上一页 1 2 3 4 5 6 7 8 9 10 11 12 下一页 2).清除注册表中被木马修改的文件关联:到
HKEY_CLASSES_ROOT\txtfile
\shell\open\command以及
KEY_LOCAL_MACHINE\Soft-
ware\CLASSES\txtfile\shell\open
\command,将默认键值由C:\
WINDOWS\SYSTEM\Sysexplr
.exe "%1"修改为NOTEPAD.
exe "%1",这样做的目的是恢复TXT文件的打开方式:用“记事本”打开。
第二步、删除木马文件
冰河6.0会在C:\WINDOWS\SYSTEM下生成两个木马文件:SYSDLL32.exe和Sysexplr.exe,大小都是270K,图标为无关联文件所用图标。SYSDLL32.exe是守护进程,每次开机都会随之启动。Sysexplr.exe是隐藏的木马,当你打开文本文件时就会自动生成SYSDLL32.exe。如果本机内有木马文件存在,可以到纯DOS下删除它们。或者终止SYSDLL32.exe文件的进程,然后在Windows环境下删除它们。
6、冰河80b2版手工清除方法
如果你中了木马冰河80b2版,那一定是你运行了它的服务端程序,服务端程序默认的文件名为G_Server.exe,运行后会在C:\WINDOWS\SYSTEM下产生两个无文件名的木马文件“ .exe”,图标和服务端一样,是普通的DOS图标。
清除方法:
1).在“开始”菜单的“运行”中输入RGEEDIT,打开注册表;
2).使用进程管理软件中止木马进程“ .exe”,如果你手头上没有合适的进程管理软件,可以使用大家常用的系统优化软件Windows优化大师,它就有进程管理功能。点击“系统安全优化”→“进程管理”就可以找到该进程,然后点击“终止”即可。
3).到C:\WINDOWS\SYSTEM下删除木马文件“ .exe”。
4).删除木马的启动键值:
到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run下,删除:C:\WIN98\SYSTEM\ .exe
再到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\runServices下,删除:C:\WIN98\SYSTEM\ .exe"
5).恢复被木马修改的文件关联
冰河80b2版是文件关联木马,运行它的服务端程序后,未关联文件打开方式会被木马文件所关联,也就是说,如果你点击了系统中的任何未关联文件,就会将木马激活!所以要恢复被木马修改的文件关联。
到注册表HKEY_CLASSES_ROOT\*\shell\open\command和HKEY_LOCAL_MACHINE\Software\CLASSES\*\shell\open\command下,这是未关联文件打开方式在注册表中的位置,将默认值“C:\WINDOWS\SYSTEM\ .exe %1”删除即可恢复文件关联。
注意,如果你的系统是WIN2000或WINXP,那么木马文件在SYSTEM32文件夹下(Win9X和Win Me下产生的木马文件在System文件夹下),其余清除方法不变。
上一页 1 2 3 4 5 6 7 8 9 10 11 12 下一页 | 
