注册表修改之计算机病毒清除_注册表

  木马藏身地及通用排查技术

  木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性。为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的。这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法。

  ●在Win.ini中启动木马:

  在Win.ini的[Windows]小节中有启动命令“load=”和“run=”,在一般的情况下“=”后面是空的,如果后面跟有程序,比如:
  run=C:Windows ile.exe
  load=C:Windows ile.exe
  则这个file.exe很有可能就是木马程序。

  ●在Windows XP注册表中修改文件关联:

  修改注册表中的文件关联是木马常用的手段,如何修改的方法已在本系列的前几文中有过阐述。举个例子,在正常情况下txt文件的打开方式为Notepad.exe(记事本),但一旦感染了文件关联木马,则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”,就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”,这样,当你双击一个txt文件时,原本应该用记事本打开的文件,现在就成了启动木马程序了。当然,不仅是txt 文件,其它类型的文件,如htm、exe、zip、com等文件也都是木马程序的目标,要小心。

  对这类木马程序,只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支,查看其值是否正常。

  ●在Windows XP系统中捆绑木马文件:
  实现这种触发条件首先要控制端和服务端已通过木马建立连接,控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起,上传到服务端覆盖原有文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马又会被重新安装了。如果捆绑在系统文件上,则每次Windows XP启动都会启动木马。

  ●在System.ini中启动木马:
  System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所,木马通常的做法是将该语句变为这样:
  Shell=Explorer.exe file.exe
  这里的file.exe就是木马服务端程序。
  另外,在[386enh]小节,要注意检查在此小节的“driver=path程序名”,因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的,所以也是添加木马的理想场所。

  ●利用Windows XP注册表加载运行:
  注册表中的以下位置是木马偏爱的藏身之所:
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。
  HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

  ●在Autoexec.bat和Config.sys中加载运行木马:
  要建立控制端与服务端的连接,将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽,所以这种方式并不多见,但也不能掉以轻心。

  ●在Winstart.bat中启动木马:
  Winstart.bat也是一个能自动被Windows XP加载运行的文件,多数时由应用程序及Windows自动生成,在执行了Win.com或者Kernel386.exe,并加载了多数驱动程序之后开始执行(这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知)。由于Autoexec.bat的功能可以由 Winstart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行。

  木马病毒的通用排查技术

  现在,我们已经知道了木马的藏身之处,查杀木马自然就容易了。如果您发现计算机已经中了木马,最安全最有效的方法就是马上与网络段开,防止计算机骇客通过网络对您进行攻击,执行如下步骤:

  l 编辑Win.ini文件,将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”,“load=”。
  l 编辑System.ini文件,将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。
  l 在Windows XP注册表中进行修改:先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除,并在整个注册表中查找木马程序,将其删除或替换。但可恶的是,并不是所有的木马程序都只要删除就能万事大吉的,有的木马程序被删除后会立即自动添上,这时,您需要记下木马的位置,即它的路径和文件名,然后退到DOS系统下,找到这个文件并删除。重启计算机,再次回到注册表中,将所有的木马文件的键值项删除。

  计算机木马清除实例

  ●冰河v1.1的注册表清除实例:
  在注册表编辑器中打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支,在右边的窗口中找到并删除C:WINNTSystem32Kernel32.exe,C:WINNTSystem32sysexplr.exe,再重新启动到MS-DOS方式后,删除C:WINNTSystem32Kernel32.exe和C:WINNTSystem32sysexplr.exe木马程序。

  AOL Trojan的注册表清除实例:

  首先到MS-DOS方式下,删除以下文件:
  C:command.exe
  C:Americ~1.0uddyl~1.exe
  C:Windowssystem orton~1 egist~1.exe
  打开Win.ini文件,在[Windows]小节下面将特洛伊木马程序的路径清除掉,改为“run=”,“load=”,保存Win.ini文件。
  然后打开Windows XP注册表,打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支,将右表窗口中的键值项“WinProfile=C:Command.exe”删除,关闭注册表,重启计算机即可。

  ●Doly v1.1-v1.5的注册表实例(v1.6和v1.7类似):

  首先进入MS-DOS方式,删除以下三个木马程序,但v1.35版还多一个木马文件Mdm.exe。
  C:WindowsSystem esk.sys
  C:WindwosStart MenuProgramsStartupmstesk.exe
  C:Program FilesMStesk.exe
  C:Program FilesMdm.exe

  重新启动Windows,打开Win.ini文件,将[windows]小节下的“load=C:WindowsSystem esk.exe”删除,即改为“load=”,保存Win.ini文件。

  然后,在注册表中打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支,将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除,打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionss子键分支,将其下的全部内容都删除(全为木马参数选择和设置的服务器);再打开HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支,将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除。

  关闭注册表,打开C:Autoexec.bat文件,删除如下两行:
  @echo off copy c:sys.lon C:WindowsStart MenuStartup Items
  Del c:win.reg
  保存并关闭Autoexec.exe文件。

  ●IndocTrination v0.1-v0.11注册表清除实例:
  在注册表中打开如下子键:
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once
  将这些子键右边窗口中的如下键值项删除:
  Msgsrv16=“Msgsrv16”,关闭注册表后重启Windows,删除C:WindowsSystemmsgserv16.exe文件。

  ●SubSeven-Introduction v1.8注册表清除实例:
  打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子键分支,在右窗口中查找到含有“C:WindowsSystem.ini”的键值项数据,将它删除。
  打开Win.ini文件,将其中的“run=kernel16.dl”改为“run=”,保存并关闭Win.ini文件。
  打开System.ini文件,将其中的“shell=explorer.exe kernel32.dl”改为“shell=explorer.exe”,保存并关闭System.ini文件,重启Windows,删除C:Windowskernel16.dl文件。

  ●广外女生注册表清除实例:
  退到MS-DOS模式下,删除System目录下的diagcfg.exe。由于该病毒关联的是exe文件,因此,现在删除它后Windows环境下任何exe文件都将无法运行。我们先找到Windows目录下的注册表编辑器“Regedit.exe”,将其改名为“Regedit.com”。
  回到Windows模式下,运行“Regedit.com”。打开HKEY_CLASSES_ROOTexefileshellopencommand,将其默认值改为“%1 %*”,删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的键值项“Diagnostic Configuration”。关闭注册表。
  回到Windows目录,将“Regedit.com”改回“Regedit.exe”。

  ●Netbull(网络公牛)注册表清除实例:
  该病毒在Windows 9X下:捆绑notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆绑:notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打开:
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
  HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
  HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun
  在这些子键下删除键值项“CheckDll.exe”=“C:WindowsSystemCheckDll..exe”。
  另外,要察看自己的机器是否中了该病毒,可以察看上面列出的文件,如果发现该文件长度发生变化(大约增加了40K左右),就删除它们。然后点击[开始]|[附件]|[系统工具]|[系统文件检查器],在弹出的对话框中选择“从安装软盘提取一个文件”,在框中填入要提取的文件(前面你删除的),点“确定”,按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件,如realplay.exe、QQ等被捆绑上了,那就必须把这些文件删除后重新安装了。

  ●聪明基因注册表清除实例:
  删除C:Windows下的MBBManager.exe和Explore32.exe,再删除C:WindowsSystem下的editor.exe文件。如果服务端已经运行,则要先用进程管理软件终止MBBManager.exe这个进程后才能将它删除。
  打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun,删除键值项“MainBroad BackManager”。将HKEY_CLASSES_ROOT xtfileshellopencommand的默认值改为“C:WindowsNotepad.exe %1”,恢复txt文件关联。将HKEY_CLASSES_ROOThlpfileshellopencommand的默认值改为“C:Windowswinhlp32.exe %1”,恢复hlp文件关联。

  以上是一些比较典型的手动清除特洛伊木马操作步骤,希望大家能在动手的过程中得到启发,慢慢摸索木马的藏身和激活规律,以达到以不变应万变的境地。祝大家好运:)

时间: 2024-09-20 12:03:36

注册表修改之计算机病毒清除_注册表的相关文章

注册表修改之计算机病毒清除

木马藏身地及通用排查技术 木马取自古希腊神话的特洛伊木马记,是一种基于远程控制的黑客工具,具有很强的隐藏性和危害性.为了达到控制服务端主机的目的,木马往往要采用各种手段达到激活自己,加载运行的目的.这里,我们简要的介绍一下木马通用的激活方式,它们的藏身地,并通过一些实例来让您体会一下手动清除木马的方法. ●在Win.ini中启动木马: 在Win.ini的[Windows]小节中有启动命令"load="和"run=",在一般的情况下"="后面是空的

Windows XP系统注册表十则设置技巧_注册表

用XP已经好久了,本人试验和整理了许多很有意思的注册表修改技巧,这里写出来给大家参考.说到注册表修改,有一句话总是不得不提:小心谨慎.修改之前必须备份,一步失误可能让你的机器翻脸不认人.在下面的叙述中,如果指定位置没有这里所说的键/值,那么你得自己新建一个.除非特别说明,所有这里谈到的值都是REG_DWORD类型. 一.提高XP的响应速度 找到HKEY_CURRENT_USERControl PanelDesktop子键,修改HungAppTimeout值.HungAppTimeout值表示系统

Win2k注册表备份恢复详解_注册表

Windows 2000 将它的配置信息存储在名为注册表的数据库中,其中包含了每个计算机用户的配置文件,以及有关系统硬件.已安装的程序和属性设置等信息,Windows 2000 在运行过程中要一直引用这些信息.注册表是以二进制形式存储在硬盘上,错误地编辑注册表可能会严重损坏系统.所以,在更改注册表之前,强烈建议备份注册表信息.为了防止在修改注册表的时候发生致命错误,有必要了解一下注册表文件的备份和恢复方法.除此之外,为了研究注册表的结构,还可以将注册表中的某一主键或子键保存为文本文件,或者打印出

玩转注册表 系统注册表文件解锁奇招_注册表

很多人由于浏览了恶意网站从而导致注册表被锁,相关报刊介绍了各种各样的处理方法,例如通过编辑注册表文件或用超级兔子等工具来进行修改等等.但是如果你手头一时无此类工具,又记不住注册表文件的内容,该怎么办呢?其实,你完全可以利用微软在系统安装光盘中所提供的另一款利器--系统策略编辑器(Poledit),轻松地解决这个问题.不仅如此,你还可以利用系统策略编辑器来实现一些只有通过修改注册表才能实现的功能. 我们以在Windows 9x操作系统下的使用为例来介绍.首先将安装光盘中Tools\Reskit\N

Windows api关于注册表的操作经验和总结_注册表

读取注册表常用的函数 RegOpenKeyEx 用于打开一个键 RegSetValueEx 用于设置一个键的键值 RegQueryValueEx 用于读取一个键的值 RegCloseKey 用于关闭RegOpen打开的键 RegQueryValueEx通常连用两次来读取键值,第一次只读取键的大小,然后分配内存,然后再用一次RegQueryValueEx来读取键值到buffer.下面是一个读取windows下的path键值的例子 HKEY hk; int result = RegOpenKeyEx

亡羊补牢 注册表损坏之后的恢复_注册表

自Windows 95系统后,Windows系统采用了注册表的管理机制.注册表的数据保存在以下两个系统文件中:User.dat和System.dat.注册表是Windows系统正常运行的保证之一.一旦注册表出现故障,就可能导致Windows系统不能正常运行. 正是基于注册表的重要性,Windows系统采取了相应的保护措施.保护措施的基本方法是将上一次正常启动系统时的注册表数据文件和相关的INI文件进行备份,一旦出现故障后,通过恢复上次正常启动的配置来进行系统的恢复.下面介绍一下在Win 98系统

修改注册表使电脑更安全_注册表

对于个人用户在家里使用计算机,这样的安全控制有时是没有必要的,但对于网吧,公共机房的管理者和使用者了解这些安全控制还是很有用的,使你可以轻松简单的控制你的计算机,也大大的减少了你的维护工作. 禁用使用注册表编辑器Regedit注册表对于很多用户来说是很危险的,尤其是初学者,为了安全,最好还是禁止注册表编辑器regedit.exe运行,在公共机房更加重要,不然你的机器一不小心就被改得一塌糊涂了.打开注册表到HKEY_CURRENT_USER\Software\Microsoft\Windows\C

自己修改注册表优化宽带网设置_注册表

使用Modem上网的朋友恐怕都对蜗牛般的网速深有体会.为此,我们想尽一切办法,试图榨干小猫的最后一滴油水. 终于盼来了宽带,网速快多了,但它也存在着加速和优化的问题.下面我们就以ADSL为例,来讨论一下如何通过修改注册表优化宽带网. 第一步:测试现有的速度 这一步很有必要,因为在优化前后不能只凭感觉看效果,最实在的应该是前后测试数据的对比. 测试的时候要注意找一个速度快的服务器上的大文件,避免被缓冲文件欺骗,可以多下载几次,看各次所用的时间是否相近. 第二步:优化注册表 Windows系列在安装

修改注册表 把“我的电脑”捧上去_注册表

Windows 98是普通用户使用最多的操作系统,它的一些常用操作早已成为习惯.而新操作系统的发布,在增加了一些新功能外,还修改了一些操作内容.如Windows 98及以前版本的操作系统,桌面上的"我的电脑"图标是在"我的文档"之上的,而新操作系统Windows 2000/XP正好颠倒过来,这对于早已习惯Windows 98操作的"追新族"可不是一个好消息. 以前我们可以点击桌面左上角就可以打开"我的电脑"窗口,而现在由于&q