求救各位大侠~~~!!!!!!
电脑中病毒了,用瑞星杀毒杀不掉,不知道是什么病毒.要重启后自己去删,可是试过了,没删掉病毒名是RootKit.Win32.Agent.nhj请各位大侠教教小弟进入安全模式...
电脑中病毒了,用瑞星杀毒杀不掉,不知道是什么病毒.要重启后自己去删,可是试过了,没删掉
病毒名是RootKit.Win32.Agent.nhj
请各位大侠教教小弟
进入安全模式杀不掉,直接删除也无用,结束进程失败,到底有没有什么专杀工具 展开
病毒名是RootKit.Win32.Agent.nhj
请各位大侠教教小弟
进入安全模式杀不掉,直接删除也无用,结束进程失败,到底有没有什么专杀工具 展开
30个回答
展开全部
清除杀软只报无法清除的病毒
有不少朋友说自己机器里安装的杀软不行,许多病毒都是只能查出来而无法删除,其实只要能探测出病毒,删除它的方法有很多,强大如卡巴斯基也是有许多病毒“只能查出来而不能清除干净的”。其实过vb100%测试就是按照能探测出病毒的,而不是删除病毒的数量,个人认为能探测出就不失为一款好的杀软!
下面说说一些清除这些杀软能查出来而不能杀的病毒的方法:
第一种:IceSword(冰刃)
按杀毒软件提供的路径,记下来
1.下载冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件,下载解压缩后即可使用;
2.如果杀软提供的病毒文件是个dll文件。点击左侧的“进程” 逐个右击右侧的进程--模块信息,仔细查看这个dll到底对哪些进程进行了插入(特别是那些系统进程),尝试用右侧的“强制解除”试试,能不能将这个dll文件从进程中解除出来(可能会碰上在某个进程中强制解除时机器会重启的现象,如果出现这种情况,看下面第2种方法);
如果杀软提供的是一个非dll文件,则直接执行第3步;
3.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件(木马文件一般在system32下,也有驱动型木马文件是在Windows/system32/drivers这个文件夹下,这样的病毒文件一般是sys后缀的);
4.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。
如果是驱动型木马,你可能还需要到system32这个文件夹下去查看有没有与这个病毒文件同名的或创建时间上是一致的dll文件。有许多朋友在清理这一类病毒时说已经按照这个方法清理过了,但怎么还是重启后又会有了,问题多半是在这里。找到后用同样的方法处理;
4.在开始--运行里输入regedit打开注册表,搜索注册表里这些文件的键值,删除搜索到的。
5.重启电脑,这个东西应该能清除干净了。
第二种:还是这个软件,针对第一种在“进程”中删除病毒模块时可能引起系统重启的情况的
1.使用冰刃,点“文件”,“设置”,选中“禁止进线程创建、禁止协议功能”。
2.打开“进程”找到不正常的进程项目,鼠标右键点击选中“模块信息”打开察看加载的.dll模块情况!
3.找到病毒模块.dll文件,点“卸载”或“强制解除”!(一般情况主流杀软提供了病毒模块的名字)
4.点“进程”找到病毒文件进程,点鼠标右键点“结束进程”此时病毒进程就彻底结束了。(但是如果是系统关键进程不要操作这一步,不然系统会重启)
5.再点“文件”,“设置”,取消“禁止进线程创建、禁止协议功能”不然其他程序无法运行!
6.点左下角“文件”,逐步按病毒路径查找到病毒文件 点鼠标右键点“删除”。
7.在删除病毒文件后,在原处建立一个同名带扩展名的文件夹,因为电脑的任何操作系统都不允许同名的文件和文件夹存在,这样可以防止重启后病毒文件的自我修复,为保万无一失和防止以后的复发,通常都做一个文件夹放在那里。(可以忽略!)
8.现在处理注册表,在开始——运行中输入regedit按CTRL+F查找被删除的病毒文件的名字把查到的值删掉再按F3查;直到把所有的值都删完!
第三种:Unlocker(http://www.onlinedown.net/soft/24732.htm)
1.先安装这个软件,她的作用是可以让感染病毒的文件与其他程序脱离关系即全部解除。
2.安装完成后,萤幕右下角会有一个仙女棒图示。
3.记下杀毒软件查杀到的病毒文件的路径 (不建议到安全模式或听杀毒软件的提示什么重启后查杀,不要重启) 4.按路径找到病毒文件后,点击右键并选择unlocker,然后会跳出一个视窗,再点选「全部解锁」。
5. 再点右键会再次跳出一个窗口请求,这时选择unlocker把该文件删除!
6.最后开杀毒软件把剩余在清理一下 。
7.结束后下载超级兔子http://www.skycn.com/soft/2993.html
选择清理王-清理系统-清理注册表
(或者其它清理类的工具也可以,譬如Windows 优化大师、360安全卫士)
第四种:文件删除终结者 -- XDelBox
http://post.baidu.com/f?kz=158203765
1、dos级文件删除方式,打造病毒清除新模式;
2、无须进入安全模式,即可删除所有病毒文件;
3、支持一次重启批量删除多个文件;
4、复制路径的删除添加方式更适用于网络求助(支持拖曳);
注意:【删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键,选择立 刻重启删除,电脑会重启进入DOS界面进行删除操作,删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关 XDelBox的详细说明请看xdelbox1.3目录下help.chm。】
回答者: 我叫子凡 - 魔神 十七级 9-26 10:21
提问者对于答案的评价:
完全看不懂
您觉得最佳答案好不好? 目前有 0 个人评价
50% (0)
50% (0)
其他回答 共 6 条
用卡巴试试
回答者:山北孤雁 - 经理 四级 9-26 10:21
最关键看看你怎样杀毒的,首先先更新病毒库,进入在安全模式下,先清除IE临时文件,然后杀毒或者用瑞星2007光盘配合U盘,在LINUX下杀毒就能清除干净了。如果不行,建议格式化C盘,重新作系统!
参考资料:http://hi.baidu.com/lvshujin/blog/item/094db68ff1adb0ecf11f36eb.html
回答者:lvshujin - 副总裁 十一级 9-26 10:23
建议使用瑞星在安全模式下查杀,应该可以清除掉的
回答者:超氧化钠 - 助理 二级 9-26 10:27
最佳答案
特鲁伊木马病毒!
这种病毒怎么清除? 特洛伊木马(Trojan horse)
完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。
木马程序不能算是一种病毒,但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。
特洛伊木马是如何启动的
1. 在Win.ini中启动
在Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下 "="后面是空白的,如果有后跟程序,比方说是这个样子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,这个file.exe很可能是木马哦。
2.在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!
另外,在System.中的[386Enh]字段,要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
3.利用注册表加载运行
如下所示注册表位置都是木马喜好的藏身加载之所,赶快检查一下,有什么程序在其下。
4.在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。容易被发现,所以在Autoexec.bat和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。
5.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Windows自动生成,在执行了Win.com并加截了多数驱动程序之后
开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
6.启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
7.*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。
8.修改文件关联
修改文件关联是木马们常用手段 (主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l",这样,一旦你双击一个TXT文件,原本应用Notepad打开该文件,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、ZIP.COM等都是木马的目标,要小心搂。
对付这类木马,只能经常检查HKEY_C\shell\open\command主键,查看其键值是否正常。
9.捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马义会安装上去。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
10.反弹端口型木马的主动连接方式
反弹端口型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端 (被控制端)主动与客户端 (控制端)建立连接,并且监听端口一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时,最新的天网防火墙(如我们在第三点中所讲的那样),因此只要留意也可在网络神偷服务端进行主动连接时发现它。
WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
的解决方案:
WORM_NUGACHE.G(威金)
病毒码发布日期: Dec 8, 2006
解决方案:
Note: To fully remove all associated malware, perform the clean solution for TROJ_DLOADER.IBZ.
Terminating the Malware Program
This procedure terminates the running malware process.
Open Windows Task Manager.
• On Windows 98 and ME, press
CTRL+ALT+DELETE
• On Windows NT, 2000, XP, and Server 2003, press
CTRL+SHIFT+ESC, then click the Processes tab.
In the list of running programs*, locate the process:
MSTC.EXE
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your computer.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
*NOTE: On computers running Windows 98 and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process.
On computers running all Windows platforms, if the process you are looking for is not in the list displayed by Task Manager or Process Explorer, continue with the next solution procedure, noting additional instructions. If the malware process is in the list displayed by either Task Manager or Process Explorer, but you are unable to terminate it, restart your computer in safe mode.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Autostart Entries from the Registry
Removing autostart entries from the registry prevents the malware from executing at startup.
If the registry entry below is not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set.
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
Microsoft Domain Controller = "%System%\mstc.exe"
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP and Server 2003.)
Removing Added Key from the Registry
Still in Registry Editor, in the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE
In the left panel, locate and delete the following key:
GNU
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as WORM_NUGACHE.G. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner.
Applying Patch
This malware exploits known vulnerability in Windows. Download and install the fix patch supplied by Microsoft. Refrain from using this product until the appropriate patch has been installed. Trend Micro advises users to download critical patches upon release by vendors.
TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
病毒码发布日期: Sep 18, 2006
解决方案:
Identifying the Malware Program
To remove this malware, first identify the malware program.
Scan your computer with your Trend Micro antivirus product.
NOTE the path and file name of all files detected as TROJ_CLAGGE.B.
Trend Micro customers need to download the latest virus pattern file before scanning their computer. Other users can use Housecall, the Trend Micro online virus scanner.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Malware Entry from the Registry
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>
SharedAccess>Parameters>FiREWaLLpolicy>StAnDaRDPrOFiLe>
AUtHorizedapplications>List
In the right panel, locate and delete the entry:
{Malware path and file name} ="{Malware path and file name}:*:ENABLED:0"
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as TROJ_CLAGGE.B and TROJ_KEYLOG.CO. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner
回答者:mitsuba2130 - 高级经理 七级 9-26 10:42
这病毒无论哪个杀毒软件都删不了.要用清理工具.
WINDOWS清理助手 之类的.
回答者:regkk - 经理 四级 9-26 11:06
Trojan启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件,将病毒程序和正常的应用程序捆绑成一个程序,释放出病毒程序和正常的程序,用正常的程序来掩盖病毒。这些病毒包括“传奇终结者(Trojan.PSW.LMir)”、“QQ游戏木马(Trojan.PSW.QQGame)”、“QQ盗贼(Trojan.PSW.QQRobber)”以及“密西木马(Trojan.PSW.Misc)”等病毒的最新变种。这些病毒在电脑的后台运行,窃取用户的网络游戏和QQ的账号和密码,并发送给病毒制造者。这些病毒除有正常的危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。
用瑞星等主流杀毒软件就可以杀除。
杀病毒常用 方法
1、有多操作系统的用户,可以通过引导到其它系统删除所有病毒文件,彻底清除。
2、按Ctrl+Alt+Delete调出任务管理器,在进程页面中结束掉所有名称为病毒的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。
3、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查找”,在弹出的对话框中输入病毒文件名,找到后全删。
4、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到出现了你所说的文件名的文件,直接删除
有不少朋友说自己机器里安装的杀软不行,许多病毒都是只能查出来而无法删除,其实只要能探测出病毒,删除它的方法有很多,强大如卡巴斯基也是有许多病毒“只能查出来而不能清除干净的”。其实过vb100%测试就是按照能探测出病毒的,而不是删除病毒的数量,个人认为能探测出就不失为一款好的杀软!
下面说说一些清除这些杀软能查出来而不能杀的病毒的方法:
第一种:IceSword(冰刃)
按杀毒软件提供的路径,记下来
1.下载冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件,下载解压缩后即可使用;
2.如果杀软提供的病毒文件是个dll文件。点击左侧的“进程” 逐个右击右侧的进程--模块信息,仔细查看这个dll到底对哪些进程进行了插入(特别是那些系统进程),尝试用右侧的“强制解除”试试,能不能将这个dll文件从进程中解除出来(可能会碰上在某个进程中强制解除时机器会重启的现象,如果出现这种情况,看下面第2种方法);
如果杀软提供的是一个非dll文件,则直接执行第3步;
3.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件(木马文件一般在system32下,也有驱动型木马文件是在Windows/system32/drivers这个文件夹下,这样的病毒文件一般是sys后缀的);
4.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。
如果是驱动型木马,你可能还需要到system32这个文件夹下去查看有没有与这个病毒文件同名的或创建时间上是一致的dll文件。有许多朋友在清理这一类病毒时说已经按照这个方法清理过了,但怎么还是重启后又会有了,问题多半是在这里。找到后用同样的方法处理;
4.在开始--运行里输入regedit打开注册表,搜索注册表里这些文件的键值,删除搜索到的。
5.重启电脑,这个东西应该能清除干净了。
第二种:还是这个软件,针对第一种在“进程”中删除病毒模块时可能引起系统重启的情况的
1.使用冰刃,点“文件”,“设置”,选中“禁止进线程创建、禁止协议功能”。
2.打开“进程”找到不正常的进程项目,鼠标右键点击选中“模块信息”打开察看加载的.dll模块情况!
3.找到病毒模块.dll文件,点“卸载”或“强制解除”!(一般情况主流杀软提供了病毒模块的名字)
4.点“进程”找到病毒文件进程,点鼠标右键点“结束进程”此时病毒进程就彻底结束了。(但是如果是系统关键进程不要操作这一步,不然系统会重启)
5.再点“文件”,“设置”,取消“禁止进线程创建、禁止协议功能”不然其他程序无法运行!
6.点左下角“文件”,逐步按病毒路径查找到病毒文件 点鼠标右键点“删除”。
7.在删除病毒文件后,在原处建立一个同名带扩展名的文件夹,因为电脑的任何操作系统都不允许同名的文件和文件夹存在,这样可以防止重启后病毒文件的自我修复,为保万无一失和防止以后的复发,通常都做一个文件夹放在那里。(可以忽略!)
8.现在处理注册表,在开始——运行中输入regedit按CTRL+F查找被删除的病毒文件的名字把查到的值删掉再按F3查;直到把所有的值都删完!
第三种:Unlocker(http://www.onlinedown.net/soft/24732.htm)
1.先安装这个软件,她的作用是可以让感染病毒的文件与其他程序脱离关系即全部解除。
2.安装完成后,萤幕右下角会有一个仙女棒图示。
3.记下杀毒软件查杀到的病毒文件的路径 (不建议到安全模式或听杀毒软件的提示什么重启后查杀,不要重启) 4.按路径找到病毒文件后,点击右键并选择unlocker,然后会跳出一个视窗,再点选「全部解锁」。
5. 再点右键会再次跳出一个窗口请求,这时选择unlocker把该文件删除!
6.最后开杀毒软件把剩余在清理一下 。
7.结束后下载超级兔子http://www.skycn.com/soft/2993.html
选择清理王-清理系统-清理注册表
(或者其它清理类的工具也可以,譬如Windows 优化大师、360安全卫士)
第四种:文件删除终结者 -- XDelBox
http://post.baidu.com/f?kz=158203765
1、dos级文件删除方式,打造病毒清除新模式;
2、无须进入安全模式,即可删除所有病毒文件;
3、支持一次重启批量删除多个文件;
4、复制路径的删除添加方式更适用于网络求助(支持拖曳);
注意:【删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键,选择立 刻重启删除,电脑会重启进入DOS界面进行删除操作,删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关 XDelBox的详细说明请看xdelbox1.3目录下help.chm。】
回答者: 我叫子凡 - 魔神 十七级 9-26 10:21
提问者对于答案的评价:
完全看不懂
您觉得最佳答案好不好? 目前有 0 个人评价
50% (0)
50% (0)
其他回答 共 6 条
用卡巴试试
回答者:山北孤雁 - 经理 四级 9-26 10:21
最关键看看你怎样杀毒的,首先先更新病毒库,进入在安全模式下,先清除IE临时文件,然后杀毒或者用瑞星2007光盘配合U盘,在LINUX下杀毒就能清除干净了。如果不行,建议格式化C盘,重新作系统!
参考资料:http://hi.baidu.com/lvshujin/blog/item/094db68ff1adb0ecf11f36eb.html
回答者:lvshujin - 副总裁 十一级 9-26 10:23
建议使用瑞星在安全模式下查杀,应该可以清除掉的
回答者:超氧化钠 - 助理 二级 9-26 10:27
最佳答案
特鲁伊木马病毒!
这种病毒怎么清除? 特洛伊木马(Trojan horse)
完整的木马程序一般由两个部份组成:一个是服务器程序,一个是控制器程序。“中了木马”就是指安装了木马的服务器程序,若你的电脑被安装了服务器程序,则拥有控制器程序的人就可以通过网络控制你的电脑、为所欲为,这时你电脑上的各种文件、程序,以及在你电脑上使用的帐号、密码就无安全可言了。
木马程序不能算是一种病毒,但越来越多的新版的杀毒软件,已开始可以查杀一些木马了,所以也有不少人称木马程序为黑客病毒。
特洛伊木马是如何启动的
1. 在Win.ini中启动
在Win.ini的[windows]字段中有启动命令"load="和"run=",在一般情况下 "="后面是空白的,如果有后跟程序,比方说是这个样子:
run=c:\windows\file.exe
load=c:\windows\file.exe
要小心了,这个file.exe很可能是木马哦。
2.在System.ini中启动
System.ini位于Windows的安装目录下,其[boot]字段的shell=Explorer.exe是木马喜欢的隐藏加载之所,木马通常的做法是将该何变为这样:shell=Explorer.exefile.exe。注意这里的file.exe就是木马服务端程序!
另外,在System.中的[386Enh]字段,要注意检查在此段内的"driver=路径\程序名"这里也有可能被木马所利用。再有,在System.ini中的[mic]、[drivers]、[drivers32]这3个字段,这些段也是起到加载驱动程序的作用,但也是增添木马程序的好场所,现在你该知道也要注意这里喽。
3.利用注册表加载运行
如下所示注册表位置都是木马喜好的藏身加载之所,赶快检查一下,有什么程序在其下。
4.在Autoexec.bat和Config.sys中加载运行
请大家注意,在C盘根目录下的这两个文件也可以启动木马。但这种加载方式一般都需要控制端用户与服务端建立连接后,将己添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行,而且采用这种方式不是很隐蔽。容易被发现,所以在Autoexec.bat和Confings中加载木马程序的并不多见,但也不能因此而掉以轻心。
5.在Winstart.bat中启动
Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件,也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成,在执行了Windows自动生成,在执行了Win.com并加截了多数驱动程序之后
开始执行 (这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Witart.bat代替完成,因此木马完全可以像在Autoexec.bat中那样被加载运行,危险由此而来。
6.启动组
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为C:\Windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell
Folders Startup="c:\windows\start menu\programs\startup"。要注意经常检查启动组哦!
7.*.INI
即应用程序的启动配置文件,控制端利用这些文件能启动程序的特点,将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件,这样就可以达到启动木马的目的了。只启动一次的方式:在winint.ini.中(用于安装较多)。
8.修改文件关联
修改文件关联是木马们常用手段 (主要是国产木马,老外的木马大都没有这个功能),比方说正常情况下TXT文件的打开方式为Notepad.EXE文件,但一旦中了文件关联木马,则txt文件打开方式就会被修改为用木马程序打开,如著名的国产木马冰河就是这样干的. "冰河"就是通过修改HKEY_CLASSES_ROOT\txtfile\whell\open\command下的键值,将“C:\WINDOWS\NOTEPAD.EXE本应用Notepad打开,如著名的国产HKEY一CLASSES一ROOT\txt闹e\shell\open\commandT的键值,将 "C:\WINDOWS\NOTEPAD.EXE%l"改为 "C:\WINDOWS\SYSTEM\SYSEXPLR.EXE%l",这样,一旦你双击一个TXT文件,原本应用Notepad打开该文件,现在却变成启动木马程序了,好狠毒哦!请大家注意,不仅仅是TXT文件,其他诸如HTM、EXE、ZIP.COM等都是木马的目标,要小心搂。
对付这类木马,只能经常检查HKEY_C\shell\open\command主键,查看其键值是否正常。
9.捆绑文件
实现这种触发条件首先要控制端和服务端已通过木马建立连接,然后控制端用户用工具软件将木马文件和某一应用程序捆绑在一起,然后上传到服务端覆盖源文件,这样即使木马被删除了,只要运行捆绑了木马的应用程序,木马义会安装上去。绑定到某一应用程序中,如绑定到系统文件,那么每一次Windows启动均会启动木马。
10.反弹端口型木马的主动连接方式
反弹端口型木马我们已经在前面说过了,由于它与一般的木马相反,其服务端 (被控制端)主动与客户端 (控制端)建立连接,并且监听端口一般开在80,所以如果没有合适的工具、丰富的经验真的很难防范。这类木马的典型代表就是网络神偷"。由于这类木马仍然要在注册表中建立键值注册表的变化就不难查到它们。同时,最新的天网防火墙(如我们在第三点中所讲的那样),因此只要留意也可在网络神偷服务端进行主动连接时发现它。
WORM_NUGACHE.G(威金)和TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
的解决方案:
WORM_NUGACHE.G(威金)
病毒码发布日期: Dec 8, 2006
解决方案:
Note: To fully remove all associated malware, perform the clean solution for TROJ_DLOADER.IBZ.
Terminating the Malware Program
This procedure terminates the running malware process.
Open Windows Task Manager.
• On Windows 98 and ME, press
CTRL+ALT+DELETE
• On Windows NT, 2000, XP, and Server 2003, press
CTRL+SHIFT+ESC, then click the Processes tab.
In the list of running programs*, locate the process:
MSTC.EXE
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your computer.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
*NOTE: On computers running Windows 98 and ME, Windows Task Manager may not show certain processes. You can use a third party process viewer such as Process Explorer to terminate the malware process.
On computers running all Windows platforms, if the process you are looking for is not in the list displayed by Task Manager or Process Explorer, continue with the next solution procedure, noting additional instructions. If the malware process is in the list displayed by either Task Manager or Process Explorer, but you are unable to terminate it, restart your computer in safe mode.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Autostart Entries from the Registry
Removing autostart entries from the registry prevents the malware from executing at startup.
If the registry entry below is not found, the malware may not have executed as of detection. If so, proceed to the succeeding solution set.
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
Microsoft Domain Controller = "%System%\mstc.exe"
(Note: %System% is the Windows system folder, which is usually C:\Windows\System on Windows 98 and ME, C:\WINNT\System32 on Windows NT and 2000, and C:\Windows\System32 on Windows XP and Server 2003.)
Removing Added Key from the Registry
Still in Registry Editor, in the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SOFTWARE
In the left panel, locate and delete the following key:
GNU
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as WORM_NUGACHE.G. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner.
Applying Patch
This malware exploits known vulnerability in Windows. Download and install the fix patch supplied by Microsoft. Refrain from using this product until the appropriate patch has been installed. Trend Micro advises users to download critical patches upon release by vendors.
TROJ_CLAGGE.B 特洛伊木马(Trojan horse)
病毒码发布日期: Sep 18, 2006
解决方案:
Identifying the Malware Program
To remove this malware, first identify the malware program.
Scan your computer with your Trend Micro antivirus product.
NOTE the path and file name of all files detected as TROJ_CLAGGE.B.
Trend Micro customers need to download the latest virus pattern file before scanning their computer. Other users can use Housecall, the Trend Micro online virus scanner.
Editing the Registry
This malware modifies the computer's registry. Users affected by this malware may need to modify or delete specific registry keys or entries. For detailed information regarding registry editing, please refer to the following articles from Microsoft:
HOW TO: Backup, Edit, and Restore the Registry in Windows 95, Windows 98, and Windows ME
HOW TO: Backup, Edit, and Restore the Registry in Windows NT 4.0
HOW TO: Backup, Edit, and Restore the Registry in Windows 2000
HOW TO: Back Up, Edit, and Restore the Registry in Windows XP and Server 2003
Removing Malware Entry from the Registry
Open Registry Editor. Click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>Services>
SharedAccess>Parameters>FiREWaLLpolicy>StAnDaRDPrOFiLe>
AUtHorizedapplications>List
In the right panel, locate and delete the entry:
{Malware path and file name} ="{Malware path and file name}:*:ENABLED:0"
Close Registry Editor.
Important Windows ME/XP Cleaning Instructions
Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers.
Users running other Windows versions can proceed with the succeeding solution set(s).
Running Trend Micro Antivirus
If you are currently running in safe mode, please restart your computer normally before performing the following solution.
Scan your computer with Trend Micro antivirus and delete files detected as TROJ_CLAGGE.B and TROJ_KEYLOG.CO. To do this, Trend Micro customers must download the latest virus pattern file and scan their computer. Other Internet users can use HouseCall, the Trend Micro online virus scanner
回答者:mitsuba2130 - 高级经理 七级 9-26 10:42
这病毒无论哪个杀毒软件都删不了.要用清理工具.
WINDOWS清理助手 之类的.
回答者:regkk - 经理 四级 9-26 11:06
Trojan启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件,将病毒程序和正常的应用程序捆绑成一个程序,释放出病毒程序和正常的程序,用正常的程序来掩盖病毒。这些病毒包括“传奇终结者(Trojan.PSW.LMir)”、“QQ游戏木马(Trojan.PSW.QQGame)”、“QQ盗贼(Trojan.PSW.QQRobber)”以及“密西木马(Trojan.PSW.Misc)”等病毒的最新变种。这些病毒在电脑的后台运行,窃取用户的网络游戏和QQ的账号和密码,并发送给病毒制造者。这些病毒除有正常的危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。
用瑞星等主流杀毒软件就可以杀除。
杀病毒常用 方法
1、有多操作系统的用户,可以通过引导到其它系统删除所有病毒文件,彻底清除。
2、按Ctrl+Alt+Delete调出任务管理器,在进程页面中结束掉所有名称为病毒的进程(建议在后面的操作中反复此操作,以确保病毒文件不会反复发作)。
3、在开始--运行中输入“regedit”(XP系统)打开注册表,点“编辑”——“查找”,在弹出的对话框中输入病毒文件名,找到后全删。
4、在我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉,你会看到出现了你所说的文件名的文件,直接删除
参考资料: http://www.web500.cn/xindiqiu/virus/sort066/77686.html
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
中仪宇盛
2024-02-18 广告
吹扫捕集是一种气相色谱分析方法,它通过将样品中的挥发性成分“吹扫”出来,再用一个捕集器将吹扫出来的有机物吸附,随后经热解吸将样品送入气相色谱仪进行分析。吹扫捕集法从理论上讲,是动态顶空技术,是用流动气体将样品中的挥发性成分“吹扫”出来,再用...
点击进入详情页
本回答由中仪宇盛提供
展开全部
有不少朋友说自己机器里安装的杀软不行,许多病毒都是只能查出来而无法删除,其实只要能探测出病毒,删除它的方法有很多,强大如卡巴斯基也是有许多病毒“只能查出来而不能清除干净的”。其实过vb100%测试就是按照能探测出病毒的,而不是删除病毒的数量,个人认为能探测出就不失为一款好的杀软!
下面说说一些清除这些杀软能查出来而不能杀的病毒的方法:
第一种:IceSword(冰刃)
按杀毒软件提供的路径,记下来
1.下载冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件,下载解压缩后即可使用;
2.如果杀软提供的病毒文件是个dll文件。点击左侧的“进程” 逐个右击右侧的进程--模块信息,仔细查看这个dll到底对哪些进程进行了插入(特别是那些系统进程),尝试用右侧的“强制解除”试试,能不能将这个dll文件从进程中解除出来(可能会碰上在某个进程中强制解除时机器会重启的现象,如果出现这种情况,看下面第2种方法);
如果杀软提供的是一个非dll文件,则直接执行第3步;
3.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件(木马文件一般在system32下,也有驱动型木马文件是在Windows/system32/drivers这个文件夹下,这样的病毒文件一般是sys后缀的);
4.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。
如果是驱动型木马,你可能还需要到system32这个文件夹下去查看有没有与这个病毒文件同名的或创建时间上是一致的dll文件。有许多朋友在清理这一类病毒时说已经按照这个方法清理过了,但怎么还是重启后又会有了,问题多半是在这里。找到后用同样的方法处理;
4.在开始--运行里输入regedit打开注册表,搜索注册表里这些文件的键值,删除搜索到的。
5.重启电脑,这个东西应该能清除干净了。
第二种:还是这个软件,针对第一种在“进程”中删除病毒模块时可能引起系统重启的情况的
1.使用冰刃,点“文件”,“设置”,选中“禁止进线程创建、禁止协议功能”。
2.打开“进程”找到不正常的进程项目,鼠标右键点击选中“模块信息”打开察看加载的.dll模块情况!
3.找到病毒模块.dll文件,点“卸载”或“强制解除”!(一般情况主流杀软提供了病毒模块的名字)
4.点“进程”找到病毒文件进程,点鼠标右键点“结束进程”此时病毒进程就彻底结束了。(但是如果是系统关键进程不要操作这一步,不然系统会重启)
5.再点“文件”,“设置”,取消“禁止进线程创建、禁止协议功能”不然其他程序无法运行!
6.点左下角“文件”,逐步按病毒路径查找到病毒文件 点鼠标右键点“删除”。
7.在删除病毒文件后,在原处建立一个同名带扩展名的文件夹,因为电脑的任何操作系统都不允许同名的文件和文件夹存在,这样可以防止重启后病毒文件的自我修复,为保万无一失和防止以后的复发,通常都做一个文件夹放在那里。(可以忽略!)
8.现在处理注册表,在开始——运行中输入regedit按CTRL+F查找被删除的病毒文件的名字把查到的值删掉再按F3查;直到把所有的值都删完!
第三种:Unlocker(http://www.onlinedown.net/soft/24732.htm)
1.先安装这个软件,她的作用是可以让感染病毒的文件与其他程序脱离关系即全部解除。
2.安装完成后,萤幕右下角会有一个仙女棒图示。
3.记下杀毒软件查杀到的病毒文件的路径 (不建议到安全模式或听杀毒软件的提示什么重启后查杀,不要重启) 4.按路径找到病毒文件后,点击右键并选择unlocker,然后会跳出一个视窗,再点选「全部解锁」。
5. 再点右键会再次跳出一个窗口请求,这时选择unlocker把该文件删除!
6.最后开杀毒软件把剩余在清理一下 。
7.结束后下载超级兔子http://www.skycn.com/soft/2993.html
选择清理王-清理系统-清理注册表
(或者其它清理类的工具也可以,譬如Windows 优化大师、360安全卫士)
第四种:文件删除终结者 -- XDelBox
http://post.baidu.com/f?kz=158203765
1、dos级文件删除方式,打造病毒清除新模式;
2、无须进入安全模式,即可删除所有病毒文件;
3、支持一次重启批量删除多个文件;
4、复制路径的删除添加方式更适用于网络求助(支持拖曳);
下面说说一些清除这些杀软能查出来而不能杀的病毒的方法:
第一种:IceSword(冰刃)
按杀毒软件提供的路径,记下来
1.下载冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件,下载解压缩后即可使用;
2.如果杀软提供的病毒文件是个dll文件。点击左侧的“进程” 逐个右击右侧的进程--模块信息,仔细查看这个dll到底对哪些进程进行了插入(特别是那些系统进程),尝试用右侧的“强制解除”试试,能不能将这个dll文件从进程中解除出来(可能会碰上在某个进程中强制解除时机器会重启的现象,如果出现这种情况,看下面第2种方法);
如果杀软提供的是一个非dll文件,则直接执行第3步;
3.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件(木马文件一般在system32下,也有驱动型木马文件是在Windows/system32/drivers这个文件夹下,这样的病毒文件一般是sys后缀的);
4.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。
如果是驱动型木马,你可能还需要到system32这个文件夹下去查看有没有与这个病毒文件同名的或创建时间上是一致的dll文件。有许多朋友在清理这一类病毒时说已经按照这个方法清理过了,但怎么还是重启后又会有了,问题多半是在这里。找到后用同样的方法处理;
4.在开始--运行里输入regedit打开注册表,搜索注册表里这些文件的键值,删除搜索到的。
5.重启电脑,这个东西应该能清除干净了。
第二种:还是这个软件,针对第一种在“进程”中删除病毒模块时可能引起系统重启的情况的
1.使用冰刃,点“文件”,“设置”,选中“禁止进线程创建、禁止协议功能”。
2.打开“进程”找到不正常的进程项目,鼠标右键点击选中“模块信息”打开察看加载的.dll模块情况!
3.找到病毒模块.dll文件,点“卸载”或“强制解除”!(一般情况主流杀软提供了病毒模块的名字)
4.点“进程”找到病毒文件进程,点鼠标右键点“结束进程”此时病毒进程就彻底结束了。(但是如果是系统关键进程不要操作这一步,不然系统会重启)
5.再点“文件”,“设置”,取消“禁止进线程创建、禁止协议功能”不然其他程序无法运行!
6.点左下角“文件”,逐步按病毒路径查找到病毒文件 点鼠标右键点“删除”。
7.在删除病毒文件后,在原处建立一个同名带扩展名的文件夹,因为电脑的任何操作系统都不允许同名的文件和文件夹存在,这样可以防止重启后病毒文件的自我修复,为保万无一失和防止以后的复发,通常都做一个文件夹放在那里。(可以忽略!)
8.现在处理注册表,在开始——运行中输入regedit按CTRL+F查找被删除的病毒文件的名字把查到的值删掉再按F3查;直到把所有的值都删完!
第三种:Unlocker(http://www.onlinedown.net/soft/24732.htm)
1.先安装这个软件,她的作用是可以让感染病毒的文件与其他程序脱离关系即全部解除。
2.安装完成后,萤幕右下角会有一个仙女棒图示。
3.记下杀毒软件查杀到的病毒文件的路径 (不建议到安全模式或听杀毒软件的提示什么重启后查杀,不要重启) 4.按路径找到病毒文件后,点击右键并选择unlocker,然后会跳出一个视窗,再点选「全部解锁」。
5. 再点右键会再次跳出一个窗口请求,这时选择unlocker把该文件删除!
6.最后开杀毒软件把剩余在清理一下 。
7.结束后下载超级兔子http://www.skycn.com/soft/2993.html
选择清理王-清理系统-清理注册表
(或者其它清理类的工具也可以,譬如Windows 优化大师、360安全卫士)
第四种:文件删除终结者 -- XDelBox
http://post.baidu.com/f?kz=158203765
1、dos级文件删除方式,打造病毒清除新模式;
2、无须进入安全模式,即可删除所有病毒文件;
3、支持一次重启批量删除多个文件;
4、复制路径的删除添加方式更适用于网络求助(支持拖曳);
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
一般这样的病毒,杀毒软件都会报一个.sys的文件为病毒文件的。
删除*.sys文件
这种文件一般是驱动文件,如果杀软报为病毒的话,一般杀软是处理不了的!
你可以用这个软件到安全模式下去处理试试:
按杀毒软件提供的路径,记下来 (这种类型的病毒,杀软查杀时一般会报Windows/system32/drivers文件夹下的一个****.sys文件是病毒文件的)
1.下载一个软件:冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件,下载解压缩后即可使用。
2.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件。
3.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。用同样的方法排查下system32文件夹,看看有没有同名或创建日期一致的.dll文件存在,有的话,一并删除。
4.搜索注册表里这个文件的键值,删除搜索到的--如果有的话。
如果在system32文件夹下搜索到有.dll文件并且也删除了,在注册表中也搜索一下,看看有没有相关的键值,有的话也删除它。
5.重启电脑,这个东西应该清除干净了。
特别要注意第3步,搜索下System32这个文件夹下是否存在同名或同时间创建的dll文件。
删除*.sys文件
这种文件一般是驱动文件,如果杀软报为病毒的话,一般杀软是处理不了的!
你可以用这个软件到安全模式下去处理试试:
按杀毒软件提供的路径,记下来 (这种类型的病毒,杀软查杀时一般会报Windows/system32/drivers文件夹下的一个****.sys文件是病毒文件的)
1.下载一个软件:冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件,下载解压缩后即可使用。
2.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件。
3.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。用同样的方法排查下system32文件夹,看看有没有同名或创建日期一致的.dll文件存在,有的话,一并删除。
4.搜索注册表里这个文件的键值,删除搜索到的--如果有的话。
如果在system32文件夹下搜索到有.dll文件并且也删除了,在注册表中也搜索一下,看看有没有相关的键值,有的话也删除它。
5.重启电脑,这个东西应该清除干净了。
特别要注意第3步,搜索下System32这个文件夹下是否存在同名或同时间创建的dll文件。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
删除*.sys文件
这种文件一般是驱动文件,如果杀软报为病毒的话,一般杀软是处理不了的!
你可以用这个软件到安全模式下去处理试试:
按杀毒软件提供的路径,记下来 (这种类型的病毒,杀软查杀时一般会报Windows/system32/drivers文件夹下的一个****.sys文件是病毒文件的)
1.下载一个软件:冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件,下载解压缩后即可使用。
2.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件。
3.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。用同样的方法排查下system32文件夹,看看有没有同名或创建日期一致的.dll文件存在,有的话,一并删除。
4.搜索注册表里这个文件的键值,删除搜索到的--如果有的话。
如果在system32文件夹下搜索到有.dll文件并且也删除了,在注册表中也搜索一下,看看有没有相关的键值,有的话也删除它。
5.重启电脑,这个东西应该清除干净了。
特别要注意第3步,搜索下System32这个文件夹下是否存在同名或同时间创建的dll文件。
这种文件一般是驱动文件,如果杀软报为病毒的话,一般杀软是处理不了的!
你可以用这个软件到安全模式下去处理试试:
按杀毒软件提供的路径,记下来 (这种类型的病毒,杀软查杀时一般会报Windows/system32/drivers文件夹下的一个****.sys文件是病毒文件的)
1.下载一个软件:冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件,下载解压缩后即可使用。
2.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下,找到这个文件。
3.通过按钮“创建时间”对这个文件夹下的文件进行排序,仔细查看与这个文件在创建时间是同一天的所有文件(但是不是都是与它一样是病毒文件,需要你判断)。右击它们一一删除。用同样的方法排查下system32文件夹,看看有没有同名或创建日期一致的.dll文件存在,有的话,一并删除。
4.搜索注册表里这个文件的键值,删除搜索到的--如果有的话。
如果在system32文件夹下搜索到有.dll文件并且也删除了,在注册表中也搜索一下,看看有没有相关的键值,有的话也删除它。
5.重启电脑,这个东西应该清除干净了。
特别要注意第3步,搜索下System32这个文件夹下是否存在同名或同时间创建的dll文件。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
展开全部
方案一:
1、安装AVG Anti-Spyware V7.5.0.50.exe;(注:安装前一定要先断开网络!)
2、安装程序,选择英文,安装完成后不要运行程序,即使运行了,都要全部退出来
3、将破解补丁中的AVG_Anti_Spyware_v75_PROPER_Patcher复制到AVG Anti-Spyware 7.5中,运行AVG_Anti_Spyware_v75_PROPER_Patcher后点击patch,显示“patch was successful”,OK!至此,您已经完成了AVG anti-spyware永久加强版的安装,您的AVG anti-spyware将会永久自动更新,并拥有实时监控功能。
4、将汉化包中的chinese.mo复制到AVG Anti-Spyware 7.5\Translations文件夹中,将汉化包中的lang复制到AVG Anti-Spyware 7.5\中,覆盖原lang文件;
切记:一定不要输入任何注册码!整个安装和破解时都要在断开网络中进行,一次不成功的话..请删除再试一次或几次........
方案二、
激活码:75SP-TH1VD1-P09-C01-S30MUE-NNK-I1X8
方案三、
AVG注册机下载地址(头一个就是)
http://www.bebecu.com/html/200703/n17124.html
final:
个人建议就不要用什么杀毒软件,首先影响速度,其次,个人电脑上一般也不会有什么信息损失了会带来不可挽回的后果。我就是裸机,重要的是自己平时防护,杀毒只是个治疗过程,况且还不一定真的能药到病除,最好的杀毒方式是手杀。用几种专业而小型的软件查查毒,就可以了。发现了以后去杀把。
机器不正常时自己去找找。
一台机器上我觉得更本没有必要装这么多大型的杀毒系列。卡吧本来就很占资源、又和系统粘的这么牢。还容易乱杀,一直都不喜欢他。AVG么,杀毒模式和卡吧一样的,真要装还不如用一个AVG或者卡吧+macfee,起码macfee的杀毒模式是行为杀毒,但是起码你可以知道还有哪些病毒潜伏在你的电脑里。
1、安装AVG Anti-Spyware V7.5.0.50.exe;(注:安装前一定要先断开网络!)
2、安装程序,选择英文,安装完成后不要运行程序,即使运行了,都要全部退出来
3、将破解补丁中的AVG_Anti_Spyware_v75_PROPER_Patcher复制到AVG Anti-Spyware 7.5中,运行AVG_Anti_Spyware_v75_PROPER_Patcher后点击patch,显示“patch was successful”,OK!至此,您已经完成了AVG anti-spyware永久加强版的安装,您的AVG anti-spyware将会永久自动更新,并拥有实时监控功能。
4、将汉化包中的chinese.mo复制到AVG Anti-Spyware 7.5\Translations文件夹中,将汉化包中的lang复制到AVG Anti-Spyware 7.5\中,覆盖原lang文件;
切记:一定不要输入任何注册码!整个安装和破解时都要在断开网络中进行,一次不成功的话..请删除再试一次或几次........
方案二、
激活码:75SP-TH1VD1-P09-C01-S30MUE-NNK-I1X8
方案三、
AVG注册机下载地址(头一个就是)
http://www.bebecu.com/html/200703/n17124.html
final:
个人建议就不要用什么杀毒软件,首先影响速度,其次,个人电脑上一般也不会有什么信息损失了会带来不可挽回的后果。我就是裸机,重要的是自己平时防护,杀毒只是个治疗过程,况且还不一定真的能药到病除,最好的杀毒方式是手杀。用几种专业而小型的软件查查毒,就可以了。发现了以后去杀把。
机器不正常时自己去找找。
一台机器上我觉得更本没有必要装这么多大型的杀毒系列。卡吧本来就很占资源、又和系统粘的这么牢。还容易乱杀,一直都不喜欢他。AVG么,杀毒模式和卡吧一样的,真要装还不如用一个AVG或者卡吧+macfee,起码macfee的杀毒模式是行为杀毒,但是起码你可以知道还有哪些病毒潜伏在你的电脑里。
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
更多回答(28)
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询
