幾種常見惡性病毒清除方法

總結整理了10個相關惡性病毒的清除方法，希望能給讀者提供方便，若有遺漏或錯誤，請賜教，同時也歡迎大家來稿，共同分享。　　 　　手工刪除Back Orifice 2000的方法　　 　　首先用最新DOS版的殺毒軟件開機殺毒，然後將郵箱中的帶毒郵件一一刪除，否則又會重復感染，該病毒傳播能力極強，必須加強防范，為了預防該病毒在浏覽該帶毒信箋可以自動執行的特點，必須下載微軟的補丁程序。 　　　　 　　惡性蠕蟲病毒“I-Worm.Aliz”　　 　　用最新的殺毒軟件清除病毒，然後下載補丁： 　　如果用戶使用升級的因特網outlook版本6.0，就不需要修補outlook。 　　1. outlook 　 　　2.outlook 2000 　 　　 　　3.outlook 2002 (office XP) 　　　　 　　又出現Nimda.e病毒，再次更新詳細解毒方案　　 　　一、winX系統的清除方法：　　 　　1．使用干淨DOS軟盤啟動機器。 　　2．執行vrvdos, 查殺所有硬盤。 　　3．在SYSTEM.INI文件中將LOAD.EXE的文件改掉，如沒有變，就不用改。正常的[boot]下的應該是shell=explorer.exe.必須修改該文件中的shell項目，否則清除病毒後，系統啟動會提示有關load.exe的錯誤信息。 　　4．開啟vrv實時監測病毒防火牆。 　　5．為了預防該病毒在浏覽該帶毒信箋可以自動執行的特點，必須下載微軟的補丁程序。 地址是：這樣可以預防此類病毒的破壞。 　　6．WINDOWS 2000如果不需要可執行的CGI，可以刪除可執行虛擬目錄,例如/scripts等等。 　　7．如果確實需要可執行的虛擬目錄，建議可執行虛擬目錄單獨在一個分區。 　　8．對WINDOWS NT/2000系統，微軟已經發布了一個安全補丁，可以從下列地址下載： 　　9．病毒被清除後, 在windows的system目錄下的文件riched20.dll將被刪除，請從WINDOWS的安裝盤上或再無毒機中拷貝一份干淨的無病毒的該文件，否則的話，寫字板和OFFICE, WORD等程序將不能正常運行。在WINDOWS98系統下的該文件大小是：431376字節。或重裝office。
二、WINDOWS NT/2000系統的清除方法：　　 　　WINDOWS NT/2000系統的NTFS硬盤分區感染此毒時，處理比較煩瑣。因用DOS軟盤引導後不認硬盤分區，所以無法殺毒。在患毒的WINDOWS NT/2000系統下又殺不干淨病毒。不管是服務器還是單機的硬盤染此毒了，要想殺干淨病毒，可按如下方法殺毒：　　 　　1．找一台沒有感染病毒的、並裝有WINDOWS NT/2000（NTFS)系統的計算機，將vrv2001 server安裝到硬盤中，對硬盤進行查殺。 　　2．如果有殺不掉的，用dos盤引導起動，再執行NTFSpro（在vrv網站可以下載）中的ntfspro.exe 即可，看到NTFS格式下的所有文件，將其刪除，再回到正常模式下查殺。 　　3．如果有多台機器，也可以將患毒的硬盤掛接在沒有感染病毒的計算機上做為副盤。　　 　　Nimda病毒解決方案　　 　　請大家盡快到微軟網站下載更新程序，修補這些漏洞，以免中毒。收到可疑的信件，例如：Nimda病毒病毒附件為readme.exe，不要隨意打開以免中毒， 　　IE 5.x 的使用者請到下載修復程序，避免浏覽中毒網頁就被感染。　　 　　IIS 的使用者請到、下載修復程序，以修正Unicode漏洞。 　　　 　　另外：Win9x用戶記得去掉共享，修改System.ini中shell=explorer.exe load.exe -dontrunold為shell=Explorer.exe ，Win2000則查看一下administrators組中是否加進了“guest”用戶，如果是，請將guest用戶從administrators組中刪除，然後用最新版的殺毒軟件掃描你的機器，查殺病毒。 　　自己動手對付CodeRed(紅色代碼)　　 　　CodeRed(紅色代碼)是利用Windows NT/2000本身的漏洞來執行駭客行為，微軟網站提供更新檔下載，使用IIS 4.0以上版本用戶，請盡快至微軟網站更新修正。
手工清除Sircam蠕蟲病毒　　 　　1、清空回收站，因為病毒將自身隱藏在回收站； 　　2、刪除Autoexec.bat文件中的"@win ecycledsirc32.exe" 　　3、恢復注冊表 　　（1） 將regedit.exe改名為regedit.com因為該病毒關聯exe文件 　　（2） 打開注冊表編輯器，查找主鍵：HKEY_CLASSES_ROOT/exefile/shell/open/command將其鍵值改為"%1" %* 　　（3） 刪除主鍵HKEY_LOCAL_MACHINE/Software/SirCam 　　（4） 刪除鍵值HKEY_LOCAL_MACHINE/Software/Microsoft/Windows Current Version/Run Services/Driver32 　　（5） 將regedit.com改回為regedit.exe 　　 　　手工清除“快樂時光”病毒　　 　　1.檢查 C:Help.htm、C: 盤第一個子目錄下的 Help.vbs 和 Help.hta、 Windows錄下 Help.htm 或者與原牆紙文件名的 html 格式文件，若其中 含有“Rem I am sorry! happy time”字符串，則刪除該文件 　　2.檢查 C: 盤上所有 vbs、html 或者 asp 文件，若含有“Rem I am sorry! happy time”字符串，則刪除該文件 　　3.檢查 WindowsWeb 目錄下所有 vbs、html、htt 和 asp 文件，若含有“Rem I am sorry! happy time”字符串，則刪除該文件； 　　4.刪除 HKEY_CURRENT_USERSoftware 下 Help 項； 　　5.刪除收件箱中所有帶有 Untitled.htm 附件的不明郵件。
手動清除聖誕節病毒的方法　　 　　1.開始——>程序——>MS-DOS模式 　　2.將DOS指令regedit.exe重新命名為 regedit.com 　　3.回到Windows運行Regedit。 　　4.開始——>運行 　　5.輸入“regedit”。按一下“確定”。 　　6.在左邊窗口，按一下含有 " " 記號的方塊以展開節點來尋找下列登錄 　　 HKEY_CLASSES_ROOT exefile shell open command 　　7.在右邊窗口，以展開節點來尋找含有下列登錄的記錄值並點選 　　 (Default) = "% windir%SYSTEMWINSVRC.EXE"%1""%*" where %windir% 　　8.當編輯窗口出現，將所有整個部分刪除，只留下 "%1"%*"。 　　9.同步驟 3-5，輸入“regedit”。按一下“確定”，進入以下注冊機值。 　　 HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run 　　10.點選Win32BaseServiceMOD = %windir%SYSTEMWINSVRC.EXE ，並按“刪除” 　　11.開始——>程序——>MS-DOS模式 　　12.將 regedit.com重新命名為 regedit.exe。摘自瑞星網站　　 　　Win32/MTX.A.Worm 病毒的清除方法　　 　　1、對於蠕蟲病毒生成的文件如：MTX_.exe，Ie_pack.exe和Win32.dll，需要徹底刪除，它們的病毒報警為Win32/MTX.Attachment.Worm 或Win32/MTX.A.Downloader.Worm。 　　2、 開始---運行(regedit)修改注冊表，將注冊表中的關鍵字值刪除，關鍵字值為： Hkey_Local_MachineSoftwareMicrosoftWindowsCurrentVersionRunSystembackup =MTX_.EXE 　　3、開始---運行(regedit)---編輯---查找(Win32.dll)，將查找到的鍵值刪除掉，用同樣的方法 查找Ie_pack.exe和mtx，將查找到的鍵值也刪除； 　　4、重新啟動計算機。
手動清除特洛伊木馬TROJ_QAZ.A病毒　　 　　1、單擊“開始│運行” 鍵入：Regedit，按Enter鍵 　　2、找到注冊鍵： HKEY_LOCAL_MACHIN/Software/Microsoft/Windows/CurrentVersion/Run 　　3、在右邊的窗口中，找出任何包含下列數據的注冊鍵值： startIE=XXXXNotepad.exe 　　4、在右邊的窗口中，選中該鍵值，按刪除鍵後再選是，刪除該值。 退出注冊表修改。 單擊 “開始│關閉系統”，選擇“重啟動”後單擊“是”。 　　5、重命名Note.com為Notepad.exe。 　　 　　病毒冰河的手工解決辦法　　 　　1、在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices中找 到冰河（默認是C:WINDOWSSYSTEMKernel32.exe），將其刪除。 　　2、在注冊表中找到HKEY_CLASSES_ROOTtxtfile，可以在其次鍵中發覺 Shellopencommand中運行的程序，默認的是C:WINDOWSSYSTEMSysexplr.exe %1， 將它刪掉就行。其他形式的偽裝也照刪不誤。 　　3、重新啟動，在純Dos模式中刪除冰河以及它的關聯程序（默認是 C:WINDOWSSYSTEMKernel32.exe和sysexplr.exe）。 　　VBS_STAGES.A蠕蟲的解決方案　　 　　運行注冊表 進入HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices注冊目錄，查找含有以下鍵值的鍵："C:WINDOWSWSCRIPT.EXE，，C：WINDOWSSYSTEMSCANREG.VBS" 將含有這些鍵值的鍵刪除。 進入以下注冊表目錄： HKEY_USERS/.DEFAULT/Software/Mirabilis/ICQ/Agent/Apps/ICQ 查找以下鍵值 Parameters=“C:RECYCLEDDBINDEX.VBS”, Path="C:WINDOWSWSCRIPT.EXE" Startup="C:WINDOWS"。進入以下注冊表目錄： HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/DefaultIcon 查找以下鍵值："C:RECYCLEDRECYCLED.VXD,1" 將其修改為：C:WINDOWSregedit.exe,1 to this input box，進入以下注冊表目錄： HKEY_LOCAL_MACHINE/Software/CLASSES/regfile/shell/open/command 查找以下鍵值："C:RECYCLEDRECYCLED.VXD,1" 將其修改為：C:WINDOWSregedit.exe,1 to this input box.，退出注冊表 。重啟後掃描整個系統，將感染了此病毒的文件刪除。 從另一干淨的機器上拷貝一個REGEDIT.EXE 程序到本機。 　　如何自行將MSIE.HTA（網路害蟲）清除　　 　　1.先將WIN.INI中的RUN= C:WINDOWSSYSTEMMSIE.HTA修改成RUN= 　　2.將Windowssystem目錄下MSBOOT.BAT、MSIE.LST、MSIE.INI、MSIE.HTA四個文件刪除。 　　3.將Windowssystemsystem目錄刪除。 　　4.將windowsStart MenuPrograms啟動 中的Microsoft Internet Explorer.hta文檔刪掉。