中木马清理后的后遗症。。。
系统已经严重破坏,你想不重新装?一般的杀软件如果可以的话,也只能清理掉病毒,但是对破坏掉的文件是无法修复的,这样一个建议吧,用卡吧杀毒,“希望能成功清理!”接着,用系统光盘恢复!
这样看来还是要比重新装要慢,重新装系统现在是你最快的途径!这样的问题,就算可以用某种方式解决,比如逐个排察修改,但是要用的时间和工程绝对大于重装系统
电脑中过木马被杀完后留下的后遗症该怎么解决?
出现这种情况就是某个系统文件被木马损坏,查杀不彻底,更好的办法就是重装系统。要不然的话,就要卸载出现问题的软件
游戏,再从新下,这样能麻烦死,没办法
重装喽。回答完毕,希望我的回答对您有帮助。
杀木马的后遗症通常有哪些?
当心木马后遗症
通过媒体的广泛宣传报道,使我们知道了木马的危害性,一个功能强大的木马一旦被植入你的机器,攻击者就可以象操作自己的机器一样控制你的机器,甚至可以远程监控你的所有操作。其实,木马的危害不仅如此,部分木马如文件关联木马,还有其它“副”作用——更改文件关联!特别是手工清除木马后,如果不恢复文件关联,则被关联文件无法打开,许多操作因此不能进行,你说气人不气人?
一、基本概念
1.什么是文件关联
简单地说,就是单击不同类型文件时,在鼠标右键菜单上看到的关联项目。对于已注册的文件,会以不同的图标显示它们,双击它时会启动不同的关联程序,而所有这些设置信息都存放在注册表中,因此,只要掌握其基本结构和各键值项的设置,就能随心所欲地定义文件关联了。
2.文件关联木马
一般木马服务端会把自己复制为两个文件,这里我把文件名定为1号和2号,1号文件是用来当机器开机时立刻运行打开连接端口的,2号文件一般就和TXT或EXE文件打开方式连起来(即关联)!当中木马者发现自己中了木马而在DOS下把1号文件删除后,服务端就暂时被关闭,即木马暂时删除,当他运行“记事本”或任何EXE文件时,隐蔽的2号木马文件被击活再次生成1号文件,即木马又被种入!
二、具体实例分析(我们以大名鼎鼎的木马冰河为例)
冰河就是典型的文件关联木马,只要在配置木马时选中关联文本文档(如图),以后打开文本文档,不是用记事本Notepad.exe打开,而是调用冰河的服务端程序打开,这样木马就被加载运行了(潘多拉的盒子打开了)。如果服务端程序被您手工删除了,在打开文件文档时由于无法找到该程序导致文件无法打开。
如果中了冰河,为了达到自动装载服务端的目的,首先,冰河会在注册表的HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun和RUNSERVICE键值中加上kernl32.exe(“”是系统目录),以便电脑每次启动时加载运行木马(幽灵又出现了……);其次,如果你删除了这个键值,自以为得意地喝著茶的时候,冰河又阴魂不散地出现了!怎么回事?原来冰河的服务端会在c:windows下生成一个叫sysexplr.exe文件(太象超级解霸了,好毒呀,冰河!),这个文件是与文本文件相关联的,它改变了注册表中有关TXT文件的关联,如下:在注册表HKEY_CLASSES_ROOTtxtfileshellopencommand下,将键值改为为C:windowssystemSysexplr.exe%1(正常情况下键值为“Notepad.exe %1”),只要你打开文本文件(哪天不打开几次文本文件?),sysexplr.exe文件就会重新生成krnel32.exe,结果你又被冰河控制了。(冰河就是这样长期霸占著穷苦劳动人民宝贵的系统资源的,555555)
三、文件关联的恢复
*** 一、
1.如果在五天以内,可以使用Windows每天开机自己备份的注册表恢复!步骤是:重新启动到DOS下(可不是WINDOWS下的MS-DOS),然后键入Scanreg/Restore,选择离现在日期最近的一个恢复注册表,然后根据提示重新启动即可。
2.如果超过五天,用以前备份过的注册表,导入注册表进行恢复(不会问我怎样导入吧?只要双击以前备份的注册表即可)。
*** 二、首先在桌面上打开“我的电脑”,然后在菜单栏选择查看→文件夹选项→文件类型”选择被木马关联的文件类型。以冰河关联的文本文件为例:找到文本文件,看到了吧,打开方式不是Notepad(记事本),而是另外一个程序,赶紧把它改过来,选择“编辑”,点击操作框中的“打开”→“编辑”→“浏览”,找到Notepad,Notepad在Windows目录下,然后点“确定”即可。其它类型根据此 *** 依次类推。
*** 三、直接新建注册表文件导入即可。
①首先以恢复关联应用程序为例。打开记事本,键入以下值:
REGEDIT4
[HKEY_CLASSES_ROOTcomfile]
@="MS-DOS 应用程序"
"EditFlags"=hex:d8,07,00,00
[HKEY_CLASSES_ROOTcomfileshell]
@=""
[HKEY_CLASSES_ROOTcomfileshellopen]
@=""
"EditFlags"=hex:00,00,00,00
[HKEY_CLASSES_ROOTcomfileshellopencommand]
@=""%1" %*"
[HKEY_CLASSES_ROOTcomfileshellex]
[HKEY_CLASSES_ROOTcomfileshellexPropertySheetHandlers]
[HKEY_CLASSES_ROOTcomfileshellexPropertySheetHandlers{86F19A00-42A0-1069-A2E9-08002B30309D}]
@=""
[HKEY_CLASSES_ROOTcomfileDefaultIcon]
@="C:\WINDOWS\SYSTEM\shell32.dll,2"
然后保存,另存为以reg为后缀名的注册表文件,双击导入即可!要注意的是,在“REGEDIT4”后面一定要空一行,并且“REGEDIT4”中的“4”和“T”之间一定不能有空格,否则将前功尽弃!
②接下来以恢复关联文本文件为例讲讲。打开记事本,键入以下值:
REGEDIT4
[HKEY_CLASSES_ROOTtxtfile]
@="文本文档"
[HKEY_CLASSES_ROOTtxtfileDefaultIcon]
@="shell32.dll,-152"
[HKEY_CLASSES_ROOTtxtfileshell]
[HKEY_CLASSES_ROOTtxtfileshellopen]
[HKEY_CLASSES_ROOTtxtfileshellopencommand]
@="Notepad.exe %1"
[HKEY_CLASSES_ROOTtxtfileshellprint]
[HKEY_CLASSES_ROOTtxtfileshellprintcommand]
@="C:\WINDOWS\NOTEPAD.EXE /p %1"
然后保存,另存为以reg为后缀名的注册表文件,双击导入即可!注意事项如①中所述。
最后建议您,一旦中了木马赶快下线断开连接,然后用杀毒及反黑软件进行查杀(当然手工查杀也可)。对文件关联木马不要忘了检查注册表,看文件关联是否被改变了(TXT,EXE,ZIP,COM,HTM等文件都有可能被木马改变文件关联方式),如果的确是被改变了,就按本文所说的 *** 试试吧,保管有效哦!
杀木马的后遗症
这是由于删除病毒后在原注册表内有残余项 运行msconfig! 在弹出菜单启动项中去掉所有项前面的勾 如果你有杀毒软件 则保留 该项前面的勾! 建议去掉所有的钩! 之后可以下载超级兔子 清理就可以了!
电脑里有高度危险木马程序,经过杀毒删除以后对电脑有没有影响?
对杀去木马来说,要看是清除还是删除。所谓清除,就是把捆绑了木马的文件与木马分离,并清除木马,这对源文件无影响。但是删除,就是将木马与被捆绑文件一同除掉。如果木马捆绑了的文件是系统或某软件的关键运行文件,那么删除就会对其运行有影响。
如果是病毒而不是木马,那么杀毒后就一般无影响。
电脑中木马了后被杀毒软件清理掉了会有后遗症吗?
清理只是把木马清掉对你电脑没损害,有的不能清理的东西软件会提示你要你删除,有的系统文件不能乱删的。不过其实我一直是按直接删除的。。反正大不了重装系统,但是中毒厉害了可能后果就严重了
0条大神的评论