大家好,综合小编来为大家讲解下教你如何全面清除计算机病毒视频,教你如何全面清除计算机病毒这个很多人还不知道,现在让我们一起来看看吧!
1、教你全面清除计算机病毒
2、网络时代,病毒已经无所不在。在层出不穷、变化多端的病毒袭击下,中招基本上是不可避免的了。那么中招以后我们改如何处理(当然必须处理,否则计算机没法替你工作)?是格式化系统然后重装Windows,还是请人帮忙……。因为职业关系,我不得不与这些让人讨厌的东西战斗着,逐步地积累了一些行之有效的办法,供大家参考。
3、一、中毒的一些表现
4、我们怎样知道电脑中病毒了呢?其实电脑中毒跟人生病一样,总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开,电脑不能正常启动、硬盘分区找不到了、数据丢失等等,就是中毒的一些征兆。
5、二、中毒诊断
6、按Ctrl+Shift+Ese键(同时按此三键),调出windows任务管理器查看系统运行的进程,找出不熟悉进程并记下其名称(这需要经验),如果这些进程是病毒的话,以便于后面的清除。暂时不要结束这些进程,因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态,如果CPU的利用率接近100%或内存的占用值居高不下,此时电脑中毒的可能性是95%。
7、查看windows当前启动的服务项,由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言,正常的windows服务,基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外),此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称,假如其名称和路径为C:winntsystem32explored.exe,计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边,中间有一纵向的滚动条,而右边为空白,再双击添加/删除程序或管理工具,窗体内是空的,这是病毒文件winhlpp32.exe发作的特性。
8、运行注册表编辑器,命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面几个RunOnce等,查看窗体右侧的项值,看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累,你可以轻易的判断病毒的启动项。
9、用浏览器上网判断。前一阵发作的Gaobot病毒,可以上yahoo.com,sony.com等网站,但是不能访问诸如www.symantec.com,www.ca.com这样著名的安全厂商的网站,安装了symantecNorton2004的杀毒软件不能上网升级。
10、取消隐藏属性,查看系统文件夹winnt(windows)system32,如果打开后文件夹为空,表明电脑已经中毒;打开system32后,可以对图标按类型排序,看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此;driversetc下的文件hosts是病毒喜欢篡改的对象,它本来只有700字节左右,被篡改后就成了1Kb以上,这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。
11、由杀毒软件判断是否中毒,如果中毒,杀毒软件会被病毒程序自动终止,并且手动升级失败。
12、三、灭毒
13、在注册表里删除随系统启动的非法程序,然后在注册表中搜索所有该键值,删除之。当成系统服务启动的病毒程序,会在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身,找到之后一并消灭。
14、停止有问题的服务,改自动为禁止。
15、如果文件system32driversetchosts被篡改,恢复它,即只剩下一行有效值“127.0.0.1localhost”,其余的行删除。再把host设置成只读。
16、重启电脑,摁F8进“带网络的安全模式”。目的是不让病毒程序启动,又可以对Windows升级打补丁和对杀毒软件升级。
17、搜索病毒的执行文件,手动消灭之。
18、对Windows升级打补丁和对杀毒软件升级。
19、关闭不必要的系统服务,如remoteregistryservice。
20、第6步完成后用杀毒软件对系统进行全面的扫描,剿灭漏网之鱼。
21、上步完成后,重启计算机,完成所有操作。
22、四、建议
23、防范病毒作用远甚于查杀病毒。因此建立严密的防范措施是十分必要的。在具备条件的大中型网络里,应该软硬兼施、立体防护。理想得到情况是:Internet的接入处是外网防火墙;紧接着是防毒网关(熊猫卫士的性价比较高);然后是路由器,服务器区,可为应用服务器配置一台病毒服务器;再往内是内网防火墙;内网架设杀毒服务器,每个用户都安装杀毒软件的可管理客户端。
24、异常的系统文件userinit.exe的全面解决方案(一)
25、关于userinit.exe
26、文件名: userinit.exe
27、发行者: Microsoft Corporation
28、数字签名方: Microsoft Windows Verification PCA
29、启动类型: 注册表
30、路径:%system%userinit.exe
31、位置: HKLMSOFTWAREMicrosoftWindows NTCurrentVersionwinlogonuserinit
32、描述:
33、Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。 Userinit.exe也有可能是黑客伪装的木马程序。正常Userinit.exe程序在系统启动完成后就会自动消失。如果开机后很长时间都没有消失 就有可能是木马程序,当userinit.exe被病毒破坏或userinit.exe的注册表键值被病毒修改,可能出现windows系统不能正常登录 或输入登录用户名、口令后系统立即注销,再次尝试登录,又会再次注销。
34、异常的userinit
35、当userinit.exe被病毒替换,或注册表的HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon键下userinit的正常值C:WINDOWSsystem32UserInit.exe 被修改,系统就可能出现登录异常。表现为:win登录时,反复注销,或者无法启动到windows桌面,按ctrl+alt+del,调出任务管理器,通 过任务管理器启动explorer.exe,反而可以启动到桌面。
36、此时,使用金山清理专家就会检出异常的userinit。这通常不是孤立的现象,很可能与木马下载器、机器狗等有关,使用金山清理专家或金山毒霸会检测到更多病毒或木马。
37、解决方案:
38、金山清理专家可以修复异常的userinit破坏的注册表键,但不能修复被病毒破坏的userinit.exe文件。因为,金山清理专家不可以复制传播未经知识产权所有人(对“异常的userinit”来说,指微软公司)授权的程序。
39、这种情况下,我们有几种方法来修复被破坏的userinit.exe。如果你发现此文,你一定不需要重装系统,顺便BS一下遇事就重装的。
40、修复异常的userinit,首先应该使用金山毒霸和金山清理专家把其它恶意软件清除干净,最后再修复userinit.exe。
41、方法1,从其它正常的电脑把%system%userinit.exe复制到U盘,再恢复到故障电脑。
42、使用该方法的前提是windows可以启动,只是不太容易登录,比如你也可以通过任务管理器启动explorer.exe,从而显示桌面后再操作。
43、方法2,使用winpe光盘(比如常见的深山红叶工具光盘、ERD急救光盘等)急救
44、首先按键进入BIOS,确认当前的启动方式是否为光盘启动。按“+”“—”修改第一启动为光驱,并且按F10键保存后退出并且重启。如图所示:
45、重启后WinPE的启动时间比较长,请耐心等待。如图所示:
46、进入WinPE虚拟出的系统后找到里面的注册表编辑工具定位到注册表项:【HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionImage File Execution Options】下找到userinit.exe项,将其删除。(从截图可以看到病毒将userinit.exe劫持到不存在的文件上面会导致XP系统反
47、复注销)
48、此步操作可能没有找到病毒劫持的 userinit.exe项目,接下来定位到注册表项【HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon】下,找到里面的Userinit键值,将其数据修改为系统默认的值『C:WINDOWS system32UserInit.exe,』如图所示:
49、接下来我们需要将WinPE盘里面的 userinit.exe文件替换系统目录下的文件,以便确保不是病毒修改替换过的文件。方法是浏览光驱找到I386目 录下system32目录,右键单击userinit.exe文件后选择『复制到』,将默认路径X:windowssystem32输入对话框中(X 为系统盘符,通常为C盘) 如图所示:
50、如果在系统目录下存在userinit.exe文件的话,会有如下提示。建议点击“是”以避免之前文件被病毒修改。如图所示:
51、当注册表修改和文件替换均完成后重启计算机,反复注销的现象即可解决。(注意取出WinPE光盘,以避免之后反复进入WinPE系统)
52、方法3,使用windows安装光盘,引导系统到故障恢复控制台,再从安装盘中恢复userinit.exe
53、windows安装光盘引导至
54、按R,选择启动到故障恢复控制台
55、如果是双系统,会显示两个windows的路径,选一个正确的就可以了。需要输入管理员口令,这个口令安装这个系统的人应该是清楚的,如果不知道,尝试下直接回车,估计不少人是空口令。
56、执行expand D:i386USERINIT.EX_ C:windowssytem32USERINIT.EXE(这里假设D为光驱盘符,你的系统安装在c盘windows目录。)
57、本文最后提供提供该文件,是winxp的userinit.exe(可直接到down.45it.com下载),如果你找不到现成的正常文件替换,直接下载一个解压到故障电脑的windowssystem32目录覆盖受损文件。
58、explorer.exe病毒怎样快速清除的方法:
59、Explorer.EXE是个木马病毒,这个木马进入计算机后,产生主要的三个文件是:interapi32.dll,interapi64.dll,exp1orer.exe特别狡猾的是容易和 Explorer.exe混淆。它是数字 1不是字母l。这个病毒入驻进程以后,会大量的消耗系统资源,并会跟着资源管理器一同启动。杀除方法如下:
60、关闭Xp系统的还原功能。具体的可以进入组策略查找或是右击我的电脑属性,关闭系统还原功能。
61、然后在运行键入regedit,打开注册表编辑器。删除以下键值
62、[HKEY_CLASSES_ROOTCLSID{081FE200-A103-11D7-A46D-C770E4459F2F}]
63、@="hookmir"
64、[HKEY_CLASSES_ROOTCLSID{081FE200-A103-11D7-A46D-C770E4459F2F}InprocServer32]
65、@="C:\WINNT\system32\interapi64.dll"
66、"ThreadingModel"="Apartment"
67、[HKEY_CLASSES_ROOTCLSID{081FE200-A103-11D7-A46D-C770E4459F2F}ProgID]
68、@="interapi64.classname"
69、[HKEY_CLASSES_ROOTinterapi64.classname]
70、@="hookmir"
71、[HKEY_CLASSES_ROOTinterapi64.classnameClsid]
72、@="{081FE200-A103-11D7-A46D-C770E4459F2F}"
73、[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks]
74、"{081FE200-A103-11D7-A46D-C770E4459F2F}"="hookmir"
75、重新启动系统,进入文件夹选项菜单,单击查看选项卡,显示隐藏的文件和文件夹,显示系统文件,扩展名。然后在 Windows/WINNT(2000/NT)/system32下找到 interapi32.dll,interapi64.dll,exp1orer.exe三个文件,将其删除就可以了。
76、(注:exp1orer.exe伪装成了jpg的图片格式图标。小心谨慎。还有文件夹选项卡在杀除病毒后可以自己把它改回到原来的状态)
77、计算机病毒的四点定义介绍
78、下面为大家介绍的是四点对计算机病毒的定义,看完后相信你会对计算机病毒有了大致的了解。
79、计算机病毒是一种在用户不知情或批淮下,能自我复制及运行的计算机程序;计算机病毒往往会影响受感染的计算机的正常运作。
80、计算机病毒是指编制或者在计算机程序中插入的'破坏计算机功能或者毁坏数据影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
81、计算机病毒是一个程序,一段可执行代码。但是,计算机病毒就像生物病毒一样,有独特的复制能力。同生物病毒一样计算机病毒可以很快地蔓延,而且常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
82、计算机病毒,是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
83、如何清除arp病毒的小技巧分享
84、网友咨询:局域网内大部分电脑不可以上网,但是上不了网的机子ping网关是通的。我初步估计是中了ARP病毒了,可是该如何清除arp病毒成为了最为头疼的事情。
85、答复:你的判断没错,是中了ARP病毒。 手工查找感染arp病毒的主机太过于烦琐,可以使用网络监听工具,看一下局域网内哪台主机的ARP包特多。利用ARP协议进行攻击一般会出现 MAC相同的用户,如果手中有MAC表那就可以对应着找了。
86、笔者建议你在局域网内所有主机都装上ARP卫士,这样就算有机器想攻击也不行了。ARP卫士可以从病毒源上对非法的ARP数据包进行拦截。
87、它通过系统底层核心驱动,以服务及进程并存的形式随系统启动并运行,不占用计算机系统资源。无须对计算机进行IP地址及MAC地址绑定,从而避免了大量且无效的工作量。也不用担心计算机会在重启后新建ARP缓存列表。
88、各种计算机病毒分类介绍(一)
89、根据多年来专家对于计算机病毒的研究,按照科学的,系统的,严密的方法,计算机病毒分类为如下:
90、按照计算机病毒属性的分类
91、病毒存在的媒体
92、根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。
93、网络病毒通过计算机网络传播感染网络中的可执行文件,文件病毒感染计算机中的文件(如:COM,EXE,DOC等),引导型病毒感染启动扇区(Boot)和硬盘的系统引导扇区(MBR),还有这三种情况的混合型,例如:多型病毒(文件和引导型)感染文件和引导扇区两种目标,这样的病毒通常都具有复杂的算法,它们使用非常规的办法侵入系统,同时使用了加密和变形算法。
94、病毒传染的方法
95、病毒破坏的能力
96、根据病毒破坏的能力可划分为以下几种:
97、无害型:除了传染时减少磁盘的可用空间外,对系统没有其它影响。
98、无危险型:这类病毒仅仅是减少内存、显示图像、发出声音及同类音响。
99、危险型:这类病毒在计算机系统操作中造成严重的错误。
100、非常危险型:这类病毒删除程序、破坏数据、清除系统内存区和操作系统中重要的信息。
101、这些病毒对系统造成的危害,并不是本身的算法中存在危险的调用,而是当它们传染时会引起无法预料的和灾难性的破坏。由病毒引起其它的程序产生的错误也会破坏文件和扇区,这些病毒也按照他们引起的破坏能力划分。一些现在的无害型病毒也可能会对新版的DOS、Windows和其它操作系统造成破坏。例如:在早期的病毒中,有一个"Denzuk"病毒在360K磁盘上很好的工作,不会造成任何破坏,但是在后来的高密度软盘上却能引起大量的数据丢失。
102、病毒特有的算法
103、根据病毒特有的算法,病毒可以划分为:
104、伴随型病毒:这一类病毒并不改变文件本身,它们根据算法产生EXE文件的伴随体,具有同样的名字和不同的扩展名(COM),例如:XCOPY.EXE的伴随体是XCOPY.COM。病毒把自身写入COM文件并不改变EXE文件,当DOS加载文件时,伴随体优先被执行到,再由伴随体加载执行原来的EXE文件。
105、"蠕虫"型病毒:通过计算机网络传播,不改变文件和资料信息,利用网络从一台机器的内存传播到其它机器的内存,计算网络地址,将自身的病毒通过网络发送。有时它们在系统存在,一般除了内存不占用其它资源。
106、寄生型病毒:除了伴随和"蠕虫"型,其它病毒均可称为寄生型病毒,它们依附在系统的引导扇区或文件中,通过系统的功能进行传播,按算法分为:
107、练习型病毒:病毒自身包含错误,不能进行很好的传播,例如一些病毒在调试阶段。
108、诡秘型病毒:它们一般不直接修改DOS中断和扇区数据,而是通过设备技术和文件缓冲区等DOS内部修改,不易看到资源,使用比较高级的技术。利用DOS空闲的数据区进行工作。
109、变型病毒(又称幽灵病毒):这一类病毒使用一个复杂的算法,使自己每传播一份都具有不同的内容和长度。它们一般的作法是一段混有无关指令的解码算法和被变化过的病毒体组成。
110、恶意病毒“四大家族”
111、一、宏病毒
112、由于微软的Office系列办公软件和Windows系统占了绝大多数的PC软件市场,加上Windows和Office提供了宏病毒编制和运行所必需的库(以 VB库为主)支持和传播机会,所以宏病毒是最容易编制和流传的病毒之一,很有代表性。
113、宏病毒发作方式: 在Word打开病毒文档时,宏会接管计算机,然后将自己感染到其他文档,或直接删除文件等等。Word将宏和其他样式储存在模板中,因此病毒总是把文档转换成模板再储存它们的宏。这样的结果是某些Word版本会强迫你将感染的文档储存在模板中。
114、判断是否被感染: 宏病毒一般在发作的时候
115、没有特别的迹象,通常是会伪装成其他的对话框让你确认。在感染了宏病毒的机器上,会出现不能打印文件、Office文档无法保存或另存为等情况。
116、宏病毒带来的破坏:删除硬盘上的文件;将私人文件复制到公开场合;从硬盘上发送文件到指定的E-mail、FTP地址。
117、防范措施:平时最好不要几个人共用一个Office程序,要加载实时的病毒防护功能。病毒的变种可以附带在邮件的附件里,在用户打开邮件或预览邮件的时候执行,应该留意。一般的杀毒软件都可以清除宏病毒。
118、二、CIH病毒
119、CIH是本世纪最著名和最有破坏力的病毒之一,它是第一个能破坏硬件的病毒。
120、发作破坏方式:主要是通过篡改主板BIOS里的数据,造成电脑开机就黑屏,从而让用户无法进行任何数据抢救和杀毒的操作。CIH的变种能在网络上通过捆绑其他程序或是邮件附件传播,并且常常删除硬盘上的文件及破坏硬盘的分区表。所以CIH 发作以后,即使换了主板或其他电脑引导系统,如果没有正确的分区表备份,染毒的硬盘上特别是其C分区的数据挽回的机会很少。
121、防范措施:已经有很多CIH免疫程序诞生了,包括病毒制作者本人写的免疫程序。一般运行了免疫程序就可以不怕CIH了。如果已经中毒,但尚未发作,记得先备份硬盘分区表和引导区数据再进行查杀,以免杀毒失败造成硬盘无法自举。
122、三、蠕虫病毒
123、蠕虫病毒以尽量多复制自身(像虫子一样大量繁殖)而得名,多感染电脑和占用系统、网络资源,造成PC和服务器负荷过重而死机,并以使系统内数据混乱为主要的破坏方式。它不一定马上删除你的数据让你发现,比如著名的爱虫病毒和尼姆达病毒。
124、四、木马病毒
125、木马病毒源自古希腊特洛伊战争中著名的“木马计”而得名,顾名思义就是一种伪装潜伏的网络病毒,等待时机成熟就出来害人。
126、传染方式:通过电子邮件附件发出;捆绑在其他的程序中。
127、病毒特性:会修改注册表、驻留内存、在系统中安装后门程序、开机加载附带的木马。
128、木马病毒的破坏性:木马病毒的发作要在用户的机器里运行客户端程序,一旦发作,就可设置后门,定时地发送该用户的隐私到木马程序指定的地址,一般同时内置可进入该用户电脑的端口,并可任意控制此计算机,进行文件删除、拷贝、改密码等非法操作。
本文到此分享完毕,希望对大家有所帮助。