病毒木馬入侵后主要人工查殺步驟
[重要通告]如您遇疑難雜癥,本站支持知識付費業(yè)務,掃右邊二維碼加博主微信,可節(jié)省您寶貴時間哦!
在計算機啟動時,按F8鍵,會出現系統(tǒng)啟動菜單,從中可選擇進入安全模式。
2.將計算機與網絡斷開,防止黑客通過網絡繼續(xù)對你進行攻擊。
3.顯示所有文件和文件夾(包括隱含文件和系統(tǒng)保護文件)
4.禁用系統(tǒng)還原
右鍵“我的電腦”→系統(tǒng)屬性→“在所有驅動器上關閉系統(tǒng)還原”前打上勾→應用(釋放硬盤空間、該空間有可能受到病毒攻擊)
5.刪除病毒/木馬程序的自啟動項
打開注冊表編輯器:開始→運行→輸入:regedit→確定
查找自啟動項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\文件夾下的三個子件夾
Run
RunOnce
Runservices
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\文件夾下的三個子件夾:
Run
RunOnce
打開系統(tǒng)配置實用程序:開始→運行→輸入:msconfig→確定
(如果Windows2000無此文件,可運行共享文件夾中的msconfig.exe) Fom)
檢查:win.ini、system.ini啟動配置文件中的加載項
win.ini的字段中
run=
load=
一般情況下“=”后面是空白的,如果有后跟程序,如:
run=c:\windows\file.exe
load=c:\windows\file.exe
其中的file.exe很可能是病毒
system.ini的字段中
shell= explorer.exe file.exe
一般情況下“explorer.exe”后面是空白的,如果有后跟程序,如:
shell= explorer.exe file.exe
其中的file.exe很可能是病毒 4)
system.ini的[386Enh]、、、字段中
driver=“路徑\程序名”
檢查其它啟動配置文件、初始化文件、系統(tǒng)配置文件中的加載項:
winint.ini:多用于安裝
winstart.bat:由應用程序、Windows自動生成、Win.com加截多數驅動程序后產生,與Autoexec.bat功能相同。
autoexec.bat(一般為隱含屬性,掌握對隱含屬性文件的搜索)
config.sys(同上)
檢查啟動組:開始→程序→啟動,其中的啟動項內容。
對應注冊表中的位置:
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell Folders Startup
人工查殺步驟:先殺進程、再刪除病毒文件、最后修復注冊表。 j'fP#d%2T1注冊表或進程表中發(fā)現了病毒,先在進程表中殺進程
打開任務管理器,找到病毒程序的進程,終止運行。
如果不能終止,可運行其它監(jiān)視進程的工具軟件進行終止。
如果仍然不能終止只能重啟后進入安全模式,并斷開與網絡的連接。
在DOS窗口中刪除病毒文件,也可在資源管理器中刪除,但病毒可能會自行恢復。
重啟后回到注冊表搜索、刪除全部病毒的殘余信息,尤其是啟動項中的信息。
問題未解決?付費解決問題加Q或微信 2589053300 (即Q號又微信號)右上方掃一掃可加博主微信
所寫所說,是心之所感,思之所悟,行之所得;文當無敷衍,落筆求簡潔。 以所舍,求所獲;有所依,方所成!