显示隐藏文件:
我的电脑-工具-文件夹选项-查看-选中“显示系统文件夹的内容”、取消“隐藏受保护的操作系统文件”、选中“显示所有文件和文件夹”即可。
1、灰鸽子2005:
现在如果遇到这种灰鸽子病毒,在删除文件时要注意这样四种形式的病毒文件[病毒文件里大多数是隐藏属性的文件,查找删除前请先显示所有文件和文件夹(包括受保护的系统文件)]:
常见的有:1、 G_Server.exe,G_Server.dll,G_Server_Hook.dll
2、 IExplorer.exe,IExplorer.dll,,IExplorer_Hook.dll
3、 Winlogon.exe,Winlogon.dll,Winlogon_Hook.dll
可能有些文件名不同,不过都是这个规律*.exe , *.dll , *_Hook.dll
清除的方法:
Windows 9X/Me系统可以尝试先将它的启动项去掉。
Windows 2000/XP/2003系统到注册表编辑器中找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下查找“文件名.EXE”,然后删除,重新启动后就能直接将那些病毒文件删除掉了。
2、武汉男生2005:
先用任务管理器结束Explorer.exe进程,然后重新运行Explorer.exe,接着删除以下文件:
%Windows%\bak.exe
%System%\whboy.exe
[%System%\whboy.txt 和 %System%\whboy***.txt(***为数字)]——这两个文件如果有的话
编辑SYSTEM.INI文件中Shell = Explorer.exe %System%\whboy.exe为Shell = Explorer.exe(Windows 9x/Me);
在注册表编辑器中定位到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”,编辑右边“Shell”的内容,将“Explorer.exe %System%\whboy.exe”修改为“Explorer.exe”(Windows NT/2000/XP/2003)。
3、TrojanDownloader.Winup (Adware.Winup):
运行%windows%\system32下的uninstall.exe 或者 henbangkiller.exe ,然后删除这两个文件和%Program Files%\henbang文件夹。删掉windows\system32里的winup.exe,hda.ini和winhtp.dll,henbangtemp 文件夹以及ProgramFiles\henbang文件夹。
在注册表中删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下的winup 键和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run下的updata键
4、123.exe:
http://www.18hi.com/123.exe是个老木马的变种。手工查杀方法如下(安全模式下):
1、打开任务管理器进程,结束taskmgr.exe进程(一个是任务管理器进程,结束后,任务管理器关闭。另一个是木马进程,结束后,任务管理器不会关闭。)
2、在安全模式下删除以下文件:(注意,N0TEPAD.exe中是数字0不是字母o)
%Windows%\N0tepad.exe(关联TXT文件)
%Windows%\system32\N0tepad.exe(关联TXT文件)
%Windows%\system\N0tepad.exe(关联TXT文件)
%Windows%\System\taskmgr.exe
%Windows%\System\win.dll
%Windows%\System\windll.dll
3、打开注册表编辑器,找到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run删除键值taskmgr
4、修复文本文件关联(病毒会修改文本文件的关联,以保证运行文本文件时使自己能够启动)。
5、p3.exe、p6.exe、icp.exe:
p3.exe、p6.exe和icp.exe是Rbot的变种,利用系统漏洞和弱密码等通过网络传播。病毒感染系统后会建立若干自启动项,使其可以得到运行。在“任务管理器”或其它的进程管理工具里结束病毒的进程,再找到病毒文件删除掉,再把病毒在注册表里建立的多个自启动项删除即可。
6、MSSOCK.DLL(scanregw.exe):
病毒可执行文件为%Windows%\Html\scanregw.exe,是个文本文件的图标,释放MSSOCK.DLL到%Windows%\System目录并注入到Explorer.exe进程中,修改“开始-程序-启动”为scanregw.exe使自己能够随机启动,修改HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders下"Startup"的内容为“%Windows%\Html\”。
打开注册表编辑器,将以上提到的注册表键值还原为“%WINDOWS%\Start Menu\Programs\启动”(Windows 9X);“%Documents and Settings%\Administrator\「开始」菜单\程序\启动”和“%USERPROFILE%\「开始」菜单\程序\启动”(Windows 2000/XP),然后重新启动后删除病毒创建的那两个文件和文件夹即可。
7、http://www.91tg.net/rm.asp?QQ昵称.rm:
到安全模式下或者DOS下删除病毒生成的这几个文件
%WINDOWS%\services.exe
%WINDOWS%\system32\browscue.dll
%WINDOWS%\system32\member.exe
还有桌面上和系统盘根目录下和%Documents and Settings%\“用户名”下可能生成的a1.exe , a2.exe , a3.exe
删除病毒对注册表所作的更改:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run: member.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices: services.exe
