打印本文 关闭窗口 |
手工清除恶意软件方法汇总 |
时间:2006/11/3 0:25:20 |
|
流氓软件如今可是人人喊打,这玩意儿虽说危害没有真正的病毒来得厉害,但也不可小视。小编家里笔记本安的是WIN 2000+SP 5,一时糊涂没安装防火墙就上网,刚上没3分钟,系统提醒安装了啥软件,我一看是恶意程序,想清除已经不可能了。我琢磨着重新启动电脑,安个兔子清除吧,谁知系统已经完蛋,不能启动了。 现在,大家遇到恶意软件后,更多的是想到用各种软件来清除,如超级兔子等,这类软件固然使用相当方便,但也有一定的问题。譬如你手头没有这样的软件咋办?或者软件不能启动,你又不能上网下载,这该又如何? 您还真别小看这些问题,小编就经常碰见,尤其是给朋友修电脑时更是家常便饭,并不是谁的电脑都像咱一样预备各种软件,有问题拿过来就用。经常是一看有毛病,手头却还没有相应的工具,那难受劲就别提了。 因此这里小编为大家介绍一些手动清理恶意软件的方法,其实这些现实中的方法在网上早就有了,但很多人不注意。希望您看到这篇文章后能够重视起来,关键是自己掌握方法最重要。 不过,小编这里先和大家说一下,以下方法基本是针对WINDOWS注册表的,其操作具有一定的危险性,请您务必注意注册表的备份和恢复。另外,目前一些恶意软件并不完全依靠注册表作恶,因此本方法未必完全管用,实际当中请您结合专用软件一起使用。 首先我们来介绍注册表的备份和恢复,以WIN 2000为例子,XP的方法和2000一样。 Windows 2000 将它的配置信息存储在名为注册表的数据库中,其中包含了每个计算机用户的配置文件,以及有关系统硬件、已安装的程序和属性设置等信息,Windows 2000 在运行过程中要一直引用这些信息。注册表是以二进制形式存储在硬盘上,错误地编辑注册表可能会严重损坏系统。所以,在更改注册表之前,强烈建议备份注册表信息。为了防止在修改注册表的时候发生致命错误,有必要了解一下注册表文件的备份和恢复方法。 除此之外,为了研究注册表的结构,还可以将注册表中的某一主键或子键保存为文本文件,或者打印出来,这项工作同样需要了解注册表文件的导入与导出方法。 一、完全备份/恢复注册表 如果要完全备份注册表,可以在注册表编辑器Regedit.exe中单击“注册表”菜单下的“导出注册表文件”命令,并选择导出范围为“全部”,将注册表文件(*.reg)保存在硬盘上即可。要完全还原注册表的方法同上,只需要单击“注册表”菜单下的“导入注册表文件”命令,然后选择硬盘上相应的备份注册表文件即可。顺便提一下,Regedit.exe(16位的注册表编辑器)包含在 Windows 2000 中的主要原因是其搜索功能比较强,用户同样可以使用 Regedit.exe 更改注册表,但其功能不够全面(如无法设置注册表项的权限),可能无法正确查看或编辑个别数据类型。因此,建议只将 Regedit.exe 用于搜索及注册表的完全备份,在需要编辑注册表时,使用system32目录下的 Regedt32.exe(它是32位注册表编辑器,提供了一些高级功能,采用多窗口格式显示各预定义项,查看起来比较方便)。 二、部分备份注册表 如果只需要保存一个根键或者一个主键(子键)等一般的备份,在Regedt32中就可以比较方便地完成。首先选择要保存的主键或子键,然后再单击“注册表”菜单下“保存项”命令,在弹出的“保存项”对话框中输入要保存的注册表文件的文件名,扩展名建议使用“reg”,便于今后查找。 在保存某些主键或子键时,因为其使用的用户不同,或者是该主键或子键正在被系统使用,会出现禁止访问的警告:“权限不足,无法保存项”。这时系统管理员可以使用“安全”菜单下的“权限”命令,对这些主键或子键的用户赋予“完全控制”的权限,然后就可以保存该项了。 将注册表主键或子键保存为“项”文件,无法把文本编辑器打开查看,所以想研究注册表的结构的话,可以将注册表文件导出为文本文件,操作的方法是选择“注册表”菜单下“将子目录树另存为”命令,将其命名为扩展名为TXT的文件后,再单击“保存”按钮即可。以后我们就可以使用Windows的写字板或记事本来查看这个文本文件了。如果需要,也可以使用同一菜单下的“打印子目录树”命令来打印。 三、部分恢复/导入注册表 部分恢复/导入注册表有两种方法,第一种是还原“项”,即使用以前备份的注册表文件或其它注册表文件来覆盖现有的主键。首先在Regedt32注册表编辑器中,将光标移至要还原的主键上,再选择“注册表”菜单下的“还原”命令,并在“还原项”窗口中选择要还原的注册表文件,单击“打开”按钮,确认覆盖现有主键后,即可还原该项到当前选定的项上。注意:被选择还原的文件必须与注册表编辑器中所选择的主键内容吻合,即原先保存的注册表“项”只能还原到原先的位置。 另外一种方法是加载配置单元。“加载配置单元”和“卸载配置单元”。这两个命令只有在[HKEY_USERS]或[HKEY_LOCAL_MACHINE]这两个预定义项窗口中才有效,将配置单元加载到注册表中后,配置单元成为其中一个项的子项。具体做法是在Regedt32注册表编辑器中,先用鼠标选择上述两个预定义项中的一个主键,再选择“注册表”菜单下的“加载配置单元”命令,接着在“加载配置单元”对话框内选择要加载的注册表文件,单击“打开”按钮后出现“加载配置单元”对话框,在对话框的“项名称”文本框内输入新主键的名称,如“.ChenNai”,再单击“确定”按钮,这样你就发现在当前主键的下面出现了一个新的主键(.ChenNai)。如果要卸载该配置单元,也很简单,选中该主键后,选择“注册表”菜单下“卸载配置单元”命令即可。 上述两种方法的不同之处在于“加载配置单元”引入的主键可以是注册表内原先没有的内容。 最后说一下,Windows 2000中注册表文件的位置,同Windows 9X一样,Windows 2000的注册表也分为两个部分,但包括多个文件,其中用户配置文件保存在根目录“Documents and Settings”下用户名的目录中,包括两个隐藏文件:NTUSER.DAT、NTUSER.INI及ntuser.dat.LOG日志文件。系统配置文件位于Windows 2000系统目录下的“SYSTEM32 \CONFIG”中,包括DEFAULT、SOFTWARE、SYSTEM、AppEvent.Evt、SecEvent.Evt、SysEvent.Evt等多个隐藏文件及其相应的.LOG(日志)文件和.SAV文件。这些注册表文件在Windows 2000运行时无法使用其它工具打开,这一点与Windows 9X下的system.dat及user.dat不同。 如何清除每次开机时自动弹出的网页 其实清除每次开机时自动弹出的网页方法并不难,只要你记住地址栏里出现的网址,然后打开注册表编辑器(方法是在点击“开始”菜单,之后点击“运行”,在运行框中输入regedit命令进入注册表编辑器),分别定位到: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Run和HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Runonce下,看看在该子项下是否有一个以这个网址为值的值项,如果有的话,就将其删除,之后重新启动计算机。这样在下一次开机的时候就不再会有网页弹出来了。 不过网页恶意代码的编写者有时也是非常的狡猾,他会在注册表的不同键值中多处设有这个值项,这样上面提的方法也未必能完全解决问题。遇到这种情况,你可以在注册表编辑器的选项菜单里选择“编辑”→“查找”,在“查找”对话框内输入开机时自动打开的网址,然后点击“查找下一个”,将查找到的值项删除。另外,如果你是使用Windows 98的用户,可在“开始”菜单中的“运行”对话框内输入“msconfig”,点击确定,打开“系统配置实用程序”并打开“启动”选项卡,检查其中是否有非常可疑的启动项,如果有的话请将其禁用(在程序前的打上勾),然后重启机器就可以了。如果你所使用的是Windows NT/2000的用户,可以把Windows 98下的“系统配置实用程序”复制过来并运行进行查找清除。 IE标题栏被修改 在系统默认状态下,是由应用程序本身来提供标题栏的信息,但也允许用户自行在上述注册表项目中填加信息,而一些恶意的网站正是利用了这一点来得逞的:它们将串值Window Title下的键值改为其网站名或更多的广告信息,从而达到改变浏览者IE标题栏的目的。 具体说来受到更改的注册表项目为: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Internet Explorer \Main \Window Title HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Main \Window Title 解决办法: 1:在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键; 2:展开注册表到 HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Internet Explorer \Main下,在右半部分窗口中找到串值“Window Title” ,将该串值删除即可,或将Window Title的键值改为“IE浏览器”等你喜欢的名字; 3、同理,展开注册表到 HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Main 然后按2中所述方法处理。 4:退出注册表编辑器,重新启动计算机,运行IE,你会发现困扰你的问题被解决了! IE分级审查密码的清除 有很多用户在了解了IE分级审查的功能之后,都会设置IE分级审查密码,以使用自己的计算机利用分级系统来帮助控制在自己计算机上看到的Internet内容,过滤掉那些不健康的网页内容。 但密码记的过多或某一天忽然忘记了这个“不太起眼的”IE分级审查密码之后,随之而来的麻烦就来了,比如:上了一个网站,忽然在屏幕上显示一个密码提示框,要求输入IE分级审查密码,如果忘记了这个密码,那么在常规状态下是无法登录到这个网站的。怎么办?别急,请您利用下面介绍的方法来清除这个IE分级审查密码(清除之后您还可以再重新设置一个新的IE分级审查密码) 不知您对Windows注册表掌握多少,但不管您掌握多少都没关系,这里将详细的介绍如何打开注册表和清除注册表的键值的方法。 1.打开“开始”菜单,单击“运行”,在运行框中输入regedit命令(这是打开注册表编辑表的命令)。 2.在注册表编辑器中有五个主要的键值,请您按照下面顺序一步一步打开下面的文件(在所指的文件夹上双击或单击在文件夹前面的十字符号)。 3.具体顺序是: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Policies \Ratings 在您打到Ratings文件夹后会看到在右面的窗口中有key键值,直接在这个键上点右键,之后选删除,然后关闭注册表编辑器即可。 下面的这个图是最后一个文件夹及其右面的提示,只要将上面显示的key键删除也就可以清除IE分级审查的密码了。如图: 篡改IE的默认页 有些IE被改了起始页后,即使设置了“使用默认页”仍然无效,这是因为IE起始页的默认页也被篡改了。具体说就是以下注册表项被修改: HKEY_LOCAL_MACHINE \Software \Microsoft \Internet Explorer \Main \Default_Page_URL “Default_Page_URL”这个子键的键值即起始页的默认页。 解决办法: 运行注册表编辑器,然后展开上述子键,将“Default_Page_URL”子键的键值中的那些篡改网站的网址改掉就行了,或者将其设置为IE的默认值。 修改IE浏览器缺省主页,并且锁定设置项,禁止用户更改 主要是修改了注册表中IE设置的下面这些键值(DWORD值为1时为不可选): HKEY_CURRENT_USER \Software \Policies \Microsoft \Internet Explorer \Control Panel "Settings"=dword:1 HKEY_CURRENT_USER \Software \Policies \Microsoft \Internet Explorer \Control Panel "Links"=dword:1 HKEY_CURRENT_USER \Software \Policies \Microsoft \Internet Explorer \Control Panel "SecAddSites"=dword:1 解决办法: 将上面这些DWORD值改为“0”即可恢复功能。 IE的默认首页灰色按扭不可选 这是由于注册表HKEY_USERS \DEFAULT \Software \Policies \Microsoft \Internet Explorer \Control Panel 下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”,被修改后为“1”(即为灰色不可选状态)。 解决办法: 将“homepage”的键值改为“0”即可。 IE右键菜单被修改 受到修改的注册表项目为: HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \MenuExt 下被新建了网页的广告信息,并由此在IE右键菜单中出现! 解决办法: 打开注册标编辑器,找到 HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \MenuExt删除相关的广告条文即可,注意不要把下载软件FlashGet和Netants也删除掉,这两个可是“正常”的,除非你不想在IE的右键菜单中见到它们。 IE默认搜索引擎被修改 在IE浏览器的工具栏中有一个搜索引擎的工具按钮,可以实现网络搜索,被篡改后只要点击那个搜索工具按钮就会链接到那个篡改网站。出现这种现象的原因是以下注册表被修改 HKEY_LOCAL_MACHINE \Software \Microsoft \Internet Explorer \Search \CustomizeSearch HKEY_LOCAL_MACHINE \Software \Microsoft \Internet Explorer \Search \SearchAssistant 解决办法: 运行注册表编辑器,依次展开上述子键,将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。 查看“源文件”菜单被禁用 在IE窗口中点击“查看”→“源文件”,发现“源文件”菜单已经被禁用。 恶意网页修改了注册表,具体的位置为: 在注册表 HKEY_CURRENT_USER \Software \Policies \Microsoft \Internet Explorer 下建立子键“Restrictions”,然后在“Restrictions”下面建立两个DWORD值: “NoViewSource”和“NoBrowserContextMenu”,并为这两个DWORD值赋值为“1”。 在注册表HKEY_USERS \.DEFAULT \Software \Policies \Microsoft \Internet Explorer \Restrictions下,将两个DWORD值:“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。 通过上面这些键值的修改就达到了在IE中使鼠标右键失效,使“查看”菜单中的“源文件”被禁用的目的。 解决办法: 将以下内容另存为后缀名为.reg的注册表文件,比如说unlock.reg,双击unlock.reg导入注册表,不用重启电脑,重新运行IE就会发现IE的功能恢复正常了。 REGEDIT4 HKEY_CURRENT_USER \Software \Policies \Microsoft \Internet Explorer \Restrictions “NoViewSource”=dword:00000000 "NoBrowserContextMenu"=dword:00000000 HKEY_USERS \.DEFAULT \Software \Policies \Microsoft \Internet Explorer \Restrictions “NoViewSource”=dword:00000000 “NoBrowserContextMenu”=dword:00000000 系统启动时弹出对话框 受到更改的注册表项目为: HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Winlogon 在其下被建立了字符串“LegalNoticeCaption”和“LegalNoticeText”,其中“LegalNoticeCaption”是提示框的标题,“LegalNoticeText”是提示框的文本内容。由于它们的存在,就使得我们每次登陆到Windwos桌面前都出现一个提示窗口,显示那些网页的广告信息! 解决办法: 打开注册表编辑器,找到 HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Winlogon 这一个主键,然后在右边窗口中找到“LegalNoticeCaption”和“LegalNoticeText”这两个字符串,删除这两个字符串就可以解决在登陆时出现提示框的现象了。 IE默认连接首页被修改 IE浏览器上方的标题栏被改成“欢迎访问……网站”的样式,这是最常见的篡改手段,受害者众多。 受到更改的注册表项目为: HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Internet Explorer \Main \Start Page HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Main \Start Page 通过修改“Start Page”的键值,来达到修改浏览者IE默认连接首页的目的,如浏览“万花谷”就会将你的IE默认连接首页修改为“http://on888.home.chinaren.com ”,即便是出于给自己的主页做广告的目的,也显得太霸道了一些,这也是这类网页惹人厌恶的原因。 解决办法: 1:在Windows启动后,点击“开始”→“运行”菜单项,在“打开”栏中键入regedit,然后按“确定”键; 2:展开注册表到HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Internet Explorer \Main下,在右半部分窗口中找到串值“Start Page”双击 ,将Start Page的键值改为“about:blank”即可; 3:同理,展开注册表到HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \Main在右半部分窗口中找到串值“Start Page”,然后按2中所述方法处理。 4:退出注册表编辑器,重新启动计算机,一切OK了! 特殊例子: 当IE的起始页变成了某些网址后,就算你通过选项设置修改好了,重启以后又会变成他们的网址啦,十分的难缠。其实他们是在你机器里加了一个自运行程序,它会在系统启动时将你的IE起始页设成他们的网站。 解决办法: 运行注册表编辑器regedit.exe,然后依次展开 HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \Current Version \Run 主键,然后将其下的registry.exe子键删除,然后删除自运行程序c: \Program Files \registry.exe,最后从IE选项中重新设置起始页。 IE中鼠标右键失效 浏览网页后在IE中鼠标右键失效,点击右键没有任何反应! 有的网络流氓为了达到其恶意宣传的目的,将你的右键弹出的功能菜单进行了修改,并且加入了一些乱七八糟的东西,甚至为了禁止你下载,将IE窗口中单击右键的功能都屏蔽掉。 解决办法: 1.右键菜单被修改。打开注册表编辑器,找到HKEY_CURRENT_USER \Software \Microsoft \Internet Explorer \MenuExt,删除相关的广告条文。 2.右键功能失效。打开注册表编辑器,展开到HKEY_CURRENT_USER \Software \Policies \Microsoft \Internet Explorer \Restrictions,将其DWORD值"NoBrowserContextMenu"的值改为0。 输入网站后突然跳转到恶意网站的解决方法 假设:打开IE。是空白页。。我输入了163.com,但是突然跳转到http://mypoisk.com/index.htm这个网站。。。那么按照以下方法解决: 1、首先用查找,输入Index.htm这个文件,就是你那个打开的网页,全部删除; 2、在运行里键入“regedit”打开后跟我做,一定要看清楚不然后果自负。 选择“HKEY_CURRENT_USER → Software → Micrsoft → Windows →CurrenVersion → Run”下删除右边有一项http://mypoisk.com/index.htm HKEY_CURRENT_USER→Software→Micrsoft→Internet Explorer→Main下,Default_Page_URL下的数值数据清空,Default_Search_URL下的数值数据清空,以下都是这样做只要有显示你的网站http://mypoisk.com/index.htm项的数值数据都清空. 还有,选择“HKEY_LOCAL_MACHINE→Software→Micrsoft→Internet Explorer→Main”下,把有http://mypoisk.com/index.htm项的数值数据清空。 清楚了。以上一定要照着做,不然注册表可能会出问题。 网页恶意代码的预防 1、要避免被网页恶意代码感染,首先关键是不要轻易去一些自己并不十分知晓的站点,尤其是一些看上去非常美丽诱人的网址更不要轻易进入 ,否则往往不经易间就会误入网页代码的圈套。 2、当运行IE时,点击“工具→Internet选项→安全→ Internet区域的安全级别”,把安全级别由“中”改为“高” 。 3 、因为这一类网页主要是含有恶意代码的ActiveX或Applet、 JavaSCRIPT的网页文件 ,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用ActiveX的网站无法浏览。 4、而对于使用Windows98的计算机用户,请打开 C: \WINDOWS \JAVA \Packages \CVLV1NBB.ZIP,把其中的“ActiveXComponent.class”删掉;对于使用Windows Me的计算机用户,请打开C: \WINDOWS \JAVA \Packages \5NZVFPF1.ZIP,把其中的“ActiveXComponent.class”删掉。 5、一定要在计算机上安装网络防火墙,并要时刻打开“实时监控功能”。 6、虽然经过上述的工作修改回了标题和默认连接首页,但如果以后某一天又一不小心进入这类网站就又得要麻烦了。这时你可以在IE浏览器中做一些设置以使之永远不能进入这类站点: 打开IE属性,点击“工具”→ “Internet选项 ”→“安全”→“受限站点”,一定要将“安全级别”定为“高”,再点击“站点”,在“将Web站点添加到区域中”添加自己不想去的网站网址,再点击“添加”,然后点击“应用”和“确定”即可正常浏览网页了。 7、设置注册表编辑器中的相关项值: (1)运行打开注册表编辑器命令regedit.exe进入注册表; (2)在HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \System下,增加名为DisableRegistryTools的DWORD值项,将其值改为“1”,即可禁止使用注册表编辑器命令regedit.exe。 因为特殊原因需要修改注册表,可应用如下解锁方法: 用记事本编辑一个任意名的.reg文件,其中的内容如下: REGEDIT4 HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \System "DisableRegistryTools"=dword:00000000 双击运行recover.reg即可。 修复被锁定的注册表 注册表被锁定这一招是比较恶毒的,它使普遍用户即使会简单修改注册表使其恢复的条件下,困难又多了一层。症状是在开始菜单中点击“运行”,在运行框中输入regedit命令时,注册表不能够使用,并发现系统提示你没有权限运行该程序,然后让你联系系统管理员。 这是由于注册表编辑器: HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \System下的DWORD值“DisableRegistryTools”被修改为“1”的缘故,将其键值恢复为“0”即可恢复注册表的使用。 解决办法: 可以自己动手制作一个解除注册表锁定的工具,就是用记事本编辑一个任意名字的.reg文件,比如recover.reg,内容如下: REGEDIT4 [HKEY_CURRENT_USER \Software \Microsoft \Windows \CurrentVersion \Policies \System] "DisableRegistryTools"=dword:00000000 要特别注意的是:如果你用这个方法制作解除注册表锁定的工具,一定要严格按照上面的书写格式进行,不能遗漏更不能修改(其实你只需将上述内容“复制”、“粘贴”到你机器记事本中即可);完成上述工作后,点击记事本的文件菜单中的“另存为”项,文件名可以随意,但文件扩展名必须为.reg(切记),然后点击“保存”。这样一个注册表解锁工具就制作完成了,之后你只须双击生成的工具图标,其会提示你是否将这个信息添加进注册表,你要点击“是”,随后系统提示信息已成功输入注册表,再点击“确定”即可将注册表解锁了。 好了,以上就是常见的恶意软件手动清理方法。 这些方法小编没有完全试验过,但其中一些如IE标题栏被修改等确实有效,大家在做好安全防范的基础上,不妨自己来试验一下,比用软件在啥也不知道的情况下清楚强很多。 大家在平时上网的情况下,最好安装一个防火墙,如果实在没有用WIN XP自带的也可以,2K用户要记得一定安装SP5补丁,否则死定了。 最后,小编教大家一小招,您不用纪那样多的注册表键值就能学会:如果您的IE中频繁弹出一些网页或标题栏被修改,则可以运行注册表程序regedit,在其中的搜索功能中输入恶意网页的连接或弹出的文字,regedit会自动为您找到符合的键值,您只要删除这些键值就成了。 值得注意的是,目前很多罪大恶极的流氓程序是通过证书来实现加载的,清理极为不容易。关于这类软件的清理,我们稍候会为您介绍。 如果觉得手动清除比较危险,也可采用软件,推荐超级兔子。 |