLASSES_ROOT\exefile\shell\open\command
键值：c:\recycled\Sir32.exe
修改："%1""%*"

位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
子项：Driver32
修改：删除

位置：HKEY_LOCAL_MACHINE\SOFTWARE
子项：Driver32
修改：删除

webing

第六天 清除“冰河”病毒

“冰河”木马程序是比较著名的病毒程序，他的服务器端程序为G-server.exe，客户端程序为G-cilent.exe，默认连接端口为7626，当G-client.exe运行时，程序自动在“c:\windows\system"目录下创建Kernel32.exe和Sysexplr.exe，并删除原来的程序。

操作步骤：

1、查找删除"c:\windows\system"目录下的kernel32.exe和Sysexpir.exe并删除。
2、打开注册表并进行如下操作：

位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
键值：c:\windows\system\kernel32.exe
修改：删除

位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
键值：c:\windows\system\kernel32.exe
修改：删除

位置：HKEY_CLASSES_ROOT\txtfile\shell\open\command
键值：默认
修改：%systemroot%\system32\NOTEPAD.EXE%1
第七天 清除"Acid Battery v1.0木马"病毒

通过修改注册表可以预防此病毒的破坏

位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunService
键值：Explorer
操作：删除并重启

webing

第八天  ,清除"YAL"木马病毒

通过修改注册表可以预防此病毒的破坏

位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
键值:Batterieanzeige
操作:删除,并重启计算机
第九天  清除 "Eclipse 2000木马"病毒

通过修改注册表可以预防此病毒的破坏

位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
键值:bybt和cksys
操作:删除,并重启计算机

webing

第十天  清除Bo2000病毒

通过修改注册表可以预防此病毒的破坏

位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
键值:umgr32.exe
操作:删除,并重启计算机
第十一天 清除"网络精灵"病毒

网络精灵是国产木马程序,默认连接端口7306,是一个主要通过IE或者Navigate远程监控计算机的程序

操作:
1、进入纯DOS状态，删除“c:\windows\system\netspy.exe文件
2、进入注册表
  位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   删除：c:\windows\system\netspy.exe
3、重启计算机

webing

第十二天  清除SubSeven病毒

此病毒是一个危害比较大的病毒，其默认端口为27374，由于该程序在服务器终端的文件只有54.5KB，所以一般很难被发现，也很容易捆绑到其它应用程序中造成破坏，可以通过修改注册表来清除此病毒。
一、
位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
查看是否含有c:\windows\system内容的值项，如果有则删除
二、
打开system.ini,查看shell=explorer.exe之后有无某个文件名，有则删除
三、
进入纯DOS方式，删除c:\windows\system\subseven.exe
四、
重启计算机

第十三天  清除锁定IE主页为"7939上网导航"病毒

1、在任务管理器中找到realplayer.exe和explorer.exe进程，并结束（这一步会导致桌面不见了）
2、按CTRL+ALT+DEL,单击文件中的新建，输入explorer.exe(桌面又回来了）
3、打开我的电脑，选择工具中的文件夹选项，单击查看，取消“隐藏已知类型文件的扩展名”
4、删除文件c:\windows\system32\realplayer.exe和brlmon.dll(有的变种为ravmon.dll)
5、进入注册表
位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
**************这两个下的realplayer.exe键删除
      HKEY_LOCAL_MACHINE\SOFTWARE的Microsoft NT删除
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft下的RunDown删除
6、打开浏览器，选择工具——Internet选项，修改主页

webing

第十四天  清除KeyboardGhost病毒

此病毒是破坏键盘硬件的病毒.通过修改注册表可以清除该病毒.

位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
操作:删除键值KeyboardGhost

查找kg.exe文件和kg.dat文件,删除

重启计算机

第十五天  清除"初恋情人"SweetHeart病毒

此病毒是国产木马程序,默认使用连接端口8311.操作步骤如下

1、删除C:\windows\temp\aboutagirl.exe文件

2、修改注册表：
   位置1：HKEY_CLASSES_ROOT\txtfile\shell\open\command
    修改默键值为：%SystemRoot%\system32\NOTEPAD.EXE %1
    位置2：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
    修改默键值为：%SystemRoot%\system32\NOTEPAD.EXE %1

3、重启计算机

webing

第十六天  清除"网络神偷"Netthief病毒

网络神偷病毒是一个专门破坏防火墙的病毒,可以通过修改注册表来清除该病毒

位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除该项下的internet
关闭注册表后,删除文件c:\windows\system\internet.exe文件
重启计算机
第十七天  清除"圣诞节"病毒

"圣诞节"病毒使用"Win32\Reezat.worm"名称,是一个乔装成圣诞祝贺的Flash动画,并借助Microsoft Outlook进行传播的蠕虫病毒.它将自已捆绑于一封主题为Hoppy New Year附件名为Christmas.exe的电子邮件中进行传播.
当该附件被不小心启动之后,会自动在系统下生成备份,并且自动向outlook通讯簿中的所有邮件地址发送该病毒,因此有较强的传播性

位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除子项Zacker
重启计算机

webing

第十八天 清除"爱虫"病毒

这个相对来说就比较容易了

位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除键项:Mskernel32
重启计算机
第十九天 预防"求职信变种:病毒

此病毒主要冲击98/me系统对2000/xp也有一定的危害,通过个性注册表可以清除该病毒

1、断开所有网络连接，重启计算机至安全模式
2、位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
  删除键值：Wink???.exe
3、位置：HKEY_LOCAL_MACHINE\SOFTWARE\System\CurrentControlSet\Services
  删除键值：Wink???.exe
4、删除系统目录c:\windows\system下的Wink???.exe
5、清空回收站
6、重启计算机

webing

第二十天  清除感染JPG图像文件的＂W32/Perrun"病毒

此病毒为蠕虫病毒,感染JPG文件后大约增加11KB, 并出现Extrk.exe文件

此病毒运行后会生成文件reg.mp3用来修改注册表和extrk.exe用来打开所有JPG文件


清除方法:
1、删除extrk.exe文件
2、修改注册表中的值：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\jpegfile\shell\open\command
        rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen %1

HKEY_CLASSES_ROOT\jpegfile\shell\open\command
          rundll32.exe C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen %1



第二十一天  清除W32.HLLW.GOP@mm病毒

这是一个群发邮件的蠕虫病毒，其危害表现在它可向打印机不断发送打印指令，打印乱码，造成严重的资源浪费

1、启动杀毒软件将发现的W32.HLLW.GOP@mm全部清掉

2、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   删除IMEKernel32 c:\windows\system\kernelsys32.exe

3、重启计算机
第二十二天  查打NetSpy黑客程序

注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

如果看到有NetSpy键值的话，说明已装有此黑客程序，直接删除即可