手工刪除系統exe病毒文件的後綴方法

　　這類病毒一般是以進程的方式運行這類病毒一般是比較好被發現的下邊先說下這類病毒是在哪裡啟動的

注冊表

如果發現計算機有不名的進程和異常情況請在注冊表內下列地方進行核實找住可以的程序進行刪除
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKEY_CURRENT_USER/SoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/<br>Explorer/ShellFolders
Startup="C:/windows/start menu/programs/startup
系統WININI文件內

在 winini文件中“run=”和“load=”是可能加載“木馬”程序的途徑必須仔細留心它們一般情況下它們的等號後面什麼都沒有如果發現 後面跟有路徑與文件名不是你熟悉的啟動文件你的計算機就可能中上“木馬”了當然你也得看清楚因為好多“木馬”如“AOL Trojan木馬”它把自身偽裝成commandexe文件如果不注意可能不會發現它不是真正的系統啟動件也許你會問了我是XP系統啊 怎麼沒有這個呢？不必擔心給你個正確的你參考下就知道有沒有可疑程序了下邊就是正常的WININI(XP) ; for bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=
CMCDLLNAME=mapidll
CMCDLLNAME=mapidll
CMC=
MAPIX=
MAPIXVER=
OLEMessaging=
[MCI ExtensionsBAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
mv=MPEGVideo
mu=MPEGVideo
mp=MPEGVideo
mpv=MPEGVideo
mp=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wvx=MPEGVideo
wpl=MPEGVideo


SYSTEMINI文件中

在 systemini文件中在[BOOT]下面有個“shell=文件名”正確的文件名應該是“explorerexe”如果不是 “explorerexe”而是“shell= explorerexe 程序名”那麼後面跟著的那個程序就是“木馬”程序就是說你已經中“木馬”了又會有人問了我是XP系統怎麼又不一樣呢？給你個正常的XP系統的 SYSTEMINI請大家可以參考下正常的SYSTEMINI文件


; for bit app support
[drivers]
wave=mmdrvdll
timer=timerdrv
[mci]
[driver]
[enh]
woafont=appFON
EGAWOAFON=EGAWOAFON
EGAWOAFON=EGAWOAFON
CGAWOAFON=CGAWOAFON
CGAWOAFON=CGAWOAFON


在Configsys內

這類加載方式比較少見但是並不是沒有如果上述方法都找不到的話請來這裡也許會有收獲的

在Autuexecbat內

這類加載方式也是比較少見建議跟Configsys方法一樣

和的加載方式建議大家先必須確定計算機有病毒並且上邊的方法都找不到後最後來這裡進行查找

總結這類病毒是比較容易暴露的建議手動刪除時最好進入安全模式下因為安全模式只運行WINDOWS必備的系統進程EXE型病毒很容易暴露出來的下邊附上一張WINDOWS安全模式的必須進程表


smssexe Session Manager
csrssexe 子系統服務器進程
winlogonexe 管理用戶登錄
servicesexe 包含很多系統服務
lsassexe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序(系統服務) 產生
會話密鑰以及授予用於交互式客戶/服務器驗證的服務憑據(ticket)(系統服務) >netlogon
svchostexe 包含很多系統服務 !!!>eventsystem(SPOOLSVEXE 將文件加載到內存中以便遲後打
印)
explorerexe 資源管理器 (internatexe 托盤區的拼音圖標)
system
System Idle Process 這個進程是不可以從任務管理器中關掉的這個進程是作為單線程運行在每個處
理器上並在系統不處理其他線程的時候分派處理器時間
taskmagrexe 就是任務管理器了

From:http://tw.wingwit.com/Article/Common/201311/7227.html