巧用注册表手动清除常见的木马和病毒.doc

1巧用注册表手工清除木马病毒湖南省冷水江市教师进修学校 杨贤 417500[摘要] 木马是病毒的一种，许多人为了利益，利用木马病毒控制他人的电脑，盗取资料，威胁他人财产安全很多人能用杀毒软件预防和清除木马病毒，但用注册表手工查看和清除木马病毒，可能知之甚少[关键词] 注册表、木马病毒、手工、实例、 “冰河”木马对 Windows 操作系统稍有了解的用户都听说过注册表，它是用来对 Windows 操作系统进行配置的一个工具通过它可以对操作系统及应用软件进行优化，可以自己管理 Windows 的安全限制，可以解决硬件设置不当带来的故障，可以对网络进行管理，甚至可以改造自己的操作系统但可以用注册表手工清除计算机感染的木马病毒，可能读者知之甚少统计表明，现在木马在病毒中所占的比例已经超过了四分之一，而在近年涌起的病毒潮中，木马类病毒占绝对优势木马是一类特殊的病毒，如果你的电脑一旦感染木马，该木马就会被“种”到电脑上，以后上网时，电脑控制权就完全交给了“黑客”，他便能通过跟踪击键输入等方式，窃取密码、信用卡号码等机密资料，而且还可以对电脑进行跟踪监视、控制、查看、修改资料等操作一、 在注册表等中查看是否浸入木马病毒：1、打开“win.ini”文件，在[WINDOWS]下面，查看“run=”和“load=”后面是否有内容。

正常情况下，它们的等号后面什么都没有（有时连[WINDOWS]项都没有）如果发现后面跟有你不熟悉的路径与启动文件，你的计算机就可能中上“木马”病毒了更要小心的是有很多“木马”，如“AOLTrojan 木马”，它把自身伪装成command.exe 文件，你不要认为这是系统启动文件22、打开“system.ini”文件，在[BOOT]下面有“shell=文件名”项，正确的文件名应该是“explorer.exe”（正常时有时连[BOOT]项也没有），如果是“shell=explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，说明你的计算机已经中“木马”病毒win.ini、system.ini 文件打开的方法是：点击“开始”—“运行”，在出现的对话框中输入“msconfig”后点击“确定”就行了3、通过在“运行”对话框中输入“regedit”命令打开注册表编辑器，在左边列表中点击至：“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录，在右边查看键值中有没有自己不熟悉的自动启动文件，扩展名为 EXE，如果有就说明你的计算机可能中“木马”病毒。

当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USER\Software \Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\***（每个子项）\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE \Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可此外在注册表中的 HKEY_CLASSES_ROOT\exefile\shell\open\command=%1%*处，如果其中的“1”被修改为木马程序，那么每次启动一个可执行文件时该木马就会启动一次，例如著名的冰河木马就是将 TXT 文件的 Notepad.exe 改成了它自己的启动文件，每次打开记事本时就会自动启动冰河木马，做得非常隐蔽二、使用注册表等方法手工清除木马病毒3杀毒软件查杀病毒很有效，对木马的预防、检查也是挺有效的，但彻底地清除不很理想，因为一般情况下木马在电脑每次启动时都会自动加载，而杀病毒软件却不能完全清除木马文件，所以我们有必要掌握手动人工清除木马病毒的方法。

如果发现你的电脑有“木马”病毒浸入，首先马上将计算机与网络断开，防止黑客通过网络对你进行攻击，然后就要清除木马病毒现介绍如何使用注册表等方法手工清除木马病毒：1、编辑“win.ini、system.ini”文件清除木马病毒打开“win.ini”文件，将[WINDOWS]项下面“run＝＊＊＊”和“load＝＊＊＊”等号后面的内容删除打开“system.ini”文件，将[BOOT]下面“shell=＊＊＊”更改为“shell=explorer” ２、使用注册表清除木马病毒用“regedit”命令进入注册表编辑窗口，检查“HKEY-LOCAL-MA CHINE\Software\Microsoft\Windows\CurrentVersion\Run(RunService)”下的键值中存在可疑的路径和文件名，如果存在就直接将此键值删除还要搜索整个注册表，把存在于其他目录下的可疑路径和文件名都删除还需注意的是：有的“木马”程序并不是直接将注册表中“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到 MS－DOS 下，找到此“木马”文件并删除掉。

重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除3、用注册表清除常见的木马病毒实例A、手工清除“冰河”木马4“冰河”可以说是最有名的木马病毒，现在网上出现了许多“冰河”变种程序 “冰河”的服务端程序为 G-server.exe，客户端程序为 G-client.exe，默认连接端口为 7626一旦运行 G-server.exe，那么该程序就会在目录下生成 Kernel32.exe 和Sysexplr.exe，并删除自身Kernel32.exe 在系统启动时自动加载，Sysexplr.exe 和 TXT 文件关联即使你删除了 Kernel32.exe，但只要你打开 TXT 文件，Sysexplr.exe 就会被激活，它将再次生成Kernel32.exe，于是“冰河”又回来了！清除方法：①.在 MS—DOS 下，删除 C:\windows\system 下的Kernel32.exe 和 Sysexplr.exe 两个文件②.在注册表“HKEY-LOCAL-MACHINE \Software \Microsoft \Windows\CurrentVersion\Run”下，有键值为 C:\windows \system \Kernel32.exe，删除它。

③在注册表“HKEY-LOCAL-MACHINE\Software\Microsoft \Windows\CurrentVersion\Runservices”下，有键值 C:\windows \system \Kernel32.exe，也删除它④修改注册表“HKEY-CLASSES-ROOT\txtfile\shell\open \command”下的值，由中木马后的C:\windows\system\Sysexplr.exe %1 改为正常情况下的C:\windows\notepad %1，即可恢复 TXT 文件关联功能B、手工清除“Nethief(网络神偷)”木马“Nethief(网络神偷)”是反弹端口型木马大多数的防火墙对于由外面连入本机的连接往往会进行非常严格的过滤，但是对于由本机连出的连接却疏于防范于是，与一般的木马相反，反弹端口型木马的服务端(被控制端)使用主动端口，客户端(控制端)使用被动端口为了隐蔽起见，客户端的监听端口一般开在 80，这样，即5使用户使用端口扫描软件检查自己的端口，发现的也是类似“TCP 服务端的 IP 地址:1026　客户端的 IP 地址:80 ESTABLISHED”的情况，稍微疏忽一点你就会以为是自己在浏览网页。

防火墙也会如此认为，大概没有哪个防火墙会不给用户向外连接 80 端口吧 清除方法： ①.“网络神偷“会在注册表 HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run 下建立键值“internet” ，其值为"internet.exe /s"，将键值删除； ②.删除其自启动程序 C:WINDOWS\SYSTEM\INTE RNET.EXE C、手工清除“广外女生”木马“广外女生”是是一种新出现的远程监控工具，破坏性很大，能远程上传、下载、删除文件、修改注册表其可怕之处在于“广外女生”服务端被执行后，会自动检查进程中是否含有“金山毒霸” 、“防火墙” 、 “iparmor”、 “tcmonitor”、 “实时监控” 、 “lockdown”、“kill”、 “天网”等字样，如果发现就将该进程终止，也就是说使防火墙完全失去作用！该木马程序运行后，将会在系统的 SYSTEM 目录下生成一份自己的拷贝，名称为 DIAGCFG.EXE，并关联.EXE 文件的打开方式，如果贸然删掉了该文件，将会导致系统所有.EXE 文件无法打开的问题。

清除方法： ①.在 DOS 模式下，找到 System 目录下的 DIAGFG.EXE，删除； ②.由于 DIAGCFG.EXE 文件已经被删除了，因此在 Windows 环境下任何.exe 文件都将无法运行我们找到 Windows 目录中的注册表编辑器“Regedit.exe” ，将它改名为“R” ； ③.回到 Windows 模式下，运行 Windows 目录下的 R程序（就是我们刚才改名的文件） ； ④.找到 HKEY_CLASSES_ROOT\exefile\shell\open\command，将6其改成默认键值“%1 %*” ； ⑤.找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\ CurrentVersion\RunServices，删除其中名称为“Diagnostic Configuration”的键值； ⑥.关掉注册表编辑器，回到 Windows 目录，将“R”改回“Regedit.exe” D、手工清除“Share” 木马 这是一款 密码窃取软件清除方法如下： ①. 用进程管理软件终止 spolsv.exe 这个进程（或到纯 DOS 下） ，然后到 windows\system 文件夹下将 spolsv.exe 文件删除，顺便删除的还有 debug.dll、MSIME5f594f58.dll 两个文件，再到 Windows目录下删除 winin.exe 文件。

 ②.　在注册表“HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run”下，删除名为“netconfig”的字符串再到 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce 下，删除“winin”字符串即可 木马病毒的数量繁多，不能一一例举，但我们采用以上方法，举一反三，手动人工清除值得注意的是：对系统注册表进行删除修改前一定要将注册表备份，因为对注册表操作有一定的危险性，加上木马病毒的浸入比较隐蔽，可能会有一些误操作，如果发现操作错误，可以将备份的注册表文件导入到系统中进行恢复虽然用注册表等方法可以查杀木马病毒，但只要你的电脑浸入了木马病毒，总会给你带来多多少少的麻烦或损失我们更重要的是要采取措施预防木马病毒的浸入，不要下载、接收、执行任何严厉不明的软件或文件，不要随意打开邮件的附件和可疑图片，尽量少用共享文件夹在上网时最好运行反木马实时监控程序，实时显7示当前所有运行程序并有详细的描述信息，加上安装最。