手動刪除隱藏的病毒和特洛伊木馬。
檢查註冊表
註冊表壹直是很多木馬和病毒青睞的寄生之地。在檢查註冊表之前,請註意備份註冊表。
1.檢查HKEY _ local _ machine \ software \ Microsoft \ Windows \ current version \ run和HKEY _ local _ machine \ software \ Microsoft \ Windows \ current version \ runservicee,檢查鍵值中是否有不熟悉的自動啟動文件,擴展名為EXE,然後記住木馬程序的文件名,再在整個註冊表中搜索。任何人看到相同文件名的鍵值都會被刪除,然後在電腦裏找到特洛伊馬文件的藏身之處,徹底刪除。
2.檢查HKEY_LOCAL_MACHINE和HKEY _ current _ user \ software \ Microsoft \ Internet Explorer \ Main中的幾個項目(比如本地頁面)。如果發現鍵值被修改了,根據自己的判斷改回來就行了。惡意代碼(如“花谷”)經常會修改這些項目。
3.檢查HKEY _ class _ root \ inifile \ shell \ open \ command和HKEY _ class _ root \ txt file \ shell \ open \ command等常用文件類型的默認打開程序是否被更改。這個必須改回來。許多病毒無法通過修改默認的打開程序來刪除,例如。txt和。ini。
請檢查您的系統配置文件。
其實檢查系統配置文件最好的方法就是打開Windows系統配置實用程序(從開始菜單運行msconfig.exe),在這裏可以配置Config.sys、Autoexec.bat、system.ini和win.ini,並且可以選擇啟動系統的時間。
1.檢查win.ini文件(在C:\windows\)並在?WINDOWS?下面,“run=”和“load=”是加載“特洛伊馬”程序的可能方式,壹定要密切關註。壹般情況下,它們的等號後面是沒有任何東西的。如果妳發現後面的路徑和文件名不是妳熟悉的啟動文件,妳的電腦可能是“木馬”。比如攻擊QQ的“特洛伊共和黨”就會在這裏留下痕跡。
2.檢查system.ini文件(在C:\windows\)下,引導下有壹個“shell=文件名”。正確的文件名應該是“explorer.exe”。如果不是“explorer.exe”而是“shell = explorer.exe程序名”,那麽後面的程序就是“特洛伊馬”程序,然後妳會在硬盤上找到這個程序並刪除。
PowerShadow構建的是現有操作系統的虛擬鏡像,也就是影子模式,和真實系統壹模壹樣。用戶可以隨時選擇啟用或退出該虛擬映像。用戶進入影子模式後,所有操作都是虛擬的,不會影響到真實的系統,退出影子模式後所有的改變都會消失。所以,所有的病毒、木馬、流氓軟件都無法侵犯真正的操作系統,它們的所有操作都只是假象。
同時請註意,該版本暫時不提供以下支持功能:
不支持64位操作系統;
不支持RAID體系結構;
不支持Windows 98/ME和Vista操作系統。
PowerShadow目前在中國免費發放給用戶。註冊信息:
用戶名:PowerShadow序列號:vvr 29 e-r4wck 2-k4t 111-v 1 yhtp-4 jyjdd。