手工清除隐藏的病毒文件五招转自译斋.doc

手工清除隐藏的病毒文件五招 转自译斋当你选择显示隐藏文件这一选项后，发现U盘有个文件闪出来一下就马上又消失了，而再打开文件夹选项时，发现仍就是不显示隐藏文件这一选项。而且刚发现点击C、D等盘符图标时会另外打开一个窗口！病情描述1、无法显示隐藏文件；2、点击C、D等盘符图标时会另外打开一个窗口；3、用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件；4、任务管理器中的应用进程一栏里有个莫明其妙的kill；5、开机启动项中有莫明其妙的SocksA.exe.解决办法：以下整个过程中不要双击硬盘分区，需要打开时用鼠标右键-打开。一、关闭病毒进程在任务管理器应用程序里面查找类似kill等你不认识的进程，右键-转到进程，找到类似SVOHOST.exe(也可能就是某个svchost.exe)的进程，右键-结束进程树。二、显示出被隐藏的系统文件开始运行输入regedit找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorer AdvancedFolderHiddenSHOWALL删除CheckedValue键值，单击右键新建-Dword值-命名为CheckedValue，然后修改它的键值为1，这样就可以选择显示所有隐藏文件和显示系统文件。三、删除病毒在分区盘上单击鼠标右键-打开，看到每个盘跟目录下有autorun.inf和tel.xls.exe两个文件，将其删除，U盘同样。四、删除病毒的自动运行项开始-运行-msconfig-启动-删除类似sacksa.exe、SocksA.exe之类项，或者打开注册表运行regedit HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run删除类似C：WINDOWSsystem32SVOHOST.exe的项。五、删除遗留文件C：WINDOWS跟C：WINDOWSsystem32目录下删除SVOHOST.exe(注意系统有一个类似文件，图标怪异的那个类似excel的图标的是病毒)session.exe、sacaka.exe、SocksA.exe以及所有excel类似图标的文件，每个文件夹两个，自己注意不要误删。重启电脑后，基本可以了。一招克死所有病毒！如果大家使用的是windows2000或xp那么教大家一招金蝉脱窍-而且只需要这一招克就能死所有病毒！如果你是新装的系统(或者是你能确认你的系统当前是无毒的)，那就再好不过了，现在就立即就打开：开始程序管理工具计算机管理本地用户和组用户吧！首先就是把超级管理员密码更改成十位数以上，然后再建立一个用户，把它的密码也设置成十位以上并且提升为超级管理员。这样做的目的是为了双保险：如果你忘记了其中一个密码，还有使用另一个超管密码登陆来挽回的余地，免得你被拒绝于系统之外；再者就是网上的黑客无法再通过猜测你系统超管密码的方式远程获得你系统的控制权而进行破坏。接着再添加两个用户，比如用户名分别为：user1、user2；并且指定他们属于user组，好了，准备工作到这里就全部完成了，以后你除了必要的维护计算机外就不要使用超级管理员和user2登陆了。只使用user1登陆就可以了。登陆之后上网的时候找到ie，并为它建立一个快捷方式到桌面上，右键单击快捷方式，选择以其他用户方式运行点确定！要上网的时候就点这个快捷方式，它会跟你要用户名和密码这时候你就输入user2的用户名和密码！好了，现在你可以使用这个打开的窗口去上网了，可以随你便去放心的浏览任何恶毒的、恶意的、网站跟网页，而不必再担心中招了！因为你当前的系统活动的用户时user1。而user2是不活动的用户，我们使用这个不活动的用户去上网时，无论多聪明的网站，通过ie得到的信息都将让它都将以为这个user2就是你当前活动的用户，如果它要在你浏览时用恶意代码对你的系统搞搞破坏的话根本就时行不通的，即使能行通，那么被修改掉的仅仅时use2的一个配置文件罢了，而很多恶意代码和病毒试图通过user2进行的破坏活动却都将失败，因为user2根本就没运行，怎么能取得系统的操作权呢?既然取不得，也就对你无可奈何了。而他们更不可能跨越用户来操作，因为微软得配置本来就是各各用户之间是独立的，就象别人不可能跑到我家占据我睡觉用的床一样，它们无法占据user1的位置！所以你只要能保证总是以这个user2用户做代理来上网(但却不要使用user2来登陆系统，因为如果那样的话，如果user2以前中过什么网页病毒，那么在user2登陆的同时，他们极有可能被激活！)，那么无论你中多少网页病毒，全部都将是无法运行或被你当前的user1用户加载的，所以你当前的系统将永远无毒！不过总有疏忽的时候，一个不小心中毒了怎么办?不用担心，现在我们就可以来尽情的表演脱壳的技术了！开始金蝉脱壳：重新启动计算机，使用超级管理员登陆-进入系统后什么程序都不要运行你会惊奇的发现在的系统竟然表现的完全无毒！，那就再好不过了，现在就立即就打开：开始程序管理工具计算机管理本地用户和组用户吧！把里面的user1和user2两个用户权删掉吧，你只需要这么轻轻的一删就可以了，那么以前随着这两个用户而存在的病毒也就跟随着这两个用户的消失而一起去长眠了-(好象是陪葬，呵呵！)。这么做过之后我保证你的win2k就象新装的一个样，任何系统文件和系统进程里都完全是没有病毒的！好！现在再重复开始的步骤从新建立user1和user2两个用户，让他们复活吧。他们复活是复活了，但是曾跟随了他们的病毒却是没这机会了，因为win2k重新建立用户的时候会重新分配给他们全新的配置，而这个配置是全新的也是不可能包含病毒的！建立完成之后立即注销超级管理员，转如使用user1登陆，继续你象做的事吧，你会发现你的系统如同全新了！以上方法可以周而复始的用，再加上经常的去打微软的补丁，几乎可以永远保证你的操作系统是无毒状态！只要你能遵循以下几条规辙：一、任何时间都不以超级管理员的身份登陆系统-除非你要进行系统级更新和维护、需要使用超级管理员身份的时候或是你需要添加和删除用户的时候。二、必须使用超级管理员登陆的时候，保证不使用和运行任何除了操作系统自带的工具和程序之外的任何东西，而且所有维护都只通过开始菜单里的选项来完成，甚至连使用资源管理器去浏览硬盘都不！只做做用户和系统的管理和维护就立即退出，而决不多做逗留！(这也是微软的要求，微软最了解自己的东东，他的建议是正确的。浏览硬盘的事，在其他用户身份下你有大把的机会，在超级管理员的身份下还是不要了！这应该事能完全作到的)。上面的都做到了，那么排除了硬件和误操作原因，病毒跟系统瘫痪都将与你无缘了。让病毒白白运行朋友电脑中了病毒，我去看了一下，是个QQ病毒，由于挺长时间没有上网搜集病毒方面消息了，我对这些病毒的特性也不甚了解。我先打开进程管理器，将几个不太熟悉的程序关闭掉，但刚关掉一个，再去关闭另外一个时，刚才关闭的那个马上又运行了。没办法，我决定从注册表里先把启动项删除后，再重启试试，结果，我刚把那些启动项删除，然后刷新一下注册表，那些启动项又还原了，看来一般的方法是行不通了，上网下载专杀工具后，仍然不能杀掉。我知道这是因为病毒正在运行，所以无法删除。由于这台电脑只有一个操作系统，也没办法在另一个系统下删除这些病毒，这时怎么办呢?如果大家也遇到这种情况时，我向大家推荐一种方法。第一步：在开始运行中输入CMD，打开命令提示符窗口。第二步：输入ftype exefile=notepad.exe%1，这句话的意思是将所有的EXE文件用记事本打开。这样原来的病毒就无法启动了。第三步：重启电脑，你会看见打开了许多记事本。当然，这其中不仅有病毒文件，还有一些原来的系统文件，比如：输入法程序。第四步：右击任何文件，选择打开方式，然后点击浏览，转到WindowsSystem32下，选择cmd.exe，这样就可以再次打开命令提示符窗口。第五步：运行ftype exefile=%1%*，将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表，就可以杀掉病毒了。第六步：在每一个记事本中，点击菜单中的文件另存为，就可看到了路径以及文件名了。找到病毒文件，手动删除即可，但得小心，必须确定那是病毒才能删除。建议将这些文件改名并记下，重启后，如果没有病毒作怪，也没有系统问题，再进行删除，最后介绍一下Ftype的用法在Windows中，Ftype命令用来显示及修改不同扩展名文件所关联的打开程序。相当于在注册表编辑器中修改HKEY_CLASSES_ROOT项下的部分内容一样。Ftype的基本使用格式为：Ftype文件类型=打开方式/程序比如：像上例中的ftype exefile=notepad.exe%1，表示将所有文件类型为EXE(exefile表示为EXE类型文件)的文件都通过记事本程序打开，后面的%1表示要打开的程序本身(就是双击时的那个程序)。ftype exefile=%1%*则表示所有EXE文件本身直接运行(EXE可以直接运行，所以用表示程序本身的%1即可)，后面的%*则表示程序命令后带的所有参数(这就是为什么EXE文件可以带参数运行的原因)。Bios中了病毒重写BIOS就可以了，因为具体病毒不确定在CMOS芯片或硬盘，先DEBUG重写硬盘引导，再分区，格式化装系统，而BIOS也得一并重写才能保存彻底清除病毒。BIOS的CIH病毒BIOS的英文全称是：BASIC INPUT/OUTPUT SYSTEM，即基本输入输出系统。BIOS的内容主要是有关微机系统最重要的基本输入输出程序、系统信息设置程序、开机上电自检程序、系统启动自举程序以及一些控制基本输入输出设备的中断服务例程等。BIOS是你打开电脑后最先运行的程序，它检测并初始化系统中的硬件设备，然后从指定的设备上载入操作系统。而其载体是ROM，我们可以理解为比软盘还小的存储器，以前主板上的ROM一般是在芯片生产过程中就将BIOS数据固化上去，不能进行第二次写入操作，那么这种BIOS芯片不会被病毒破坏；而为了让主板支持更新的硬件，在硬件飞速发展的今天，我们只能将BIOS保存在一种可读写的芯片(ROM)上，方便BIOS更新升级，而其写入速度快，故名Flash ROM。但这也给CIH这样的病毒带来了可乘之机，一旦存储在FLASH ROM里的BIOS受到破坏，主板根本不能使用，一般表现形式是开机就是黑屏，电脑无任何反应现象，现目前发现破坏FLASH BIOS比较严重的病毒就是CIH，以后将会出现与此相似而破坏FlashBIOS的病毒，届时我们再具体阐述。病毒发作后的现象主板FlashBIOS数据被破坏，其表现形式一般是开机黑屏，无任何反应；用硬件替换法，可以测出除主板以外，其它硬件均正常；如果你的主板刚好是26号出现开机黑屏；从以上三点，我们在检测出其它硬件均正常的情况下，就可以怀疑你的BIOS是给CIH这样的病毒破坏了。急救措施1、热插拔找一块与你的主板类型相同的主板，如果一时找不到也可用类型相似的主板，不过一定要保证BIOS容量、刷新电压相同，还有IO芯片相同(否则你连键盘都不能用)。接着用BIOS好的那块主板启动进入纯DOS，然后在带电情况下将主板上的BIOS芯片拔掉，再把被病毒破坏的BIOS插上去，运行该主板驱动盘中的更新或升级BIOS程序进行刷新。不过这个过程由于是带电操作，所以非常危险，操作不好很有可能因为瞬时电流过高而造成BIOS芯片被电流击穿，从而永久性损坏。所以我们可以在进行之前，将手洗净，带上手套(无静电)进行操作。反正死马当作活马医对于普通用户不予推介。(具体操作可参考网上BIOS专业网站中的BIOS升级步骤。)2、更换上述方法如果不行，可以直接找主板经销商直接更换BIOS芯片，或请其专业人士进行BIOS重写操作。3、利用BIOS编程卡恢复市场上有许多针对于主流BIOS芯片的BIOS编程器，不过价格都在400元以上，如果你嫌贵，那也不要紧，因为CIH病毒的横行，许多电脑公司都提供了恢复BIOS的业务，用的工具就是BIOS编程器，你可以带上你的主板叫他们去恢复。预防措施由于有的病毒(如我国台湾人陈盈豪编写的CIH病毒)利用FLASH ROM的可擦写特性和Windows系统的漏洞，对BIOS程序数据进行破坏，因此我们为了禁止未授权用户和电脑病毒对BIOS的写入，为了系统安全着想，可以采取以下几方面的预防措施：1、一般主板上有个Flash ROM的跳线开关，用于设置BIOS的只读/可写状态。关机后在主板上找到它并将其设置为只读(可参照主板说明书操作)，有的主板不提供此功能。2、新一点的主板可以在CMOS中设置，一般将BIOS设置中：Flash BIOS Protection(可刷写BIOS保护)选择为Enabled，如果要对BIOS进行升级或更新时，再将Flash BIOS Protection(可刷写BIOS保护)选择为Disabled。3、现在主板纷纷出招抵御病毒对主板BIOS的侵袭。而其中的DUAL-BIOS技术可以说是效果较好的一种，可以很好地抵御病毒对主板的侵袭。使用这种技术的主板上安插有两块BIOS芯片，其中一块为主BIOS芯片，另一块为后备BIOS芯片；正常情况下只有主BIOS在工作，而当主BIOS芯片中的BIOS程序被毁坏时，该技术可以动用后备BIOS芯片中的BIOS程序数据来引导机器，恢复主BIOS。使用这种技术的代表产品是GIGABYTE技嘉公司的BX2000+主板。病毒感染XP系统的应用层网关服务导致网页打不开出现只能上QQ不能开网页的情况，有时电信往往会让你禁用Application Management服务，这是由于某种不明病毒感染XP系统的应用层网关服务(Application Layer Gateway Service)导致XP系统用户打不开网页，在病毒感染之后，该服务会在每次系统启动时自动启动，并在后台产生一个alg.exe的进程，只要手动关闭该应用层网关服务，即可解决该问题：单击控制面板-单击管理工具-双击服务图标-双击第二项Application Layer Gateway Service服务项-在启动类型中选择已禁用-单击应用-单击停止-单击确定-重启操作系统即可。常见病毒木马进程速查表进程名称对应的病毒/木马.exeBF Evolution Mbbmanager.exe聪明基因_.exeTryit Mdm.exeDoly 1.6-1.7 Aboutagirl.exe初恋情人Microsoft.exe传奇密码使者Absr.exeBackdoor.Autoupder Mmc.exe尼姆达病毒Aplica32.exe将死者病毒Mprdll.exeBla Avc*ol.exe将死者病毒Msabel32.exeCain and Abel Avp.exe将死者病毒Msblast.exe冲击波病毒Avp32.exe将死者病毒Mschv.exeControl Avpcc.exe将死者病毒Msgsrv36.exeComa Avpm.exe将死者病毒Msgsvc.exe火凤凰Avserve.exe震荡波病毒Msgsvr16.exeAcid Shiver Bbeagle.exe恶鹰蠕虫病毒Msie5.exeCanasson Brainspy.exeBrainSpy vBeta Msstart.exeBackdoor.livup Cfiadmin.exe将死者病毒Mstesk.exeDoly 1.1-1.5 Cfiaudit.exe将死者病毒Netip.exeSpirit 2000 Beta Cfinet32.exe将死者病毒Netspy.exe网络精灵Checkdll.exe网络公牛Notpa.exeBackdoor Cmctl32.exeBack C*truction Odbc.exeTelecommando Command.exeAOL Trojan Pcfwallicon.exe将死者病毒Diagcfg.exe广外女生Pcx.exeXplorer Dkbdll.exeDer Spaeher Pw32.exe将死者病毒Dllclient.exeBobo Recycle-Bin.exes*tHeap Dvldr32.exe口令病毒Regscan.exe波特后门变种Esafe.exe将死者病毒Tftp.exe尼姆达病毒Expiorer.exeAcid Battery Thing.exeThing Feweb.exe将死者病毒User.exeSchwindler Flcss.exeFunlove病毒Vp32.exe将死者病毒Frw.exe将死者病毒Vpcc.exe将死者病毒Icload95.exe将死者病毒Vpm.exe将死者病毒Icloadnt.exe将死者病毒Vsecomr.exe将死者病毒Icmon.exe将死者病毒Server.exeRevenger,WinCrash,YAT Icsupp95.exe将死者病毒Service.exeTrinoo Iexplore.exe恶邮差病毒Setup.exe密码病毒或Xanadu Rpcsrv.exe恶邮差病毒Sockets.exeVampire Rundll.exeSCKISS爱情森林Something.exeBladeRunner Rundll32.exe狩猎者病毒Spfw.exe瑞波变种PX Runouce.exe中国黑客病毒Svchost.exe(线程105)蓝色代码Scanrew.exe传奇终结者Sysedit32.exeSCKISS爱情森林Scvhost.exe安哥病毒Sy*plor.exewCrat Server 1.2.exeSpirit 2000 1.2fixed Sy*plr.exe冰河Intel.exe传奇叛逆Syshelp.exe恶邮差病毒Internet.exe传奇幽灵Sysprot.exeSatans Back Door Internet.exe网络神偷Sysrunt.exeRipper Kernel16.exeTransmission Scount System.exes*tHeap Kernel32.exe坏透了或冰河System32.exeDeepThroa