pagefile.pifcommand.com病毒查杀方法 篇一
针对WINLOGON系列木马的批处理(D盘根目录下出现pagefile.pif或
这个系列的木马闹了好长时间了,可似乎还没有折腾够,变种很多,从开始的红底黑色龙头图案(据说是网游传世的图标)到后来的征途图标,显著的外在特征为:在D盘根目录下生成pagefile.pif文件或者文件,删除了一会后再回来,启动项删除后会自动恢复。由于修改了不少文件关联,在处理上有一定的难度,远程了几个,感觉很头疼,于是有了写个批处理的念头。设想起来简单,可实现起来远不是那么容易了。由于REG_EXPAND_SZ的数据类型要换算成2进制,增加了不少的工作量和一定的难度。因此,现在这个版本仅支持安装在C盘或D盘下的XP操作系统,谢谢风乱舞的帮忙以及他提供的系统优化程序,还有海色の月和艾玛,
好了,不多说了,下面说下处理办法:
首先运行Procexp,结束WINLOGON进程(killprocess),注意下图标,与系统进程不一样。
将进程结束后,运行WINLOGON.bat(需要事先下载下来,建议直接放在桌面上,以免打开我的电脑时再次激活病毒),按照提示操作即可。依次进行的是去掉文件srh属性,删除文件,修复注册表信息。在后面提供了风乱舞的系统优化功能,可以根据个人喜好选择是否优化。
需要做以下几点说明:
1、该批处理只适用于安装在C盘或D盘下XP操作系统。
2、这不是杀毒软件,只是我个人针对该病毒及其系列变种采取应对措施,不能保证完无一失。因此,请做好系统备份,对此产生的后果我不负任何责任。(不过出事的几率好象不大)
3、批处理同样适用用于杀软清除病毒后的注册表修复。
上网 手动查杀电脑病毒的基本方法病毒防治 篇二
你的电脑安全吗?你的电脑可以防黑吗?
我现在就跟大家说说手动杀毒的几个常用的方法,你也许会说现在的杀毒软件那么多啊,为什么我们还要学习用手动来杀毒呢?你想想病毒的产生肯定是比你的杀毒软件的升级快很多的,既然是那个样子的话,我们学习手动杀毒就对我们很有帮助,也可以让我们更加熟悉计算机的进程以及对我们将来学习更多的计算机技术打下很好的基础。费话多说了,现在我们开始。因为我使用的是XP操作系统,那这里就以XP的版本先给大家讲解一下。
首先,对于自己的计算机要有洞悉力,说得通俗点就是如果发现什么不对的就要考虑下是什么原因了。因为是讲手工杀毒那就先讲中毒的几个特别征兆,例如:你的电脑在上网的时候自己会打开不知名的网站(恶意代码也是会这样的啊,我们也把它暂时当病毒吧);你的电脑的速度变得很慢很慢,特别是开机的时候要很久;你的电脑文件有的开不了;有时候点一个陌生的文件突然一闪而过;有时候总跳出非法操作……可以说你觉得很可疑的时候,都可能是中了病毒。那么我们就要找到病毒。
1.找到病毒
进程法:有的病毒在热启动(CTRL+ALT+DEL)就可以看出来,它们总是想隐藏自己成为系统里面的特殊文件,仔细看就可以看出猫腻了。什么把l(字母)写成1(数字)啦,把O(字母)变成了0的啊,更好笑的是连大小写都出来了,其实只要认真看问题就简单。如果你对进程不是很了解的话,建议把它名字记下来去百度找找,应该可以找到答案。特别要注意的是你在用热启动的时候,最好不要开任何文件和软件,这样比较好辨认。
启动法:现在的病毒和木马都会自己随系统而启动,那么我们就可以根据这个把它找到。开始――运行――输入msconfig在启动选项就可以看到启动的项目和命令还有位置,把你觉得十分可疑的前面的沟去掉就可以了。记下那些可疑的启动项命令的地址,将来杀的时候能够用到。这样可就看到病毒了,也可以在运行里面输入regedit(注册表),HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion的RunOnce,还有RunServices和Run,还有另外一个HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion的RunOnce,以及RunServices和Run的可疑的启动文件都删就好。
文件法:这个比较难麻烦,一步步来就好。我们先打开“我的电脑”工具栏里面的“工具选项”――“查看”――“隐藏受保护的操作系统文件(推荐)”的勾去掉,选择显示所有文件和文件夹,去以下的文件夹看看有没有可疑的文件。
(系统盘用X:/表示)
X:/
X:/WINOWS
X:/WINDOWS/SYSTEM32
X:/WINDOWS/SYSTEM
X:/Program Files/Internet Explorer
X:/windows/Temporary Internet Files/Temporary Internet Files
X:/temp 还有X:/winows/temp
X:/Documents and Settings/Administrator/Templates
x:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files
X:/Documents and Settings/Administrator/Local Settings/Temp
还有各个分区的这些文件夹里面都是病毒常常光顾的地方,
有的文件很多,象SYSTEM32就有几百个,怎么找呢?建议使用右键排列图标――修改时间,这样就快很多了。
系统编辑器法:运行――sysedit看有没有可疑的文件,可是这个最好不要乱修改(比较危险),不确定的话还是去搜索下比较好。
2.杀毒
前面说了几种的找毒的方法,根据上面的话,我们就可以知道病毒的名称和地址。那么还不开工,杀毒最好是在断网和在安全模式的时候,为什么呢?据说是在DOS下杀毒的时候最好,可是对于杀毒新手的话,我还是认为先从安全模式下杀比较好,有GUI(图形系统)比那黑白DOS强多了。开机――按F8进入安全模式,使用文件法的前几步使隐藏文件显示,进去我的电
关 键 字:病毒防治
手动清除木马的一般方法 篇三
首先,你有中了木马的迹象,你应该先看看你的启动组有哪些东西是自动加载的,木马肯定是在这里面的,发现陌生的的程序了?还不止一个?没关系,一个一个来,记下名字。
然后找个进程查看工具(为什么要看进程?木马从来都是没窗体的或隐藏的,但却逃不出进程查看器),xp/2000有自带的工具,ctrl+shift+esc呼出,98/me用windows优化大师的进程查看器。
找到进程后,先结束他的进程(不然程序在使用中怎么删得到?),然后再把自启动项删除(因为高级点的木马有保护功能,如多线裎木马)。再隔离该可疑程序。最后重起计算机。这步要一个一个的来,不然你怎么知道哪个是木马?但是如果你对自己的电脑很熟悉的话,一般一眼就能看出来哪些不是自己装的程序。
如果还是有中木马的迹象,重复上面的步骤。
如果已经知道木马程序的位置,那么先结束进程,然后删除启动项目,删除木马程序。重起。
看完后,你是不是觉得很简单,就那么几步? :)
############### windows9x/me 下的一些自启动方法#########
1. Autostart 文件
C:windowsstart menuprogramsstartup {chinese/english}
在注册表中的位置: HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionExplorerShell
Folders Startup=“C:windowsstart menuprogramsstartup”
所以它将很容易被程序更改
2. Win.ini
[windows]
load=file.exe
run=file.exe
3. System.ini [boot]
Shell=Explorer.exe file.exe
4. c:windowswinstart.bat
看似平常,但每次都重新启动
5. Registry键
[HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRunServices]
[HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRunServicesOnce]
[HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_LOCAL_MACHINE SoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRun]
[HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRunOnce]
[HKEY_CURRENT_USER SoftwareMicrosoftWindowsCurrentVersionRunServices]
6. c:windowswininit.ini
一旦运行就被windows删除,安装的setup程序常用
Example: (content of wininit.ini)
[Rename]
NUL=c:windowspicture.exe
例子:将c:windowspicture.exe设置为NUL, 表示删除它,完全隐蔽的执行!
adware病毒查杀方法 篇四
首先用360查杀,当然360是杀不掉的,因为每一次点击清除,重启机器后马上会自动生成,它只能提示你病毒在哪个地方,根据这个路径找到病毒在哪个地方,一般在system32里面,然后到病毒所在的位置,使用unlocker强行删除。然后到注册表里搜索,病毒的名字,见一个删除一个,当然有几个会删除不掉,不过不会影响的,然后到注册表里有一个run的开机启动的哪个东西也删除掉,最后使用金山清理专家,再查杀一遍,会告诉你有一个木马需要清除掉,清除一下就OK了,
我就是这样做的机器OK了
对于杀不掉的病毒:关闭所有盘系统还原(右键我的电脑,属性),清空IE缓存(右键IE图标,属性里,勾选清除所有脱机内容),进安全模式(开机连续点F8,选择安全模式,进入,再杀一遍吧。一般可以了
建议配合金山清理专家查找可疑的启动项,及修复系统。
病毒文件可以使用他的文件粉碎功能
手动查杀病毒和木马的通用方法 篇五
首先也是最重要的,重新启动电脑到安全模式下,让所有文件都可见。
然后进入到C:看看根目录是否存在不熟悉的文件,如果有,且日期为发现中毒现象当天,则删除之。
接着到c:windows,首先按照修改时间顺序排列图标,查看最下面的文件,如果发现有当天新建的文件,且为没有见过的删除之。
再进system32 同样按照修改时间顺序排列图标,查看最下面的文件,如果发现有当天新建的文件,且扩展名明显有问题的,比如“””,别给它骗了,扩展名不对,又是当天新建的文件,肯定有鬼,删除之。
再看看system32这儿有没有当天新建的文件夹,如果有且为不熟悉,同样删除之。
退出到program files这个目录里,按照上面的方法进行查看。还需要查看的地方有IE文件夹(一定要进去看一看,这儿常常有问题)、common files文件夹。
最后,查看注册表的启动项,如果有多于的那么一定就是有问题的了,删除之。
最后清空临时文件夹(可以使用超级兔子一类的工具,如果没有可以暂时使用ACDSee进行浏览,然后手动清空)。
重启电脑,如果系统提示找不到文件,那么可能是注册表还有被改的地方,按照提示对注册表进行修改。
这些就是查杀病毒木马的一个通用的步骤了,当然有些病毒木马还会在其他盘下作怪,甚至破坏诸如。exe一类的文件,这些就需要进一步的清理和恢复工作了。
技巧 手动查杀病毒和木马的通用方法 篇六
首先也是最重要的,重新启动电脑到安全模式下,让所有文件都可见,
技巧 手动查杀病毒和木马的通用方法
。
然后进入到C:看看根目录是否存在不熟悉的文件,如果有,且日期为发现中毒现象当天,则删除之。
接着到c:windows,首先按照修改时间顺序排列图标,查看最下面的文件,如果发现有当天新建的文件,且为没有见过的删除之。
再进system32 同样按照修改时间顺序排列图标,查看最下面的文件,如果发现有当天新建的文件,且扩展名明显有问题的,比如“””,别给它骗了,扩展名不对,又是当天新建的文件,肯定有鬼,删除之。
再看看system32这儿有没有当天新建的文件夹,如果有且为不熟悉,同样删除之,
《技巧 手动查杀病毒和木马的通用方法》()。
退出到program files这个目录里,按照上面的方法进行查看。还需要查看的地方有IE文件夹(一定要进去看一看,这儿常常有问题)、common files文件夹。
最后,查看注册表的启动项,如果有多于的那么一定就是有问题的了,删除之。
最后清空临时文件夹(可以使用超级兔子一类的工具,如果没有可以暂时使用ACDSee进行浏览,然后手动清空)。
重启电脑,如果系统提示找不到文件,那么可能是注册表还有被改的地方,按照提示对注册表进行修改。
这些就是查杀病毒木马的一个通用的步骤了,当然有些病毒木马还会在其他盘下作怪,甚至破坏诸如。exe一类的文件,这些就需要进一步的清理和恢复工作了。
如何查杀木马 篇七
一、发现木马
那天笔者下网后在打开一个纯文本文件的时候,Norton突然报告发现病毒,拒绝访问该文件(图1),纯文本文件里怎么会有病毒?带毒的程序竟是E:WinNTSystem32oteped.exe。
“”看名字应该是一个木马,它居然能强行将TXT文件的打开方式与noteped.exe关联。右键单击任一文本文件打开属性窗口,从这里我们就可以清晰看到文件的打开方式已经变成了“noteped”,但只要Norton没有关闭,这类文件就无法打开。noteped.exe不就是记事本吗?
打开E:WinNTSystem32目录,赫然发现notepad.exe、noteped.exe两个程序并列在一起(图2),细看后才发觉它们有一字之差。于是笔者立刻将病毒库升级到最新,并对电√高考家长帮★www.kaoyantv.com√脑进行一次全面的查毒,结果在E:WinNTSystem32目录下还发现了三个病毒文件(Outlook.exe、Winet.exe、Explorer.exe),
用Norton查杀该木马时,提示无法删除或隔离它们,看来只有靠自己了。为了看看木马还有没有漏网的同伙,笔者以木马创建日期(.01.01)、文件大小(147Kb)为条件在电脑中又“搜索”了一遍,结果还是只有四个染毒文件。
进入E:WinNTSystem32找到这四个文件,立刻对它们实施“极刑”,不过系统提示“explorer.exe文件正在使用无法删除”,于是笔者按下“Ctrl+Alt+Del“打开任务管理器,查看进程竟然看到了两个explorer的进程(图3),其中肯定有一个是木马进程。它的进程路径应该为E:WinNTSystem32explorer.exe,而真正的桌面的进程路径为E:WinNTexplorer.exe。结束木马进程,顺利删除explorer.exe.。
由于noteped.exe被删除,TXT文件没有了应用程序关联,下面笔者就来进行恢复操作。打开“我的电脑→工具→文件夹选项→文件类型??如果没有TXT文件→新建→新建扩展名→输入‘txt’→确定→选中txt扩展名→更改→从列表中选择程序→记事本→确定”即可(如果列表中没有显示记事本,可浏览选中E??WinNTotepad.exe)。