手工刪除系統(tǒng)exe病毒文件的后綴方法

這類病毒一般是以進(jìn)程的方式運(yùn)行，這類病毒一般是比較好被發(fā)現(xiàn)的。下邊先說下這類病毒，是在哪里啟動(dòng)的。

1.注冊(cè)表

如果發(fā)現(xiàn)計(jì)算機(jī)有不名的進(jìn)程和異常情況請(qǐng)?jiān)谧?cè)表內(nèi)下列地方進(jìn)行核實(shí)找住可以的程序進(jìn)行刪除：
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKEY_CURRENT_USER/SoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/<br>Explorer/ShellFolders
Startup="C:/windows/start menu/programs/startup
2.系統(tǒng)WIN.INI文件內(nèi)

在 win.ini文件中，“run=”和“load=”是可能加載“木馬”程序的途徑，必須仔細(xì)留心它們。一般情況下，它們的等號(hào)后面什么都沒有，如果發(fā)現(xiàn) 后面跟有路徑與文件名不是你熟悉的啟動(dòng)文件，你的計(jì)算機(jī)就可能中上“木馬”了。當(dāng)然你也得看清楚，因?yàn)楹枚?ldquo;木馬”，如“AOL Trojan木馬”，它把自身偽裝成command.exe文件，如果不注意可能不會(huì)發(fā)現(xiàn)它不是真正的系統(tǒng)啟動(dòng)件。也許你會(huì)問了我是XP系統(tǒng)啊 怎么沒有這個(gè)呢？不必?fù)?dān)心給你個(gè)正確的你參考下就知道有沒有可疑程序了。下邊就是正常的WIN.INI(XP)： ; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMCDLLNAME32=mapi32.dll
CMCDLLNAME=mapi.dll
CMC=1
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo2
asx=MPEGVideo2
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo2
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo2
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
wpl=MPEGVideo


3.SYSTEM.INI文件中

在 system.ini文件中，在[BOOT]下面有個(gè)“shell=文件名”。正確的文件名應(yīng)該是“explorer.exe”，如果不是 “explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟著的那個(gè)程序就是“木馬”程序，就是說你已經(jīng)中“木馬”了。又會(huì)有人問了，我是XP系統(tǒng)怎么又不一樣呢？給你個(gè)正常的XP系統(tǒng)的 SYSTEM.INI，請(qǐng)大家可以參考下正常的SYSTEM.INI文件：


; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app936.FON
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON


4.在Config.sys內(nèi)

這類加載方式比較少見，但是并不是沒有。如果上述方法都找不到的話，請(qǐng)來(lái)這里也許會(huì)有收獲的。

5.在Autuexec.bat內(nèi)

這類加載方式也是比較少見，建議跟Config.sys方法一樣。

4和5的加載方式建議大家先必須確定計(jì)算機(jī)有病毒，并且上邊的方法都找不到后，最后來(lái)這里進(jìn)行查找。

總結(jié)：這類病毒是比較容易暴露的，建議手動(dòng)刪除時(shí)最好進(jìn)入安全模式下，因?yàn)榘踩Ｊ街贿\(yùn)行WINDOWS必備的系統(tǒng)進(jìn)程，EXE型病毒很容易暴露出來(lái)的，下邊附上一張WINDOWS安全模式的必須進(jìn)程表：


smss.exe Session Manager
csrss.exe 子系統(tǒng)服務(wù)器進(jìn)程
winlogon.exe 管理用戶登錄
services.exe 包含很多系統(tǒng)服務(wù)
lsass.exe 管理 IP 安全策略以及啟動(dòng) ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動(dòng)程序。(系統(tǒng)服務(wù)) 產(chǎn)生
會(huì)話密鑰以及授予用于交互式客戶/服務(wù)器驗(yàn)證的服務(wù)憑據(jù)(ticket)。(系統(tǒng)服務(wù)) ->netlogon
svchost.exe 包含很多系統(tǒng)服務(wù) !!!->eventsystem,(SPOOLSV.EXE 將文件加載到內(nèi)存中以便遲后打
印。)
explorer.exe 資源管理器 (internat.exe 托盤區(qū)的拼音圖標(biāo))
system
System Idle Process 這個(gè)進(jìn)程是不可以從任務(wù)管理器中關(guān)掉的。這個(gè)進(jìn)程是作為單線程運(yùn)行在每個(gè)處
理器上，并在系統(tǒng)不處理其他線程的時(shí)候分派處理器時(shí)間
taskmagr.exe 就是任務(wù)管理器了