本文介绍了一种手动清除复杂病毒的方法。病毒通过修改注册表使每次运行exe文件时都会触发恶意进程,同时还阻止了多种安全工具的正常使用。文章详细记录了解决过程,包括如何绕过病毒限制、修改注册表及显示隐藏文件。
话说,这年头,病毒是相当的猖獗
用杀毒软件还不一定杀得掉,(卡巴都挂了)
只好用手动的方法了
/**************************************************************/
电脑中毒了,找我帮忙
描述:
windows进去,没什么异样的感觉,但是双击金山词霸的图标,说找不到什么dll文件。msconfig一下,发现有不少奇怪的启动项,有一个叫soundmix.exe在system32文件夹下,很是可疑。Ctrl + Alt + Del 任务管理器刚开出来,立马自动被关掉。想显示一下系统隐藏文件,失败。
失败:
运行超级兔子,界面是进去了,但是却说找不到文件,当场一汗。心想这个病毒相当的利害,居然我想用什么,删除什么。但是跑到兔子的安装目录发现文件还在,于是手动运行了兔子,通过兔子的任务管理器,发现了一个可疑进程一个,强行中止。
接下来,msconfig和Ctrl + Alt + Del 都可以用了。在msconfig里看到,有一个在system32/drives/nv???.exe文件,被设置为开机运行了,删除。
自以为解决问题了,重启,不想症状依旧
发现:
解决问题的关键,是发现soundmix.exe这个文件被写入到了注册表HKEY_CLASSES_ROOT/exefile/shell/open/command里面
其值为soundmix.exe "%1" %*
也就是说,每次运行exe文件,都会运行一下soundmix.exe
而soundmix.exe 又会把nv???.exe写到system32/drives文件夹下面,并且在开机启动的选项里让nv???.exe 一开机就启动
难题:
由于无法显示隐藏文件(soundmix.exe搞的鬼),所以想把soundmix.exe先移动到一个地方,让程序找不到,结果发现,进入系统之regedit 命令无法使用(因为这是一个exe文件)。但是不进注册表,怎么改HKEY_CLASSES_ROOT/exefile/shell/open/command 的值呢?
解决:
还是先把soundmix.exe 删除,同时删除nv???.exe 在利用msconfig把启动项里的相关选项去掉,重启
编写.reg文件,内容如下
Windows Registry Editor Version 5.00
[HKEY_CLASSES_ROOT/exefile/shell/open/command]
@="/"%1/" %*"
保存后,运行一下,写入注册表
OK,可以regedit 命令了吧
接下来,进注册表[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL]
把CheckedValue的值改为 1
大功告成
现在,你可以通过,工具--〉文件夹选项… —〉显示隐藏文件
扫一扫
1980
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
