电脑里所有的EXE文件都感染了病毒,该怎么办?
1个回答
展开全部
分类: 电脑/网络 >> 反病毒
问题描述:
别说要把文件全删了,珍藏的东西多啊..55555
解析:
计算机被PWSteal.Lemir感染了,用Norton查杀成功,把病毒文件都删除了。但是出现了比较严重的问题,所有的EXE文件都无法执行了,包括Regedit在内。
类似的病毒和木马是很多的,它们的工作原理也很简单,把系统的EXE、TXT、DOC等等自己执行或者需要调用其它EXE文件的执行文件改为病毒文件本身,病毒文件执行以后再自行调入要执行的程序,给用户造成程序正常运行的假相,其实,这个时候病毒或者木马已经被载入内存并进行了相关的操作(再感染、复制、进程守护等等)。
现在的杀毒软件已经能够很好的识别出这类病毒的特征并正确查杀,但是对于已经被修改的系统并不能做到完全的恢复,由于被修改的注册表项往往与正常程序修改无异,杀毒软件也不可能轻易把用户注册表项恢复成什么状态,所以就遗留了很多不可知的“后遗症”。
那么如果解决上述或者类似的病毒遗留下来的问题呢?Regedit被禁用是一件很烦人的事,首先我们要确认.reg扩展的文件是不是也被修改了,要说明的是一般的病毒只会修改常用的扩展名执行程序,.reg并不常用,所以往往被病毒编写者们忽略了。
由于所有的EXE文件都不能被执行的原因,就是下面的注册表项中的某一项或是几项被更改了:
QUOTE
HKEY_CLASSES_ROOT\.exe
HKEY_CLASSES_ROOT\exefile
HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload
所以这时候如果reg文件可以正常导入,我们只要从其它正常的系统里把这些项目导出成reg文件,再在感染病毒的机器上恢复就可以了。这里也给出一个正确的reg文件作参考,这套注册表文件是从Windows XP/2003中导出的:
QUOTE
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"
[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
[HKEY_CLASSES_ROOT\exefile]
@="应用程序"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"
[HKEY_CLASSES_ROOT\exefile\shell]
[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\exefile\shell\open\mand]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runas]
[HKEY_CLASSES_ROOT\exefile\shell\runas\mand]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shellex]
[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
@=""
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
问题描述:
别说要把文件全删了,珍藏的东西多啊..55555
解析:
计算机被PWSteal.Lemir感染了,用Norton查杀成功,把病毒文件都删除了。但是出现了比较严重的问题,所有的EXE文件都无法执行了,包括Regedit在内。
类似的病毒和木马是很多的,它们的工作原理也很简单,把系统的EXE、TXT、DOC等等自己执行或者需要调用其它EXE文件的执行文件改为病毒文件本身,病毒文件执行以后再自行调入要执行的程序,给用户造成程序正常运行的假相,其实,这个时候病毒或者木马已经被载入内存并进行了相关的操作(再感染、复制、进程守护等等)。
现在的杀毒软件已经能够很好的识别出这类病毒的特征并正确查杀,但是对于已经被修改的系统并不能做到完全的恢复,由于被修改的注册表项往往与正常程序修改无异,杀毒软件也不可能轻易把用户注册表项恢复成什么状态,所以就遗留了很多不可知的“后遗症”。
那么如果解决上述或者类似的病毒遗留下来的问题呢?Regedit被禁用是一件很烦人的事,首先我们要确认.reg扩展的文件是不是也被修改了,要说明的是一般的病毒只会修改常用的扩展名执行程序,.reg并不常用,所以往往被病毒编写者们忽略了。
由于所有的EXE文件都不能被执行的原因,就是下面的注册表项中的某一项或是几项被更改了:
QUOTE
HKEY_CLASSES_ROOT\.exe
HKEY_CLASSES_ROOT\exefile
HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload
所以这时候如果reg文件可以正常导入,我们只要从其它正常的系统里把这些项目导出成reg文件,再在感染病毒的机器上恢复就可以了。这里也给出一个正确的reg文件作参考,这套注册表文件是从Windows XP/2003中导出的:
QUOTE
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT\.exe]
@="exefile"
"Content Type"="application/x-msdownload"
[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
[HKEY_CLASSES_ROOT\exefile]
@="应用程序"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"
[HKEY_CLASSES_ROOT\exefile\DefaultIcon]
@="%1"
[HKEY_CLASSES_ROOT\exefile\shell]
[HKEY_CLASSES_ROOT\exefile\shell\open]
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOT\exefile\shell\open\mand]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\runas]
[HKEY_CLASSES_ROOT\exefile\shell\runas\mand]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shellex]
[HKEY_CLASSES_ROOT\exefile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers]
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"
[HKEY_CLASSES_ROOT\exefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA}]
@=""
[HKEY_CLASSES_ROOT\PROTOCOLS\Filter\application/x-msdownload]
"CLSID"="{1E66F26B-79EE-11D2-8710-00C04F79ED0D}"
已赞过
已踩过<
评论
收起
你对这个回答的评价是?
推荐律师服务:
若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询