今晚最快开奖现场直播大范围病毒手工业消逝方

日期:2019-11-30编辑作者:关于计算机

Windows开机后没有桌面显示可能的原因很多,本文重点讲解该现象常见的处理思路。

手工清除“恶邮差”(Supnot)蠕虫病毒

开机后没有桌面的原因:

1.使用资源管理器查看进程,注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒(或由病毒生成的后门软件),甚至其它的一切不常见的进程都有可能是,如果不能确定,找一台服务器上的进程来观察(服务器应该不会被感染)。
2.将病毒程序(后门)的进程结束掉,对于不能结束的,可以使用附件中的pskill.exe结束掉(命令格式“pskill 进程名”)。
3. 打开“服务”,在服务列表中将没有“描述”服务进行筛选,查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务,依次删掉注册表中的
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesBRWWTELK]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesprom0n.exe]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindows Management Extension]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindow Remote Service]
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun(RunServices]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun(RunServices]
……的相关的健值(还有WinVNC的进程,没有记住是什么健值)
4.删掉
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesdll_reg]
[HKEY_CLASSES_ROOTApplicationswinrpc.exe]的健值,
5. 并修改[HKEY_CLASSES_ROOTtxtfileshellopencommand]的右侧的默认健值为” %SystemRoot%system32NOTEPAD.EXE %1”,此时,.txt的文件无法正常打开,可以点击文本文件的右键选择其它方式,选择使用Notepad即可。
6.删掉系统system32目录下的以下程序(大部分可执行程序的大小都为78,848字节): winrpcsrv.exe 、 winrpc.exe 、 wingate.exe 、 syshelp.exe 、rpcsrv.exe 、 iexplore.exe 、 prom0n.exe(注意中间的是数字0) 、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、 winvnc.exe

1.Windows的系统shell——explorer.exe文件损坏、丢失、被感染。

  1. 清空“C:Documents and SettingsDefault User(或Default Uesr..WINNT)Local SettingsTemporary Internet FilesContent.IE5”目录下除了“desktop.ini”的所有文件,该路径下,发现有一些后门软件。
    8.关闭所有目录的完全共享!――这是关闭了该程序还可以通过网络感染的途径。
    9. 重新启动计算机,观察是否还有类似进程出现,尤其是irftpd.exe,这个程序是由上述第3步的“服务”程序自动生成的。由于该蠕虫先后出现多个变种,建议使用专杀工具来查杀。

2.设置系统shell的注册键值被修改。

新欢乐时光VBS/Redolf的清除办法

3.由于某种原因导致的explorer.exe文件无法运行。如:映像劫持、杀软隔离与拦截、程序冲突等。

1、删除
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunKernel3
2 键值;
参照其他系统,恢复 HKEY_CLASSES_ROOTdllFile 下键值;
参照其他系统,恢复 HKEY_CURRENT_USERIdentities" & UserID & "SoftwareMicrosoftOutlook Express" & OEVersion& "Mail 下相关键值;
参照其他系统,恢复 HKEY_CURRENT_USERSoftwareMicrosoftOffice9.0OutlookOptionsMail 下相关键值;
参照其他系统,恢复 HKEY_CURRENT_USERSoftwareMicrosoftOffice10.0OutlookOptionsMail 下相关键值;
3、删除文件
参照其他系统,恢复 %Windows%web 目录下 folder.htt 文件;
删除 Kernel32.dll 或者 Kernel.dll 文件;删除 kjwall.gif;
查找所有存在 KJ_start 字符串的文件,删除文件尾部的病毒代码。
由于该病毒利用 Windows 资源管理器的视图模板进行感染,所以必须对计算机所有磁盘进行检查,不能遗漏,否则很快又会再次感染。在查杀过程中一定不能打开资源管理器,否则也不能查杀干净。

处理步骤:

I-WORM/Badtrans.b,病毒的清除

1.尝试进入安全模式看桌面是否可以加载桌面。进入方法:在启动计算机过程中按F8键,之后屏幕上会显示一个菜单,可在菜单中选“安全模式”。 (注意:安全模式的启动时间会相当比较长。)
今晚最快开奖现场直播 1

首先用最新DOS版的杀毒软件开机杀毒,然后将邮箱中的带毒邮件一一删除,否则又会重复感染,该病毒传播能力极强,必须加强防范, 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。

如果可以看到桌面的话,可以尝试减少非系统必须的启动项目以及查看是否存在程序冲突。典型的程序冲突例如:杀毒软件。

恶性蠕虫病毒“I-Worm.Aliz”

(注意:清理启动项需要有较深Windows系统操作经验的高级用户操作。推荐使用金山清理专家的全面诊断功能进行参考判断。)

用最新的杀毒软件清除病毒,然后下载补丁:
如果用户使用升级的因特网outlook版本6.0,就不需要修补outlook。

2.如果未能看到桌面的话,同时按下shift+alt+delete键或shift+ctrl+esc键调用任务管理 器程序。在任务管理器程序中新建任务,在打开窗口中输入regedit『确定』后定位展开注册表键值到[HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]查看注册键值Shell是否存在,且数据为Explorer.exe。若与默认不同的话,将其修 改为默认数据或添加该键值。如图所示:

  1. outlook
    2.outlook 2000
    3.outlook 2002 (office XP)

今晚最快开奖现场直播 2

Nimda.e病毒详细解毒方案

3.如果该键值没有问题的话,展开注册表键值到[HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindows NTCurrentVersionImage File Execution Options]检测是否有名称为explorer.exe的注册项。如果存在的话,将该注册项删除。

一、winX系统的清除方法:

今晚最快开奖现场直播 3

1 使用干净DOS软盘启动机器。
2 执行vrvdos, 查杀所有硬盘。
3 在SYSTEM.INI文件中将LOAD.EXE的文件改掉,如没有变,就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目,否则清除病毒后,系统启动会提示有关load.exe的错误信息。
4 开启vrv实时监测病毒防火墙。
5 为了预防该病毒在浏览该带毒信笺可以自动执行的特点,必须下载微软的补丁程序。
地址是:。
这样可以预防此类病毒的破坏。

4.如果未能看到桌面的话,同时按下ctrl+alt+delete键或shift+ctrl+esc键调用任务管理器 程序。在任务管理器程序中新建任务,在打开窗口中分别尝试输入explorer或者%systemroot%system32dllcache explorer.exe『确定』后看能否加载桌面。

6、WINDOWS 2000如果不需要可执行的CGI,可以删除可执行虚拟目录,例如/scripts等等。
7、如果确实需要可执行的虚拟目录,建议可执行虚拟目录单独在一个分区。

今晚最快开奖现场直播 4

8、对WINDOWS NT/2000系统,微软已经发布了一个安全补丁,可以从下列地址下载:.
9、病毒被清除后, 在windows的system目录下的文件riched20.dll将被删除,请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件,否则的话,写字板和OFFICE, WORD等程序将不能正常运行。在WINDOWS98系统下的该文件大小是:431376字节。或重装office。

5.如果未能看到桌面的话,通过任务管理器打开杀毒软件相关主程序。检查杀毒软件的病毒隔离系统与可进行杀毒相关操作的 日志中是否记录explorer.exe文件被隔离。如果在病毒隔离系统中发现explorer.exe的话尝试将其还原重复步骤4中的操作。(存在病毒 释放风险,不排除杀软误报。)

二、WINDOWS NT/2000系统的清除方法:

6.如果加载dllcache目录下的explorer.exe文件可以看到桌面的话,将该文件通过任务管理器复制copy到windows目录下看重启后能否加载。如果重启后提示无权限或者拒绝访问的话,将系统时间向前调整一个月后重启即可解决。

WINDOWS NT/2000系统的NTFS硬盘分区感染此毒时,处理比较烦琐。因用DOS软盘引导后不认硬盘分区,所以无法杀毒。在患毒的WINDOWS NT/2000系统下又杀不干净病毒。不管是服务器还是单机的硬盘染此毒了,要想杀干净病毒,可按如下方法杀毒:
1 找一台没有感染病毒的、并装有WINDOWS NT/2000(NTFS)系统的计算机,将vrv2001 server安装到硬盘中,对硬盘进行查杀。
2 如果有杀不掉的,用dos盘引导起动,再执行NTFSpro(在vrv网站可以下载)中的ntfspro.exe 即可,看到NTFS格式下的所有文件,将其删除,再回到正常模式下查杀。
3 如果有多台机器,也可以将患毒的硬盘挂接在没有感染病毒的计算机上做为副盘。

7.对于病毒修改多处位置,以上方法与步骤均未能处理的,建议一般用户尝试PE盘的方式修复。替换对应操作系统版本中Windows目录以及dllcache目录下的explorer.exe文件,以及检查步骤2和步骤4中的注册键值是否正确。

Nimda病毒解决方案

如上述7个步骤操作下来仍未解决的话,建议个人用户选择通过PE方式或挂从盘方式备份重要文件后修复或重装操作系统。

请大家尽快到微软网站下载更新程序,修补这些漏洞,以免中毒。收到可疑的信件,例如:Nimda病毒病毒附件为readme.exe,不要随意打开以免中毒,IE 5.x 的使用者请到下载修复程序,避免浏览中毒网页就被感染。
IIS 的使用者请到、下载修复程序,以修正Unicode漏洞。 
另外:Win9x用户记得去掉共享,修改System.ini中shell=explorer.exe load.exe -dontrunold为shell=Explorer.exe ,Win2000则查看一下administrators组中是否加进了“guest”用户,如果是,请将guest用户从administrators组中删除,然后用最新版的杀毒软件扫描你的机器,查杀病毒。

开机后没有桌面的原因: 1.Windows的系统shell——explore...

自己动手对付CodeRed(红色代码)

CodeRed(红色代码)是利用Windows NT/2000本身的漏洞来执行骇客行为,微软网站提供更新档下载,使用IIS 4.0以上版本用户,请尽快至微软网站更新修正。

手工清除Sircam蠕虫病毒:

1、 清空回收站,因为病毒将自身隐藏在回收站;
2、 删除Autoexec.bat文件中的"@win ecycledsirc32.exe"
3、 恢复注册表
(1) 将regedit.exe改名为regedit.com因为该病毒关联exe文件
(2) 打开注册表编辑器,查找主键:
HKEY_CLASSES_ROOT/exefile/shell/open/command将其键值改为"%1" %*
(3) 删除主键HKEY_LOCAL_MACHINE/Software/SirCam
(4) 删除键值HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run Services/Driver32
(5) 将regedit.com改回为regedit.exe

手工清除“快乐时光”病毒

1.检查 C:Help.htm、C: 盘第一个子目录下的 Help.vbs 和 Help.hta、Windows录下 Help.htm 或者与原墙纸文件名的 html 格式文件,若其中 含有“Rem I am sorry! happy time”字符串,则删除该文件
2.检查 C: 盘上所有 vbs、html 或者 asp 文件,若含有“Rem I am sorry! happy time”字符串,则删除该文件
3.检查 WindowsWeb 目录下所有 vbs、html、htt 和 asp 文件,若含有“Rem Iam sorry! happy time”字符串,则删除该文件;
4.删除 HKEY_CURRENT_USERSoftware 下 Help 项;
5.删除收件箱中所有带有 Untitled.htm 附件的不明邮件。

手工清除出现漩涡画面的Hybris.A变种病毒

解决方案:
一、Window 95用户更改WSOCK32.DLL
1.从开始->关机->重新启动并切换到MS-DOS模式。
2.键入: EXTRACT /A C:WINDOWSOPTIONSCABSWIN95_11.CAB WSOCK32.DLL /L C:WINDOWSSYSTEM,或是放入你的 Windows 95 CD-ROM,然后键入:EXTRACT /A D:WIN95WIN95_11.CAB WSOCK32.DLL /L C:WINDOWSSYSTEM. D: 指你的CD-ROM drive
二、Window 98用户更改WSOCK32.DLL
1.从开始->运行,键入SFC并按OK.
2.选择从安装软盘提取一个文件(E)
3.在空格中键入C:WINDOWSSYSTEMWSOCK32.DLL 并按开始。
4.在提取文件表格中键入C:WINDOWSOPTIONSCABS 或是在你的Windows 98 CD-ROM中浏览 Windows 98,会在CAB file这里发现命名为"PRECOPY1.CAB" 按OK 后跟着提示进行就可。

手动清除圣诞节病毒的方法:

1.开始——>程序——>MS-DOS模式
2.将DOS指令regedit.exe重新命名为 regedit.com
3.回到Windows运行Regedit。
4.开始——>运行
5.输入“regedit”。按一下“确定”。
6.在左边窗口,按一下含有 "+" 记号的方块以展开节点来寻找下列登录:
HKEY_CLASSES_ROOT exefile shell open command
7.在右边窗口,以展开节点来寻找含有下列登录的记录值并点选 (Default) = "% windir%SYSTEMWINSVRC.EXE"%1""%*" where %windir%
8.当编辑窗口出现,将所有整个部分删除,只留下 "%1"%*"。
9.同步骤 3-5,输入“regedit”。按一下“确定”,进入以下注册机值:
HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run
10.点选Win32BaseServiceMOD = %windir%SYSTEMWINSVRC.EXE ,并按“删除”
11.开始——>程序——>MS-DOS模式
12.将 regedit.com重新命名为 regedit.exe。

Win32/MTX.A.Worm 病毒的清除方法

清除步骤:
1、对于蠕虫病毒生成的文件如:MTX_.exe,Ie_pack.exe和Win32.dll,需要彻底删除,它们的病毒报警为Win32/MTX.Attachment.Worm 或Win32/MTX.A.Downloader.Worm。
2、 开始---运行(regedit)修改注册表,将注册表中的关键字值删除,关键字值为:
Hkey_Local_MachineSoftwareMicrosoftWindowsCurrentVersionRunSystembackup =MTX_.EXE
3、 开始---运行(regedit)---编辑---查找(Win32.dll),将查找到的键值删除掉,用同样的方法 查找Ie_pack.exe和mtx,将查找到的键值也删除;
4、重新启动计算机。

手动清除特洛伊木马TROJ_QAZ.A病毒

1、单击“开始│运行” 键入:Regedit,按Enter键
2、找到注册键:
HKEY_LOCAL_MACHIN/Software/Microsoft/Windows/CurrentVersion/Run
3、在右边的窗口中,找出任何包含下列数据的注册键值:
startIE=XXXXNotepad.exe
4、在右边的窗口中,选中该键值,按删除键后再选是,删除该值。 退出注册表修改。 单击 “开始│关闭系统”,选择“重启动”后单击“是”。
5、重命名Note.com为Notepad.exe。

冰河的手工解决办法

病毒冰河的手工解决办法:
1、在
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices中找 到冰河(默认是C:WINDOWSSYSTEMKernel32.exe),将其删除。
2、在注册表中找到HKEY_CLASSES_ROOTtxtfile,可以在其次键中发觉Shellopencommand中运行的程序,默认的是C:WINDOWSSYSTEMSysexplr.exe %1, 将它删掉就行。其他形式的伪装也照删不误。
3、重新启动,在纯Dos模式中删除冰河以及它的关联程序(默认是 C:WINDOWSSYSTEMKernel32.exe和sysexplr.exe)。

VBS_STAGES.A蠕虫的解决方案

进入以下注册表目录:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
查找含有以下键值的键:"C:WINDOWSWSCRIPT.EXE,C:WINDOWSSYSTEMSCANREG.VBS" 将含有这些键值的键删除。
进入以下注册表目录:
HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/DefaultIcon
查找以下键值:"C:RECYCLEDRECYCLED.VXD,1" 将其修改为:C:WINDOWSregedit.exe,1 to this input box
进入以下注册表目录:
HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/shell/open/command
查找以下键值:"C:RECYCLEDRECYCLED.VXD,1" 将其修改为:C:WINDOWSregedit.exe,1 to this input box.,退出注册表 。重启后扫描整个系统,将感染了此病毒的文件删除。 从另一干净的机器上拷贝一个REGEDIT.EXE 程序到本机。

抵御港产电脑病毒“嘻哈”

近日传媒公布港产电脑病毒“嘻哈”即“F4student.heha”病毒,此ICQ病毒轰炸校园,而且通过ICQ扩散,威胁约一亿个香港与国际ICQ用户,只要通过它人用ICQ发给你的网址????(为了避免误进入我将这个网址‘马赛克’了^-^)进入此网站后再重新开机,会删除整个电脑硬盘全部资料。

本人分析过此病毒,其实只是使用了IE5的一个漏洞,其“发作”时调用了start /m deltree c: d: e: /autotest /u这一危险的命令,只要将你们机器里的Deltree.exe作特殊处理(改名等)就可预防该‘病毒’了。
另外:本人在此提醒大家,一般来说,我建议电脑管理员将机器里面的(Format,Fdisk,Deltree等特殊的命令)作特殊处理,防止使用人员误操作导致发生灾难。

手工清除“I LOVE YOU”病毒

解决方案: 在开始菜单中选“运行”, 输入“Regedit”并回车, 在注册表编辑器的左边一栏内选“HKEY_LOCAL_MACHINE/Software/Micro soft/Windows/CurrentVersion/Run”, 在右边栏内查找值为“:WindowsSystem MSKernel32.vbs”和“WI N-BUGSFIX.exe”的键, 这些键值使得病毒在Windows启动的时候得以运行,选中这些键并删除。 在注册表中查找键值为“:WindowsSystem Win32DLL.vbs”的键, 选中并删除。 退出注册表, 从开始菜单中选择“关闭系统”的“重新启动计算机并启动到MS-Dos方式”, 进入缺省目录“C:”之后,接着输入DEL WIN-BUGSFIX.exe,回车, 重启计算机。这样,整个清除病毒过程就结束啦。

如何自行将MSIE.HTA(网路害虫)清除

1.将Windowssystem目录下MSBOOT.BAT、MSIE.LST、MSIE.INI、MSIE.HTA四个文件删除。
2.将Windowssystemsystem目录删除。
3.将windowsStart MenuPrograms启动 中的Microsoft Internet Explorer.hta文档删掉。

如何防范VBS_BUBBLEBOY(OUTLOOK.BubbleBoy)蠕虫

BubbleBoy(泡沫小子)是由VB 脚本撰写而成,且浏览器要求是安装了Windows Scripting Host的IE5。WindowsS-cripting Host是Windows 98 和Windows 2000标准安装程序。BubbleBoy 在Windows NT上无法运行。 若IE5的安全级别设定为最高,动态脚本组件(Active Scripting Components)就无法被执行。最好的办法就是从Microsoft获取最新的安全补丁程序。 Microsoft的Internet Explorer 5.0用户可以进入“Tools/ Windows Update”,来获得最新的补丁和插件程序。

清除黑客程序“煞伯7号”

1999年8月17日,南京信源公司的“病毒119”寻呼急促地响起,有一例黑客程序被上报到南京信公司技术部,经过紧张的分析测试,他们已经彻底的破解了该黑客程序。怎样判断你的机器内是否有“煞伯7号”?你可以到你的操作系统安装目录(一般为Windows目录)下,检查是否有Rundll16.exe文件。有没有?如果你发现了,哈哈你被“黑”了,黑客可能正在窃取你的秘密。赶快用文本编辑器修改该目录下的文件System.ini将 [boot] shell=Explorer.exe rundll16.exe 改为 [boot]shell=Explorer.exe 重新启动计算机,将Rundll16.exe删除,要快哦!否则就会有更大的破坏。到此为止,你已经躲开了该黑客程序的控制。 南京信源公司VRV2000的3.B版本及VRV31.0,能够彻底查杀“煞伯7号”。

Back Orifice 2000的清除方法

手工删除Back Orifice 2000的方法:
1.在WINDOWS 9X 中运行REGEDIT。
2.将注册表中:HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUNSERVICES下的UMGR32.EXE 串值删除。
3.重新启动。
4.将WINDOWS/SYSTEM目录下的UMGR32~1.EXE文件删除即可。

解决:“控险虫”

6月6日在以色列发现新的病毒“探险虫”,它通过邮件传播,专门攻击微软的Office文件,只攻击WINX/NT 操作系统,请大家收到邮件时千万不要随意打开附件,以免文件造破坏。另外,如果你有杀毒软件不能查杀的病毒或碰到“探险虫”,可与我们联系!你们可在杀毒专栏里找免费杀毒软件SODU1999清除“探险虫”。

清除Windows NT蠕虫病毒

目前,NAI公司已发现清除ExploreZIP.worm病毒的有效方法:Win9X:重启并进入MS_DOS模式,编辑WIN.INI并删掉“run=c:windowssystemexplore.exe”,然后删除“c:windowssystem explore.exe”,再重启Win9X即可。
Win NT:该蠕虫作为一个进程在Win NT Task manager中名为“explore”,用户可以终止该进程。运行REGEDIT(注意:不是REGEDIT32)并嵌入[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows,删除“run=C:\WINNTSystem32Explore.exe”,重启NT,删除文件“c:winntsystem32Explore.exe”即可。

清除“Pretty park 蠕虫”病毒

近日,一种名为“Pretty Park蠕虫”的病毒被赛门铁克在法国的Sscan&Deliver系统截获,并预言此病毒有蔓延扩散之趋势。为避免广大的电脑用户遭受此病毒的侵袭,赛门铁克防病毒专家提醒大家提早采取措施。
手工删除该病毒的步骤为:删除WINDOWSSYSTEMFILES32.VXD;使用REGEDIT,把注册项?HKEY_LOCAL_MACHINESoftwareClassesexefileshellopencommand”从 Ffiles32.VXD“%1%*;通过Windows“开始”菜单的“运行”菜单 项启动 REGEDIT;然后在REGEDIT中搜索FILES32.VXD;删除“PrettyPark.exe”文件;再重新启 动计算机。需要注意的是,用户必须严格的执行 第二步,否则,如果只是简单的把FILES32.VXD删除掉,可执 行文件将不能正常运行。

教你如何手工删除“MSN照片”病毒

一、 删除病毒的注册表启动项目
1、运行regedit,打开注册表编辑器。打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad找到“rdshost”一项,将其值记录下来,并将该项删除。
注意:“rdshost”项的值为一个CLSID。病毒产生的这段CLSID不固定,本例中为:{C7B4EE78-A8FB-4C16-AE1F-C1A568949825}。

2、打开HKEY_CLASSES_ROOTCLSID,找到刚才记录下的CLSID项,本例为:{C7B4EE78-A8FB-4C16-AE1F-C1A568949825},将其删除。

二、 重新启动计算机 由于该病毒驻留内存,因此,清除掉启动项目后必须重新启动计算机才能够删除病毒文件。

三、 删除病毒文件 1、 进入Windows,默认为C:windows,找到名为“photo album.zip”的文件并删除。
2、进入系统目录,默认为C:windowssystem32,找到名为“rdshost.dll”文件并删除(注意是DLL文件不是EXE)。
3、重新启动计算机,检查这几个文件是否存在,如果不存在,则病毒已被清除干净。

其他采取手动查杀如下:
1、断网(拨掉网线、禁用网卡都行)
2、取消MSN的自动运行(打开MSN-工具-选项-常规-取消“当我登录到Windows时自动运行……”)
3、重启(进不进安全模式都行,我没有进)
4、打开注册表(开始-运行-输入“regedit”-回车)
5、在注册表中搜索“photo album”,并将之删除(在注册表中按下F3键,文本框中输入“photo album”,回车,搜索到相关项,删除;再按F3,继续搜索,并删除……直到显示“注册表搜索完毕”)
6、删除接收到的文件,并重启计算机
7、可重复第5步,以查是否还有相关项(我重复了几次,没有发现)
8、运行MSN(我测试了20分钟,没有发现异常,发消息没有异常

灰鸽子的手工清除
清除灰鸽子仍然要在安全模式下操作,主要有两步:1、清除灰鸽子的服务;2删除灰鸽子程序文件。注意:为防止误操作,清除前一定要做好备份。

一、清除灰鸽子的服务
Windows2000/WindowsXP系统:
1、打开注册表编辑器(点击“开始”-》“运行”,输入“Regedit.exe”,确定。),打开
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices注册表项。
2、点击菜单“编辑”-》“查找”,“查找目标”输入“game.exe”,点击确定,我们就可以找到灰鸽子的服务项(此例为Game_Server)。
3、删除整个Game_Server项。

Windows98/WindowsME系统:
在Windows9X下,灰鸽子启动项只有一个,因此清除更为简单。运行注册表编辑器,打开
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun项,我们立即看到名为Game.exe的一项,将Game.exe项删除即可。
二、删除灰鸽子程序文件
删除灰鸽子程序文件非常简单,只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件,然后重新启动计算机。至此,灰鸽子VIP 2005服务端已经被清除干净。

手工清除熊猫烧香

一、关闭病毒进程 Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉(我的电脑里出现的是SVCHOST)注意别搞错了。
二、显示出被隐藏的系统文件
运行注册表 
HKEY_LOCAL_MACHINESoftwareMicrosoftwindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL,将CheckedValue键值修改为1
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了)
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示
三、删除病毒
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。
四、删除病毒的自动运行项 打开注册表运行——regedit
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\WINDOWSsystem32SVOHOST.exe 的
最后到 C:\WINDOWSsystem32 目录下删除 SVOHOST.exe 或 sxs.exe
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。

其他方法一: 1. 断开网络

  1. 结束病毒进程:%System%/drivers/spoclsv.exe
  2. 删除病毒文件:%System%/drivers/spoclsv.exe
    4. 右键点击分区盘符,点击右键菜单中的“打开”进入分区根目录,删除根目录下的文件:X:/setup.exe,X:/autorun.inf
  3. 删除病毒创建的启动项:
    [HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]
    "svcshare"="%System%/drivers/spoclsv.exe"
  4. 修改注册表设置,恢复“显示所有文件和文件夹”选项功能:
    [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer
    /Advanced/Folder/Hidden/SHOWALL]
    "CheckedValue"=dword:00000001
  5. 修复或重新安装反病毒软件
  6. 使用反病毒软件或专杀工具进行全盘扫描,清除恢复被感染的exe文件

其他方法二: 1、拔掉网线断开网络,打开Windows任务管理器,迅速找到spoclsv.exe,结束进程,找到explorer.exe,结束进程,再点击文件,新建任务,输入c:WINDOWSexplorer.exe,确定。
2、点击开始,运行,输入cmd回车,输入以下命令:
del c:setup.exe /f /q
del c:autorun.inf /f /q
如果你的硬盘有多个分区,请逐次将c:改为你实际拥有的盘符(C盘-->Z盘)。上述两个木马文件为只读隐藏,会修改Windows属性,使用户无法通过设置文件夹选项显示所有文件及文件夹的功能看到。
3、进入注册表,删除HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun下svcshare值。
4、删除C:windowssystem32driversspoclsv.exe
5、修复或重新安装防病毒软件并升级病毒库,彻底全面杀毒,清除恢复被感染的.exe文件。
6、屏蔽熊猫烧香病毒网站pkdown.3322.org和ddos2.sz45.com,具体方法如下:
打开C:WINDOWSsystem32driversetchost文件,添加修改如下格式:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# For example:
#
#     102.54.94.97   rhino.acme.com       # source server
#     38.25.63.10   x.acme.com         # x client host
127.0.0.1     localhost
127.0.0.1     *.3322.org
127.0.0.1     *.sz45.com

7、修复文件夹选项的“显示所有文件及文件夹”的方法:
A、找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorerAdvancedFolderHiddenSHOWALL分支,在右边的窗口中双击CheckedValue键值项,该键值应为1.如果值不为1,改为1即可。

如果你设置仍起不了作用,那么接下来看。
有些木马把自己的属性设置成隐藏、系统属性,并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除,致使通过procexp可以在进程中看到,但去文件所在目录又找不到源文件,无法进行删除。(正常如图,被修复后看不见图中标注的项)
针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolder
HiddenNOHIDDEN]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolder
HiddenSHOWALL]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced
FolderSuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolder
SuperHiddenPolicy]
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolder
SuperHiddenPolicyDontShowSuperHidden]
@=""

具体操作方法:
1)通过记事本新建一个文件
2)将以上内容复制到新建的记事本文件中
3)通过记事本文件菜单另存为show.reg
4)双击存储的showall.reg文件,点击弹出的对话框是按钮即可。
注意:以上方法对win2000和XP有效
B、HKEY_LOCAL_MACHINE | Software |Microsoft | windows | CurrentVersion | explorer | Advanced | Folder | Hidden | SHOWALL,将CheckedValue键值修改为1
但可能依然没有用,隐藏文件还是没有显示,这是因为病毒在修改注册表达到隐藏文件目的之后,把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!
方法:删除此CheckedValue键值,单击右键 新建Dword值,命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

全手工清除落雪

中途注意不要双击到其中任何一个文件,必须在文件夹选项里打开显示隐藏文件及显示已知文件扩展名。
1、打开始菜单的运行,输入命令 regedit,进注册表,到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 删除Torjan pragramme
2、然后注销! 重新进入系统后到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把pagefile.com和D:autorun.inf删掉, 然后再到C盘把上面所列出来的文件都删掉,可以对比其他文件的日期判断。
3、头号文件WINLOGON.EXE在C:WindowsWINLOGON.EXE 可能提示删不掉可以用光盘启动进入DOS模式,把它的系统,隐藏属性去掉然后删除它!
手工病毒清除后的系统修复
1、把那些病毒文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
到C:Windowssystem32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com ,然后双击这个COM文件,然后行动可以进入到DOS下的命令提示符。再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格) ftype exefile="%1" %* 这样exe文件就可以运行了。或者用Regfix.exe,sreng.exe等工具修复,将扩展名EXE改成COM,就可打开。
2、开机跳出找不到文件“1.com”
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]中把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
3、清除了这个出马出现IE不能下载 请在IE选项 然后安全 然后点默认级别就可以下载了。

autorun.inf病毒手工删除方法

一、 结束病毒进程 鼠标右键点击“任务栏”,选择“任务管理器”。点击菜单“查看”->“选择列”,在弹出的对话框中选择“PID(进程标识符)”,并点击“确定”。
找到映象名称为“LSASS.exe”,并且用户名不是“SYSTEM”的一项,记住其PID号。
点击“开始”-》“运行”,输入“CMD”,点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”,比如我的计算机上就输入“ntsd –c q -p 1464”。
二、 删除病毒文件
打开“我的电脑”,设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件:
C:Program FilesCommon FilesINTEXPLORE.pif、
C:Program FilesInternet ExplorerINTEXPLORE.com、
C:WINDOWSEXERT.exe、
C:WINDOWSIO.SYS.BAK、
C:WINDOWSLSASS.exe、
C:WINDOWSDebugDebugProgram.exe、
C:WINDOWSsystem32dxdiag.com、
C:WINDOWSsystem32MSCONFIG.COM、
C:WINDOWSsystem32regedit.com
如果硬盘有其他分区,则在其他分区上点击鼠标右键,选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件。

三、删除注册表中的其他垃圾信息
这个病毒该写的注册表位置相当多,如果不进行修复将会有一些系统功能发生异常。
将Windows目录下的“regedit.exe”改名为“regedit.com”并运行,删除以下项目:
HKEY_CLASSES_ROOTWindowFiles、
HKEY_CURRENT_USERSoftwareVB and VBA Program Settings、
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain下面的 Check_Associations项、
HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif、
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下面的ToP项。
将HKEY_CLASSES_ROOT.exe的默认值修改为“exefile”
将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand的默认值修改为“"C:Program FilesInternet Exploreriexplore.exe" %1”
将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D}shellOpenHomePageCommand的默认值修改为“C:Program FilesInternet ExplorerIEXPLORE.EXE”
将HKEY_CLASSES_ROOTftpshellopencommand和HKEY_CLASSES_ROOThtmlfileshellopennewcommand的默认值修改为“"C:Program FilesInternet Exploreriexplore.exe" %1”
将HKEY_CLASSES_ROOThtmlfileshellopencommand和HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为“"C:Program FilesInternet Exploreriexplore.exe" –nohome”
将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet的默认值修改为“IEXPLORE.EXE”。

重新将Windows目录下的regedit扩展名改回exe,至此病毒清除成功,注册表修复完毕

【责任编辑:赵毅 TEL:(010)68476606】

原文:常见病毒手工清除方法大集锦 返回网络安全首页

本文由今晚最快开奖现场直播发布于关于计算机,转载请注明出处:今晚最快开奖现场直播大范围病毒手工业消逝方

关键词:

AJAX天气预报前台

直接配合前面的后台程序,就可以实现跨域抓取天气信息了. 目前已完美支持firefox了 复制代码 代码如下: !DOCTYPE html ...

详细>>

数据结构,数据结构之线性表

C++数据结构 顺序表的达成(模板类的完毕) 接收模板类实现顺序表的操作 兑现的功效: 1.尾插,2.头插,3.显得,4.尾删...

详细>>

启发式搜索A,多单位寻路算法

多单位寻路算法,找寻最优解,算法最优 对于单个单位的寻路可以使用A*算法。可是在实际应用中一重现身多个单位...

详细>>

结对编制程序

结对编程(黄金点游戏),结对编程黄金点游戏 我扮演的角色是驾驶员 一、结对伙伴 领航员:赵峻 作业地址见我的...

详细>>