怎么在注册表清除木马病毒（如何清理病毒木马）

本文目录一览：

• 1、电脑木马病毒怎么彻底清理
• 2、如何用注册表查杀木马病毒
• 3、怎么样从注册表里删除木马
• 4、在注册表编辑器内怎么清除木马呀
• 5、如何清除注册表中的木马病毒?

电脑木马病毒怎么彻底清理

笔记本电脑病毒主要包括以破坏笔记本电脑文件等为目的的普通病毒和通过网络盗取别人笔 记本电脑资料和秘密的黑客、木马病毒。下面分别介绍电脑感染病毒木马后如何查找和清除。

1 普通病毒诊断与排除

笔记本电脑病毒会破坏文件或数据，造成用户数据丢失或毁损;抢占系统网络资源，造成网 络阻塞或系统瘫痪;破坏操作系统等软件或计算机主板等硬件，造成计算机无法启动，因此必须 及时发现并杀掉病毒。

当笔记本电脑感染病毒后通常会出现异常死机，或程序装入时间增长，文仵运行速度下降， 或屏幕显示异常，屏幕显示出不是由正常程序产生的界面或字符串，屏幕显示混乱，或系统自行 引导，或用户并没有访问的设备出现“忙”信号，或磁盘出现莫名其妙的文件和坏块，卷标发生 变化，或丢失数据或程序，文件字节数发生变化，或打印出现问题，打印速度变慢或打印异常字 符.或内存空间、磁盘空间减小，或磁盘访问时间比平时增长，或出现莫明其妙的隐蔽文件，或 程序或数据神秘丢失了，或系统引导时间增长，或可执行文件的大小发生变化等现象。

当笔记本电脑出现上述故障现象后，可以采用下面的方法进行检修。

安装最新版的杀毒软件(如瑞星等)，然后查杀病毒;杀毒时杀毒软件会自动检查有无病毒， 如有病毒，杀毒软件会自动将病毒清除。

2 黑客、木马病毒诊断与排除

黑客、木马病毒的目的一般是为了盗取笔记本电脑用户的个人秘密、银行密码、公司机密等， 而不是为了破坏用户的笔记本电脑，因此笔记本电脑感染黑客、木马病毒后，系统一般不会出现 损坏。只是由于黑客、木马病毒在笔记本电脑中运行需要占用笔记本电脑的资源，因此笔记本电 脑的速度可能变得比较慢，另外，在不使用笔记本电脑的时候，笔记本电脑看起来还是很忙。

如果笔记本电脑感染黑客、木马病毒可以采用下面方法进行检修。

① 安装最新版杀毒软件和防火墙(如瑞星)，然后运行杀毒软件杀毒即可。

② 手动查找黑客、木马病毒，具体的操作方法如下。

◆重新启动笔记本电脑到安全模式下，然后单击窗口中的“查看—文件夹选项”命令，接着单击切 换到“查看”选项卡，在“高级选项”列表框中取消“隐藏受保护的操作系统文件(推荐)”复选框，并选中“显示所有文件和文件夹”单选按钮，然后单击“确定”按钮，让所有文件都可见。

◆打开“我的电脑”中的c盘，查看c盘根目录下是否存在不熟悉的文件。如果有，且日期为发现 中毒现象当天，则将其删除。

◆查看完C盘根目录下后，接着打开C盘中的MNDOWS文件夹，首先按照修改时间顺序徘列图标， 查看最下面的文件。如果发现有中毒现象当天新建的文件，且为没有见过的，将其删除。

◆进入C盘WINDOWS文件夹中的system32文件夹，同样按照修改时间顺序排列图标，查看其中 的文件和文件夹。如果发现当天新建的文件或文件夹有中毒现象，且为没有见过的，将其删除。

◆查看C盘Program Files文件夹中的Intemet Explorer文件夹和Common Files文件夹，按照上面的 方法进行查看。

◆查看注册表的启动项，看有无不认识的启动项目，如果有，将其删除，同时清空临时文件夹 ( C:\WINDOWS\Temp)，接着重新启动笔记本电脑即可。

如何用注册表查杀木马病毒

木马取自古希腊神话的特洛伊木马记，是一种基于远程控制的黑客工具，具有很强的隐藏性和危害性。为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己，加载运行的目的。这里，我们简要的介绍一下木马通用的激活方式，它们的藏身地，并通过一些实例来让您体会一下手动清除木马的方法。

●在Win.ini中启动木马：

在Win.ini的[Windows]小节中有启动命令“load=”和“run=”，在一般的情况下“=”后面是空的，如果后面跟有程序，比如：

run=C:Windows ile.exe

load=C:Windows ile.exe

则这个file.exe很有可能就是木马程序。

●在Windows XP注册表中修改文件关联：

修改注册表中的文件关联是木马常用的手段，如何修改的方法已在本系列的前几文中有过阐述。举个例子，在正常情况下txt文件的打开方式为Notepad.exe（记事本），但一旦感染了文件关联木马，则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”，就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”，这样，当你双击一个txt文件时，原本应该用记事本打开的文件，现在就成了启动木马程序了。当然，不仅是txt 文件，其它类型的文件，如htm、exe、zip、com等文件也都是木马程序的目标，要小心。

对这类木马程序，只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支，查看其值是否正常。

●在Windows XP系统中捆绑木马文件：

实现这种触发条件首先要控制端和服务端已通过木马建立连接，控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原有文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被重新安装了。如果捆绑在系统文件上，则每次Windows XP启动都会启动木马。

●在System.ini中启动木马：

System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所，木马通常的做法是将该语句变为这样：

Shell=Explorer.exe file.exe

这里的file.exe就是木马服务端程序。

另外，在[386enh]小节，要注意检查在此小节的“driver=path程序名”，因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的，所以也是添加木马的理想场所。

●利用Windows XP注册表加载运行：

注册表中的以下位置是木马偏爱的藏身之所：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

●在Autoexec.bat和Config.sys中加载运行木马：

要建立控制端与服务端的连接，将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽，所以这种方式并不多见，但也不能掉以轻心。

●在Winstart.bat中启动木马：

Winstart.bat也是一个能自动被Windows XP加载运行的文件，多数时由应用程序及Windows自动生成，在执行了Win.com或者Kernel386.exe，并加载了多数驱动程序之后开始执行（这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知）。由于Autoexec.bat的功能可以由 Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行。

木马病毒的通用排查技术

现在，我们已经知道了木马的藏身之处，查杀木马自然就容易了。如果您发现计算机已经中了木马，最安全最有效的方法就是马上与网络段开，防止计算机骇客通过网络对您进行攻击，执行如下步骤：

l 编辑Win.ini文件，将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”，“load=”。

l 编辑System.ini文件，将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。

l 在Windows XP注册表中进行修改：先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除，并在整个注册表中查找木马程序，将其删除或替换。但可恶的是，并不是所有的木马程序都只要删除就能万事大吉的，有的木马程序被删除后会立即自动添上，这时，您需要记下木马的位置，即它的路径和文件名，然后退到DOS系统下，找到这个文件并删除。重启计算机，再次回到注册表中，将所有的木马文件的键值项删除。

Re:用注册表清除计算机病毒

计算机木马清除实例

●冰河v1.1的注册表清除实例：

在注册表编辑器中打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，在右边的窗口中找到并删除C:WINNTSystem32Kernel32.exe，C:WINNTSystem32sysexplr.exe，再重新启动到MS-DOS方式后，删除C:WINNTSystem32Kernel32.exe和C:WINNTSystem32sysexplr.exe木马程序。

AOL Trojan的注册表清除实例：

首先到MS-DOS方式下，删除以下文件：

C:command.exe

C:Americ~1.0uddyl~1.exe

C:Windowssystem orton~1 egist~1.exe

打开Win.ini文件，在[Windows]小节下面将特洛伊木马程序的路径清除掉，改为“run=”，“load=”，保存Win.ini文件。

然后打开Windows XP注册表，打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右表窗口中的键值项“WinProfile=C:Command.exe”删除，关闭注册表，重启计算机即可。

●Doly v1.1-v1.5的注册表实例（v1.6和v1.7类似）：

首先进入MS-DOS方式，删除以下三个木马程序，但v1.35版还多一个木马文件Mdm.exe。

C:WindowsSystem esk.sys

C:WindwosStart MenuProgramsStartupmstesk.exe

C:Program FilesMStesk.exe

C:Program FilesMdm.exe

重新启动Windows，打开Win.ini文件，将[windows]小节下的“load=C:WindowsSystem esk.exe”删除，即改为“load=”，保存Win.ini文件。

然后，在注册表中打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除，打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionss子键分支，将其下的全部内容都删除（全为木马参数选择和设置的服务器）；再打开HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右边的窗口中的键值项“Mstesk=”C:Program FilesMStesk.exe””删除。

关闭注册表，打开C:Autoexec.bat文件，删除如下两行：

@echo off copy c:sys.lon C:WindowsStart MenuStartup Items

Del c:win.reg

保存并关闭Autoexec.exe文件。

●IndocTrination v0.1-v0.11注册表清除实例：

在注册表中打开如下子键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices Once

将这些子键右边窗口中的如下键值项删除：

Msgsrv16=“Msgsrv16”，关闭注册表后重启Windows，删除C:WindowsSystemmsgserv16.exe文件。

●SubSeven-Introduction v1.8注册表清除实例：

打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子键分支，在右窗口中查找到含有“C:WindowsSystem.ini”的键值项数据，将它删除。

打开Win.ini文件，将其中的“run=kernel16.dl”改为“run=”，保存并关闭Win.ini文件。

打开System.ini文件，将其中的“shell=explorer.exe kernel32.dl”改为“shell=explorer.exe”，保存并关闭System.ini文件，重启Windows，删除C:Windowskernel16.dl文件。

●广外女生注册表清除实例：

退到MS-DOS模式下，删除System目录下的diagcfg.exe。由于该病毒关联的是exe文件，因此，现在删除它后Windows环境下任何exe文件都将无法运行。我们先找到Windows目录下的注册表编辑器“Regedit.exe”，将其改名为“Regedit.com”。

回到Windows模式下，运行“Regedit.com”。打开HKEY_CLASSES_ROOTexefileshellopencommand，将其默认值改为“%1 %*”，删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的键值项“Diagnostic Configuration”。关闭注册表。

回到Windows目录，将“Regedit.com”改回“Regedit.exe”。

●Netbull（网络公牛）注册表清除实例：

该病毒在Windows 9X下：捆绑notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在Windows NT/2000下捆绑：notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打开：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun

在这些子键下删除键值项“CheckDll.exe”=“C:WindowsSystemCheckDll..exe”。

另外，要察看自己的机器是否中了该病毒，可以察看上面列出的文件，如果发现该文件长度发生变化（大约增加了40K左右），就删除它们。然后点击[开始]|[附件]|[系统工具]|[系统文件检查器]，在弹出的对话框中选择“从安装软盘提取一个文件”，在框中填入要提取的文件（前面你删除的），点“确定”，按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件，如realplay.exe、QQ等被捆绑上了，那就必须把这些文件删除后重新安装了。

●聪明基因注册表清除实例：

删除C:Windows下的MBBManager.exe和Explore32.exe，再删除C:WindowsSystem下的editor.exe文件。如果服务端已经运行，则要先用进程管理软件终止MBBManager.exe这个进程后才能将它删除。

打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，删除键值项“MainBroad BackManager”。将HKEY_CLASSES_ROOT xtfileshellopencommand的默认值改为“C:WindowsNotepad.exe %1”，恢复txt文件关联。将HKEY_CLASSES_ROOThlpfileshellopencommand的默认值改为“C:Windowswinhlp32.exe %1”，恢复hlp文件关联。

;ID=749page=7

怎么样从注册表里删除木马

楼主您好，从注册表是不能删除木马的，很多木马开机启动，就是因为他们修改了注册表，我们可以通过注册表来禁止木马开机启动，但是不能通过注册表来删除它们！希望楼主采纳！

在注册表编辑器内怎么清除木马呀

1.检测木马的存在

首先，查看system.ini、win.ini、启动组中的启动项目。由“开始-运行”，输入msconfig，运行Windows自带的“系统配置实用程序”。

a.查看system.ini文件

选中“System.ini”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=Explorer.exe”，如果不是这样，就可能中了木马了。

b.查看win.ini文件

c.选中win.ini标签，展开[windows]目录项，查看“run=”和“load=”行，等号后面正常应该为空。

d.查看启动组

再看看启动标签中的启动项目，有没有什么非正常项目？要是有象netbus、netspy、bo等关键词，极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态，不需要或无大用途的项目都屏蔽掉了。如下图，只是选中了与注册表检查、音量控制、输入法和能源保护相关的启动栏。到时要是有木马出现，自是一目了然。

e.查看注册表

由“开始-运行”，输入regedit，确定就可以运行注册表编辑器。再展开至：“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己不熟悉的自动启动文件项目，比如netbus、netspy、netserver等的单词。注意，有的木马程序生成的服务器程序文件很像系统自身的文件，想由此伪装蒙混过关。比如Acid　Battery木马，它会在注册表项“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入

Explorer=“C:WINDOWSexpiorer.exe”，木马服务器程序与系统自身的真正的Explorer之间只有一个字母的差别！

通过类似的方法对下列各个主键下面的键值进行检查：

HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce

HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnceEx

HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce

如果**作系统是Windows　NT，还得注意HKEY-LOCAL-MACHINESoftwareSAM下面的内容，如果有项目，那极有可能就是木马了。正常情况下，该主键下面是空的。

当然在注册表中还有很多地方都可以隐藏木马程序，上面这些主键是木马比较常用的隐身之处。除此之外，象HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun、HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun或其它主键下面找到木马程序的文件名，再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。

如果有留意，注册表各个主键下都会有个叫“（默认）”名称的注册项，而且数据显示为“（未设置键值）”，也就是空的。这是正常现象。如果发现这个默认项被替换了，那么替换它的就是木马了。

f.其它方法

上网过程中，在进行一些计算机正常使用**作时，发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。

如果怀疑你现在正在被木马控制，那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话，最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法：

由“开始-运行”，输入command，确定，开一个MS-DOS窗口。或者由“开始-程序-MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。

显示出来的结果表示为四列，其意思分别为Proto：协议，Local　Address：本地地址，Foreign　Address：远程地址，State：状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常（比如大于5000），而Foreign　Address中的地址又不为正常网络浏览的地址，那么可以判断你的机器正被Foreign　Address中表示的远程计算机所窥视着。在对应行的Foreign　Address中显示的IP地址就是目前非法连接你计算机的木马客户端。

当网络处于非活动状态，也就是目前没什么活动网络连接时，在MS-DOS窗口中用netstat命令将看不到什么东西。此时可以使用“netstat　-a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口。对于Windows98来说，正常情况下，会出现如下的一些处于监听状态的端口（安装有NETBEUI协议）：

如果出现有不明端口处于监听（LISTENING）状态，而目前又没有进行任何网络服务**作，那么在监听该端口的就是特洛伊木马了！如下图所示的23456和23457端口都处于监听状态，很明显是木马造成的。

注意，使用此方法查询处于监听状态的端口，一定要保证在短时间内（最好5分钟以上）没有运行任何网络冲浪软件，也没有进行过任何网络**作，比如浏览网页，收、发信等。不然容易混淆对结果的判断。

2.删除木马

好了，用上面的一些方法发现自己的计算机中了木马，那怎么办？当然要将木马删除了，难道还要保留它！首先要将网络断开，以排除来自网络的影响，再选择相应的方法来删除它。　

a.由木马的客户端程序　

由先前在win.ini、system.ini和注册表中查找到的可疑文件名判断木马的名字和版本。比如“netbus”、“netspy”等，很显然对应的木马就是NETBUS和NETSPY。从网上找到其相应的客户端程序，下载并运行该程序，在客户程序对应位置填入本地计算机地址：127.0.0.1和端口号，就可以与木马程序建立连接。再由客户端的卸除木马服务器的功能来卸除木马。端口号可由“netstat　-a”命令查出来。

这是最容易，相对来说也比较彻底载除木马的方法。不过也存在一些弊端，如果木马文件名给另外改了名字，就无法通过这些特征来判断到底是什么木马。如果木马被设置了密码，既使客户端程序可以连接的上，没有密码也登陆不进本地计算机。当然要是你知道该木马的通用密码，那就另当别论了。还有，要是该木马的客户端程序没有提供卸载木马的功能，那么该方法就没什么用了。当然，现在多数木马客户端程序都是有这个功能的。

b.手工

不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、......，那我们就手工慢慢来删除这该死的木马吧。

用msconfig打开系统配置实用程序，对win.ini、system.ini和启动项目进行编辑。屏蔽掉非法启动项。如在win.ini文件中，将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=xxx”，更改为：“shell=Explorer.exe”。

用regedit打开注册表编辑器，对注册表进行编辑。先由上面的方法找到木马的程序名，再在整个注册表中搜索，并删除所有木马项目。由查找到的木马程序注册项，分析木马文件在硬盘中的位置（多在C:WINDOWS和C:WINDOWSCOMMAND目录下）。启动到纯MS-DOS状态（而不是在Windows环境中开个MS-DOS窗口），用del命令将木马文件删除。如果木马文件是系统、隐藏或只读文件，还得通过“attrib　-s　-h　-r”将对应文件的属性改变，才可以删除。

为保险起见，重新启动以后再由上面各种检测木马的方法对系统进行检查，以确保木马的确被删除了。

目前也有一些木马是将自身的程序与Windows的系统程序进行了绑定（也就是感染了系统文件）。比如常用到的Explorer.exe，只要Explorer.exe一得到运行，木马也就启动了。这种木马可以感染可执行文件，那就更象病毒了。由手工删除文件的方法处理木马后，一运行Explorer.exe，木马又得以复生！这时要删除木马就得连Explorer.exe文件也给删除掉，再从别人相同**作系统版本的计算机中将该文件Copy过来就可以了

如何清除注册表中的木马病毒?

1.推荐a-squared

Free

V3.0

中文绿色版

可以查杀1427681种木马、后门、蠕虫、拨号器、间谍软件和广告软件

2.Windows清理助手

3.免费的、汉化的AVG

Anti-Spyware

7.5.1.43

他的数据库中的特征码数量是1289493

这些都是绿色软件

不需要安装

不随系统启动

与任何杀毒软件都没有冲突

如果以上都不可以,请出动那手管家:木马清道夫