对于可“注册表监控”的病毒的手工清理方法 发贴人:areyong
现在越来越多的病毒,会把自已做成服务,添加到注册表中。同时即时监控注册表,如果你手工在注册表中清除了病毒的相关项目,它又会立即在注册表中生成相应的项目。
我的处理方法请看以下实例:
2006年3月16日,也就是昨天,我的电脑中了一个QQ尾巴的毒,用3月16版(18.18.31)的瑞星无法发现此毒(自然也无法清除了),此毒的特点:
1。中毒之后,清除瑞星及KV等杀毒软件的服务,瑞星监控程序也无法正常打开。瑞星杀毒程序也无法运行。
2。在注册表中生成一个服务,并且利用WINLOGON进程实时保护这段注册表,你手工删除或者修改注册表中关于此毒的项目的话,WINLOGON进程又会自动生成相应项目。
3。重启按F8,试图进入安全模式的话,无法进入安全模式,电脑自动重启。(这招比较狠)
由于瑞星3月16版(18.18.31)的瑞星无法发现此毒,我当时只好手工清除了。
运行REGEDIT(或regedt32),找到病毒相应的服务项目,我的是:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\yuuikkj
在此项目上,点击右键,权限,在高级中,先把“允许父项的继承权限传播。。。”前的勾去掉,然后编辑相应的权限,让 administartors 与 users 都只有读取权。
然后再修改 administartors 的权限,在以下权限上打上勾:查询数值,设置数值,枚举子项,删除,读取控制。其它选项不用选中。确定。
这样就可以删除
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\yuuikkj
里面的项目了。
此时带毒进程WINLOGON试图修复你删除的注册表项目,但因为没有创建键值的权限而失效。
再重启计算机,此时机器内存中已不再有毒,再选瑞得,添加删除组件,修复。瑞星即可正常工作。也可以正常升级了。
到今天(2006.03.17),我升级了瑞星,版本18.18.41(2006.03.17),瑞星已经可以正常识别并杀灭此毒了.才发现昨天电脑中的毒为: Trojan.QQ.MsgSender.ao
对于喜欢加到注册表RUN里的毒,一样可以这么做. 发贴人:areyong
_________________________________________________
我并不太懂病毒,我中毒了,先会找杀毒软件,当最新的杀毒软件也杀不了它时,我就得想办法手工清除它了,清除不了的话,我至少要让它进不了内存。
我的方法很简单:
修改注册表项目只的权限,让超级用户对注册表也只有删除权而没有添加权。
目的:
我可以在带毒的情况下,删除注册表中病毒相应的项目,而带毒进程却无法实时修复这个注册表项目。
结果:
重启动机器之后,病毒已无法运行。内存中无毒。病毒程序主体虽然存在于硬盘上,但它没有机会得以执行。
--------------
等真正杀完毒之后,再把注册表权限改回来就行了。
通常,只要进入安全模式,然后再在注册表中删掉这类病毒的键值也行,但是这个毒会让你的机器进不了安全模式。所以才采用“注册表权限”的方法。
