—EXE里啟動的。1/進(jìn)展刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnceHKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionExplorer/ShellFoldersStartup=“C:/windows/startmenu/programs/startup2/系統(tǒng)WIN.INIwin.ini，“run=”和“l(fā)oad=”是可能加載“木馬”程序的途徑，必需認(rèn)真留心它們。一般狀況下，它們的等號后面什么都沒有，假設(shè)覺察后面跟有路徑與文件名不是你生疏“AOLTrojancommand.exeXPWIN.INI(XP);for16-bitappsupport[fonts][extensions][mciextensions][files][Mail]MAPI=1CMCDLLNAME32=mapi32.dllCMCDLLNAME=mapi.dllCMC=1MAPIX=1MAPIXVER=1.0.0.1OLEMessaging=1[MCIExtensions.BAK]aif=MPEGVideoaifc=MPEGVideoaiff=MPEGVideoasf=MPEGVideo2asx=MPEGVideo2au=MPEGVideom1v=MPEGVideom3u=MPEGVideo2mp2=MPEGVideomp2v=MPEGVideomp3=MPEGVideo2mpa=MPEGVideompe=MPEGVideompeg=MPEGVideompg=MPEGVideompv2=MPEGVideosnd=MPEGVideowax=MPEGVideo2wm=MPEGVideo2wma=MPEGVideo2wmv=MPEGVideo2wmx=MPEGVideo2wvx=MPEGVideo2wpl=MPEGVideo“shell=文件名”。正確的文件名應(yīng)當(dāng)是“explorer.exe”，假設(shè)不是“explorer.exe”，而是“shell=explorer.exe程序名”，本文發(fā)表于pcpxp網(wǎng)站，那么后面跟著的那個程序就是“木馬”程序，就是說你已經(jīng)中“木馬”了。又會有人XPXPSYSTEM.INISYSTEM.INI;for16-bitappsupport[drivers]wave=mmdrv.dlltimer=timer.drv[mci][driver32][386enh]woafont=app936.FONEGA80WOA.FON=EGA80WOA.FONEGA40WOA.FON=EGA40WOA.FONCGA80WOA.FON=CGA80WOA.FONCGA40WOA.FON=CGA40WOA.FON4/在config.sys或許會有收獲的。5/在autuexec.batconfig.sys查找。WINDOWS必備的系統(tǒng)進(jìn)程，EXE型病毒很簡潔暴露出來的，下邊附上一張WINDOWS安全模式的必需進(jìn)程表smss.exeSessionManagercsrss.exe子系統(tǒng)效勞器進(jìn)程winlogon.exe治理用戶登錄services.exelsass.exeIPISAKMP/Oakley(IKE)和IP生會話密鑰以及授予用于交互式客戶/效勞器驗證的效勞憑據(jù)(ticket)。(系統(tǒng)效勞)->netlogonsvchost.exe!!!->eventsystem,(SPOOLSV.EXE將文件加載到內(nèi)存中以便遲后打印。)explorer.exe(internat.exesystemSystemIdleProcess處理器上，并在系統(tǒng)不處理其他線程的時候分派處理器時間taskmagr.exe就是任務(wù)治理器了DLL這類病毒大多是后門病毒，這類病毒一般不會把自己暴露在進(jìn)程中的，所以說特別隱蔽，比較不好覺察。啟動DLLEXELoader。假設(shè)沒有Loader，那DLLDLLLoaderLoader可以是為我們的DLLEXERundll32.exeSvchost.exe，Rundll32.exeSvchost.exeDLLDLL擔(dān)憂，由于他們不肯定就是病毒，所以說這個病毒比較隱蔽，下邊來介紹幾種判別方法：pcpxp1/Svchost.exe“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost”每個鍵值表示一個獨立的Svchost.exe組。微軟還為我們供給了一種觀察系統(tǒng)正在運行在Svchost.exe列表中的效勞的方法。cmd，然后在命令行模式中輸入：tasklist/svc。假設(shè)使用的是2000“tasklist/svc”命令替換為：“tlist-s”即可。假設(shè)你疑心計算機有可能被病毒感染，Svchost.exeSvchost.exe般只會找到一個在：“C:\Windows\System32”名目下的Svchost.exeSvchost.exe2/還有一種確認(rèn)Svchost.exeWindowsWindowsWindows2.5。這樣，可以覺察進(jìn)程到底饔昧聳裁碊LL3/一般后門連接需要翻開特定的端口，DLL端口。我們可以用netstat–anTCP/UDP的端口心中有數(shù)，并對netstat–anstateFport應(yīng)的進(jìn)程，這樣，系統(tǒng)有什么不明的連接和端口，都可以盡收眼底。system32EXEDLL*.exe>exe.txt&dir*.dll>dll.txt，這樣，就會把EXEDLLexe.txtdll.txtEXEDLLexe0.txtdll0.txt)，并使用：fcexe.txtexe0.txt>exedll.txt&fcdll.txtdll0.txt>exedll.txt，其意思為使用FCEXEDLLexedll.txtEXEDLLDLLDLL1/在確定DLL移除方法：“Regedit“搜尋“*.dll“刪除搜尋到的鍵值。重啟轉(zhuǎn)到C:\Windows\System32\刪除*.dll2/到注冊表以下地方查找DLLHKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/Currentversion/Svchost3/RUNDLL32.EXESVCHOST.EXEDLL1有效的三、$NtUninstallQxxxxxxx$〔x〕型病毒的手工殺毒的方法教程：Win2000/XP注冊表手動刪除啟動項，參考：HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run刪除：regedit-sC:\$NtUninstallQxxxxxxx$\WINSYS.cerHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce刪除：Sys32，值為：C:\$NtUninstallQxxxxxxx$\WINSYS.vbsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run刪除：Sys32，值為：regedit-sC:\$NtUninstallQxxxxxxx$\WINSYS.cerinternat.exe刪除整個$NtUninstallQxxxxxxx$名目pcpxp補充說明：、$NtUninstallQ814033$這類WindowsUpdate或安裝微軟補丁程序留下的卸載信息，用來卸載已安裝的補丁，按補丁的編號Q823980、Q814033可以在微軟的網(wǎng)站查到相應(yīng)的說明。請留意與惡意代碼建立的文件夾區(qū)分。四、壓縮文件殺毒工具對其不能刪除的病毒的手工殺毒的方法教程：IEIE時文件。補充：1.)檢查注冊表看HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrenVersion和HKEY_CURRENT_USER＼“Run”開頭的鍵值名，其下有沒有可疑的文件名。假設(shè)有，就需要刪除相應(yīng)的鍵值，再刪除相應(yīng)的應(yīng)用程序。2.)檢查啟動組木馬們假設(shè)隱蔽在啟動組雖然不是格外隱蔽，但這里確實是自動加載運行的好場所，因此還是有木馬寵愛menu＼programs＼startupC個東西？期望大家來爭論，看你們的有這個名目沒？)在注冊表中的位置：HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼ShellFoldersStartup=“C:＼windows＼startmenu＼programs＼startup“。要留意常常檢查這兩個地方哦！3.)Win.ini以及System.iniWin.ini[WindowsloadrunSystem.ini[boot]小節(jié)的Shell=Explorer.exe很有可能就是木馬效勞端程序！趕