电脑高手进~电脑好象中木马了~急急急
直接看图吧 好象删不了~
我按离开或删除~他又会弹出同样的警告....同时威胁就增加一个
请高手帮帮忙~
怎么样才能删掉~
同时是不是中了木马? 我还能上游戏玩吗?
急 急 急 本人在线 速度回话~~~~~~~~高分高分
我在网上查了,没有关于这个wuno0.exe的信息,但下面的方法,只要你用了,就不会有不正常存在。
1.准备利器。你得先下载或复制(从其他电脑)最新,最好(一般是网上知名度高的)的木马专杀工具和预备的杀毒软件(建议你到翱翔的博客,他的关于系统的一切都有,且有效(还有各种软件)http://hi.baidu.com/guoguo6688)。另外我觉得‘360’不错。
2.你确定是木马?是什么木马?开机时它提示的木马名称要记下来。还有方法:
a。在任何能显示网络连接状态的软件上查看(防火墙大多都可)可疑连接并记下名称。b。同时按下键盘上alt+ctrl+delete键,在进程中查看可疑进程。
附1常见进程:vista 常见进程
(1)360tray.exe
360安全卫士应用程序实时保护模块.
(2)audiodg.exe
Wingdows音频图像隔离。
(3)bdagent.exe
BitDefenderProfessional杀毒软件相关程序。BitDefenderProfessional是罗马尼亚的一款杀毒软件,它将为您的计算机提供最大的保护,它具有功能强大的反病毒引擎以及互联网过滤技术。
(4)bdmcon.exe
是SoftWin公司出品的BitDefender反病毒产品的一部分。
(5)bdss.exe
是BitDefender反病毒软件的一部分。
(6)csrss.exe(2个)
是微软客户端/服务端运行时子系统。该进程管理windows图形相关任务。这个程序对你系统的正常运行是非常重要的。
注意:csrss.exe也有可能是w32.netsky.ab@mm、w32.webus木马、win32.ladex.a等病毒创建的。该病毒通过email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立smtp服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32下面.
(7)dwm.exe
这是aero界面的一个进程。
(8)explorer.exe
是windows程序管理器或者windows资源管理器,它用于管理windows图形壳,包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致windows图形界面无法适用。
注意:explorer.exe也有可能是w32.codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开附件时,就会被感染。该蠕虫会在受害者机器上建立smtp服务,用于更大范围的传播。该蠕虫允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows下面。
(9)googletoolbarnotifier.exe
是 Google 工具栏的伴随产品。要启用工具栏的搜索设置通知程序功能,需要此可执行程序。
(10)ieuser.exe
IE7进程。
(11)iexplore.exe
是microsoft internet explorer的主程序。这个微软windows应用程序让你在网上冲浪,和访问本地interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是avant网络浏览器的一部分,这是一个免费的基于internet explorer的浏览器。
注意:iexplore.exe也有可能是木马.killav.b病毒,该病毒会终止你的反病毒软件,和一些windows系统工具。正常的进程应该是在\programfiles\internetexplorer和system32\dllcache下面.
(12)livesrv.exe
BitDefenderProfessional杀毒软件在线升级程序。BitDefenderProfessional是罗马尼亚的一款杀毒软件,它将为您的计算机提供最大的保护,它具有功能强大的反病毒引擎以及互联网过滤技术。
(13)lsass.exe
是一个关于微软安全机制的系统进程,主要处理一些特殊的安全机制和登录策略。
(14)lsm.exe
一个用来管理计算机的终端服务器连接的新进程(即“本地会话管理器”)。
(15)notepad.exe
是windows自带的记事本程序。是windows默认用来打开和编辑文本文件的程序。
(16)realsched.exe
是Real Networks产品定时升级检测程序.
(17)searchindexer.exe
为文件、电子邮件以及其他内容(通过可扩展性 API)提供内容索引和属性缓存。该服务响应文件和电子邮件通知,从而对已修改的内容编制索引。如果该服务已停止或被禁用,资源管理器将无法显示项目的虚拟文件夹视图,在资源管理器中搜索将回退为速度较慢的逐项搜索。
(18)services.exe
是微软windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。
注意:services也可能是w32.randex.r(储存在%systemroot%\system32\目录)和sober.p (储存在%systemroot%\connection wizard\status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除.
(19)sidebar.exe
vista边栏
(20)slsvc.exe
Microsoft软件授权服务。
(21)smss.exe
是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。
注意:smss.exe也可能是win32.ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32下面.
(22)spoolsv.exe
用于将windows打印机任务发送给本地打印机。
注意:spoolsv.exe也有可能是backdoor.ciadoor.b木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32下面。如果出现在spoolsv目录下,则可能一些ie插件的文件,建议使用反间谍进行扫描。
(23)svchost.exe(8个)
是一个属于微软windows操作系统的系统程序,用于执行dll文件。这个程序对你系统的正常运行是非常重要的。
注意:svchost.exe也有可能是w32.welchia.worm病毒,它利用windowslsass漏洞,制造缓冲区溢出,导致你计算机关机。请注意此
进程的名字,还有一个病毒是svch0st.exe,名字中间的是数字0,而不是英文字母o。请注意此进程所在的文件夹,正常的进程应该
(24)system
是windows页面内存管理进程,拥有0级优先。
(25)system Idle process
它更多用于是显示剩余的cpu资源情况。无法删除该进程。
(26)taskeng.exe(2个)
任务计划引擎。
(27)taskmgr.exe
用于windows任务管理器。它显示你系统中正在运行的进程。该程序使用ctrl+alt+del打开,这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
(28)vsserv.exe
是Bull Guard网络安全套装和BitDefender反病毒软件相关程序。
(29)wininit.exe
Windows启动应用程序。
(30)winlogon.exe
是windows域登陆管理器。它用于处理你登陆和退出系统过程。该进程在你系统的作用是非常重要的。
注意:winlogon.exe也可能是w32.netsky.d@mm蠕虫病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建smtp引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32下面.
(31)wuauclt.exe
是Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使你无法得到最新更新信息。
(32)xcommsvr.exe
是BitDefender反病毒产品相关程序
附2常见进程:
agrsmsvc.exe :Agere调制解调器进程。
audiodg.exe : Windows音频设备图形隔离程序
BTTray.exe : Widcomm公司蓝牙相关产品在系统托盘的进程
btwdins.exe : 是为了微软Windows操作系统支持蓝牙技术的程序
csrss.exe : 客户端服务子系统,用以控制Windows图形相关子系统
dmhkcore.exe : 是微软microsoftwindowsmediaplayer10播放器的相关程序。
explorer.exe : Windows 资源管理器,可以说是 Windows 图形界面外壳程序是一个有用的系统进程
ieuser.exe : 专门帮助IE打理需要普通用户权限的进程
iexplore.exe : 是Microsoft Internet Explorer的主程序
IMSSync.exe : Intel Media播放器的进程。
lsass.exe :是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略
lsm.exe : 本地会话管理器服务
mobsync.exe : 是Internet Explorer相关程序,用于同步离线网页
MSASCui.exe : WindowsDefender(原名WindowsAntiSpyware)是微软出品的一款反间谍软件的产品
realsched.exe : 是RealPlayer自动升级程序
Richvideo.exe : 是cyberlink公司的视频处理软件程序
rthdvcpl.exe :是声音控制面板程序 searchindexer.exe :MirosoftWindowsVista桌面搜索索引程序
services.exe : 是微软Windows操作系统的一部分。用于管理启动和停止服务
sidebar.exe : 描述 WindowsVista侧边栏程序
slsvc.exe : Microsoft 软件授权(licensing)技术提供所需的API服务
smss.exe : 这是一个会话管理子系统,负责启动用户会话
spoolsv.exe : 用于将Windows打印机任务发送给本地打印机
svchost.exe : 是一个标准的动态连接库主机处理服务
taskeng.exe : 任务计划程序引擎
taskmgr.exe : Windows任务管理器进程
viivmonitor.exe :基于英特尔® 欢核™ 处理器技术的电脑所用的显示进程
wininit.exe windows启动应用程序
conime.exe 输入法程序(Console IME)
可能还有其它进程(包括你的杀毒软件)(建议你刚开机后查看进程)
然后在网上查这种木马的专杀,下载。
3.杀毒。
我建议在安全模式杀(这样木马可能不运行,且易查杀)。
方法:开机(刚按下电源)---马上按F8键---选择安全模式(不带网络连接)---确定进入。进入后,你在开始---运行----msconfig---确定。在‘启动’选项卡中把除系统外的项都去掉勾(哪些是安全的你在网上查一下),并且记录下相关可疑项名称。
运行你的专杀工具,一个一个来,有耐心。
4.检查启动项。
下面是启动项位置:
系统启动项汇总(病毒常添加的启动项的位置)2008-09-23 23:13系统修复工具:http://549612431.qupan.com/323600.html
Process.Explorer11查看进程工具:
http://549612431.qupan.com/244348.html
一.文件夹启动位置:
1.C:\Documents and Settings\用户名\「开始」菜单\程序
2.C:\Documents and Settings\All Users\「开始」菜单\程序\启动
二.注册表(开始--运行---输入 regedit)加载的启动项:
1.Run:
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run(病毒喜欢光顾的地方)
c.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
d.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
e.HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run(不常见)
2.RunOnce:
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
3.RunServicesOnce:(启动服务:在用户登录前启动)
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
4.RunServices:
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
b.HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
(注:与3相同点:两者都在用户登录之前,不同点:RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行。)
5.Load:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows右侧添加load字符串值,值为要启动程序的路径.(在HKEY_LOCAL_MACHINE中无用)
6.Winlogon:
a.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon(下面新建Notify、Userinit值项不起作用,shell有用,但加载的程序运行后,explorer.exe不运行,要手动开启;)
b.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
(注:右侧的"shell"的值"Explorer.exe"后加载恶意程序启动项,还有"userinit"在值为"C:\WINDOWS\system32\userinit.exe,"后添加恶意程序启动.userinit.exe文件丢失或其相关注册表键值错误将导致不能正常登录系统)
c.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify下新建项值可以(如:解决更新系统后,右下角托盘的五角形就是注册表中添加wgalogon项和基相关项值)
7.ShellServiceObjectDelayLoad:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
8.Scripts:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts(右侧添加自启动项)
8.AppInit_DLLs:(一些病毒的DLL模块,利用它开机自启动,有时还会把此文件类型更改,正常的类型是REG_SZ值为空)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
三.系统配置文件:在Windows的配置文件(包括Win.ini、System.ini和wininit.ini文件)也会加载一些自动运行的程序。在开始--运行--输cmd--确定---再输入对应配置文件名称,如win.ini----点键盘上enter键打开)
1.Win.ini:
"load"后面的程序在自启动后最小化运行,而“run=”后程序则会正常运行.
2.System.ini:
"shell"=Explorer.exe(正常)"shell"=Explorer.exe+其它程序名或者"shell"=直接指定病毒程序路径.
3.wininit.ini:
Windows启动时自动执行后会被自动删除,这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成,
(注:或者运行msconfig在里面看)
四.组策略中开/关机/登录/注销脚本
在Windows 2000/XP中,单击“开始→运行”,输入gpedit.msc回车可以打开“组策略编辑器”,在左侧窗格展开“本地计算机策略→用户配置→管理模板→ 系统→登录”,然后在右窗格中双击“在用户登录时运行这些程序”,单击“显示”按钮,在“登录时运行的项目”下就显示了自启动的程序.
五.任务计划:(可以自行添加自启动项)
c:\windows\tasks\文件夹中后缀为.job为计划任务. 一个JOB代表一个计划任何.病毒一般使用隐藏.JOB文件来达到秘密运行病毒或破坏系统文件的目的.
然后你检查有没有我们之前记下的可疑名称。有的删除。
最后提醒一句:电脑不会自动没问题,也不会自动有问题,你要自己试着探索解决,在百度搜索。积累经验,自己以后也可独立解决问题。
祝你解决问题。
1.准备利器。你得先下载或复制(从其他电脑)最新,最好(一般是网上知名度高的)的木马专杀工具和预备的杀毒软件(建议你到翱翔的博客,他的关于系统的一切都有,且有效(还有各种软件)http://hi.baidu.com/guoguo6688)。另外我觉得‘360’不错。
2.你确定是木马?是什么木马?开机时它提示的木马名称要记下来。还有方法:
a。在任何能显示网络连接状态的软件上查看(防火墙大多都可)可疑连接并记下名称。b。同时按下键盘上alt+ctrl+delete键,在进程中查看可疑进程。
附1常见进程:vista 常见进程
(1)360tray.exe
360安全卫士应用程序实时保护模块.
(2)audiodg.exe
Wingdows音频图像隔离。
(3)bdagent.exe
BitDefenderProfessional杀毒软件相关程序。BitDefenderProfessional是罗马尼亚的一款杀毒软件,它将为您的计算机提供最大的保护,它具有功能强大的反病毒引擎以及互联网过滤技术。
(4)bdmcon.exe
是SoftWin公司出品的BitDefender反病毒产品的一部分。
(5)bdss.exe
是BitDefender反病毒软件的一部分。
(6)csrss.exe(2个)
是微软客户端/服务端运行时子系统。该进程管理windows图形相关任务。这个程序对你系统的正常运行是非常重要的。
注意:csrss.exe也有可能是w32.netsky.ab@mm、w32.webus木马、win32.ladex.a等病毒创建的。该病毒通过email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立smtp服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32下面.
(7)dwm.exe
这是aero界面的一个进程。
(8)explorer.exe
是windows程序管理器或者windows资源管理器,它用于管理windows图形壳,包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致windows图形界面无法适用。
注意:explorer.exe也有可能是w32.codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开附件时,就会被感染。该蠕虫会在受害者机器上建立smtp服务,用于更大范围的传播。该蠕虫允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows下面。
(9)googletoolbarnotifier.exe
是 Google 工具栏的伴随产品。要启用工具栏的搜索设置通知程序功能,需要此可执行程序。
(10)ieuser.exe
IE7进程。
(11)iexplore.exe
是microsoft internet explorer的主程序。这个微软windows应用程序让你在网上冲浪,和访问本地interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是avant网络浏览器的一部分,这是一个免费的基于internet explorer的浏览器。
注意:iexplore.exe也有可能是木马.killav.b病毒,该病毒会终止你的反病毒软件,和一些windows系统工具。正常的进程应该是在\programfiles\internetexplorer和system32\dllcache下面.
(12)livesrv.exe
BitDefenderProfessional杀毒软件在线升级程序。BitDefenderProfessional是罗马尼亚的一款杀毒软件,它将为您的计算机提供最大的保护,它具有功能强大的反病毒引擎以及互联网过滤技术。
(13)lsass.exe
是一个关于微软安全机制的系统进程,主要处理一些特殊的安全机制和登录策略。
(14)lsm.exe
一个用来管理计算机的终端服务器连接的新进程(即“本地会话管理器”)。
(15)notepad.exe
是windows自带的记事本程序。是windows默认用来打开和编辑文本文件的程序。
(16)realsched.exe
是Real Networks产品定时升级检测程序.
(17)searchindexer.exe
为文件、电子邮件以及其他内容(通过可扩展性 API)提供内容索引和属性缓存。该服务响应文件和电子邮件通知,从而对已修改的内容编制索引。如果该服务已停止或被禁用,资源管理器将无法显示项目的虚拟文件夹视图,在资源管理器中搜索将回退为速度较慢的逐项搜索。
(18)services.exe
是微软windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。
注意:services也可能是w32.randex.r(储存在%systemroot%\system32\目录)和sober.p (储存在%systemroot%\connection wizard\status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除.
(19)sidebar.exe
vista边栏
(20)slsvc.exe
Microsoft软件授权服务。
(21)smss.exe
是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。
注意:smss.exe也可能是win32.ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32下面.
(22)spoolsv.exe
用于将windows打印机任务发送给本地打印机。
注意:spoolsv.exe也有可能是backdoor.ciadoor.b木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32下面。如果出现在spoolsv目录下,则可能一些ie插件的文件,建议使用反间谍进行扫描。
(23)svchost.exe(8个)
是一个属于微软windows操作系统的系统程序,用于执行dll文件。这个程序对你系统的正常运行是非常重要的。
注意:svchost.exe也有可能是w32.welchia.worm病毒,它利用windowslsass漏洞,制造缓冲区溢出,导致你计算机关机。请注意此
进程的名字,还有一个病毒是svch0st.exe,名字中间的是数字0,而不是英文字母o。请注意此进程所在的文件夹,正常的进程应该
(24)system
是windows页面内存管理进程,拥有0级优先。
(25)system Idle process
它更多用于是显示剩余的cpu资源情况。无法删除该进程。
(26)taskeng.exe(2个)
任务计划引擎。
(27)taskmgr.exe
用于windows任务管理器。它显示你系统中正在运行的进程。该程序使用ctrl+alt+del打开,这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
(28)vsserv.exe
是Bull Guard网络安全套装和BitDefender反病毒软件相关程序。
(29)wininit.exe
Windows启动应用程序。
(30)winlogon.exe
是windows域登陆管理器。它用于处理你登陆和退出系统过程。该进程在你系统的作用是非常重要的。
注意:winlogon.exe也可能是w32.netsky.d@mm蠕虫病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建smtp引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32下面.
(31)wuauclt.exe
是Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使你无法得到最新更新信息。
(32)xcommsvr.exe
是BitDefender反病毒产品相关程序
附2常见进程:
agrsmsvc.exe :Agere调制解调器进程。
audiodg.exe : Windows音频设备图形隔离程序
BTTray.exe : Widcomm公司蓝牙相关产品在系统托盘的进程
btwdins.exe : 是为了微软Windows操作系统支持蓝牙技术的程序
csrss.exe : 客户端服务子系统,用以控制Windows图形相关子系统
dmhkcore.exe : 是微软microsoftwindowsmediaplayer10播放器的相关程序。
explorer.exe : Windows 资源管理器,可以说是 Windows 图形界面外壳程序是一个有用的系统进程
ieuser.exe : 专门帮助IE打理需要普通用户权限的进程
iexplore.exe : 是Microsoft Internet Explorer的主程序
IMSSync.exe : Intel Media播放器的进程。
lsass.exe :是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略
lsm.exe : 本地会话管理器服务
mobsync.exe : 是Internet Explorer相关程序,用于同步离线网页
MSASCui.exe : WindowsDefender(原名WindowsAntiSpyware)是微软出品的一款反间谍软件的产品
realsched.exe : 是RealPlayer自动升级程序
Richvideo.exe : 是cyberlink公司的视频处理软件程序
rthdvcpl.exe :是声音控制面板程序 searchindexer.exe :MirosoftWindowsVista桌面搜索索引程序
services.exe : 是微软Windows操作系统的一部分。用于管理启动和停止服务
sidebar.exe : 描述 WindowsVista侧边栏程序
slsvc.exe : Microsoft 软件授权(licensing)技术提供所需的API服务
smss.exe : 这是一个会话管理子系统,负责启动用户会话
spoolsv.exe : 用于将Windows打印机任务发送给本地打印机
svchost.exe : 是一个标准的动态连接库主机处理服务
taskeng.exe : 任务计划程序引擎
taskmgr.exe : Windows任务管理器进程
viivmonitor.exe :基于英特尔® 欢核™ 处理器技术的电脑所用的显示进程
wininit.exe windows启动应用程序
conime.exe 输入法程序(Console IME)
可能还有其它进程(包括你的杀毒软件)(建议你刚开机后查看进程)
然后在网上查这种木马的专杀,下载。
3.杀毒。
我建议在安全模式杀(这样木马可能不运行,且易查杀)。
方法:开机(刚按下电源)---马上按F8键---选择安全模式(不带网络连接)---确定进入。进入后,你在开始---运行----msconfig---确定。在‘启动’选项卡中把除系统外的项都去掉勾(哪些是安全的你在网上查一下),并且记录下相关可疑项名称。
运行你的专杀工具,一个一个来,有耐心。
4.检查启动项。
下面是启动项位置:
系统启动项汇总(病毒常添加的启动项的位置)2008-09-23 23:13系统修复工具:http://549612431.qupan.com/323600.html
Process.Explorer11查看进程工具:
http://549612431.qupan.com/244348.html
一.文件夹启动位置:
1.C:\Documents and Settings\用户名\「开始」菜单\程序
2.C:\Documents and Settings\All Users\「开始」菜单\程序\启动
二.注册表(开始--运行---输入 regedit)加载的启动项:
1.Run:
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run(病毒喜欢光顾的地方)
c.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
d.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
e.HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run(不常见)
2.RunOnce:
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
3.RunServicesOnce:(启动服务:在用户登录前启动)
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
4.RunServices:
a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
b.HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
(注:与3相同点:两者都在用户登录之前,不同点:RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行。)
5.Load:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows右侧添加load字符串值,值为要启动程序的路径.(在HKEY_LOCAL_MACHINE中无用)
6.Winlogon:
a.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon(下面新建Notify、Userinit值项不起作用,shell有用,但加载的程序运行后,explorer.exe不运行,要手动开启;)
b.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
(注:右侧的"shell"的值"Explorer.exe"后加载恶意程序启动项,还有"userinit"在值为"C:\WINDOWS\system32\userinit.exe,"后添加恶意程序启动.userinit.exe文件丢失或其相关注册表键值错误将导致不能正常登录系统)
c.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify下新建项值可以(如:解决更新系统后,右下角托盘的五角形就是注册表中添加wgalogon项和基相关项值)
7.ShellServiceObjectDelayLoad:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
8.Scripts:
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts(右侧添加自启动项)
8.AppInit_DLLs:(一些病毒的DLL模块,利用它开机自启动,有时还会把此文件类型更改,正常的类型是REG_SZ值为空)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
三.系统配置文件:在Windows的配置文件(包括Win.ini、System.ini和wininit.ini文件)也会加载一些自动运行的程序。在开始--运行--输cmd--确定---再输入对应配置文件名称,如win.ini----点键盘上enter键打开)
1.Win.ini:
"load"后面的程序在自启动后最小化运行,而“run=”后程序则会正常运行.
2.System.ini:
"shell"=Explorer.exe(正常)"shell"=Explorer.exe+其它程序名或者"shell"=直接指定病毒程序路径.
3.wininit.ini:
Windows启动时自动执行后会被自动删除,这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成,
(注:或者运行msconfig在里面看)
四.组策略中开/关机/登录/注销脚本
在Windows 2000/XP中,单击“开始→运行”,输入gpedit.msc回车可以打开“组策略编辑器”,在左侧窗格展开“本地计算机策略→用户配置→管理模板→ 系统→登录”,然后在右窗格中双击“在用户登录时运行这些程序”,单击“显示”按钮,在“登录时运行的项目”下就显示了自启动的程序.
五.任务计划:(可以自行添加自启动项)
c:\windows\tasks\文件夹中后缀为.job为计划任务. 一个JOB代表一个计划任何.病毒一般使用隐藏.JOB文件来达到秘密运行病毒或破坏系统文件的目的.
然后你检查有没有我们之前记下的可疑名称。有的删除。
最后提醒一句:电脑不会自动没问题,也不会自动有问题,你要自己试着探索解决,在百度搜索。积累经验,自己以后也可独立解决问题。
祝你解决问题。
温馨提示:内容为网友见解,仅供参考
第1个回答 2009-06-24
这还不是木马?
进安全模式吧。。
安全模式只加载最基本的启动项。。
进那里面杀毒
进安全模式吧。。
安全模式只加载最基本的启动项。。
进那里面杀毒
第2个回答 2009-06-24
点删除,同时在开始-运行输入msconfig点确定,打开启动。找到悄那个是WINO0取消开机启动。点应用确定,重新启动
第3个回答 2009-06-24
继续玩,目前被杀毒软件屏蔽,删除不掉不代表就可以危害你的电脑了,上网找专杀,,目前还可以玩
电脑高手进~电脑好象中木马了~急急急
在Windows 2000\/XP中,单击“开始→运行”,输入gpedit.msc回车可以打开“组策略编辑器”,在左侧窗格展开“本地计算机策略→用户配置→管理模板→ 系统→登录”,然后在右窗格中双击“在用户登录时运行这些程序”,单击“显示”按钮,在“登录时运行的项目”下就显示了自启动的程序.五.任务计划:(可以自行添加自启动项)c...
专业电脑高手进,感觉电脑被植入木马了,怎么办
如果感觉电脑中了木马可以使用腾讯电脑管家对电脑做一个全盘杀毒将木马清理掉就可以了进入腾讯电脑管家的病毒查杀功能,选择全盘杀毒进行扫描,要是有木马的话就会被扫描出来,将扫描出来的木马清理后重启电脑就行了 。
电脑中马了 高手进 !!菜鸟请闪!!!
1、第一步:下载金山网盾3.5.3;官网下载地址:http:\/\/www.duba.net\/wangdun\/ 第二步:安装金山网盾3.5.3,然后运行,直接点击主界面右侧的【一键修复】的按钮 第三步:发现威胁,点击【立即处理】按钮,修复完成以后,刷新桌面,根据提示重启系统【如果你系统安装了360安全卫士请关闭实时监控后再用...
急!急!求高手“救命”电脑中木马了,怎么重新安装系统?
1、在别的机器上制作一个U盘PE,可以试试U大师,百度U大师,去官网下载二合一版,安装后插入U盘制作。下载一个系统镜像,例如win764位系统,可以去秋叶系统看看,下载后复制到U盘里。2、U盘插在这台电脑上,开机进入BIOS,设置为U盘启动,进入第二项PE系统。3、备份您硬盘上所需要的数据,之后打开分区...
电脑中病毒啦,请高手指点,尽快!
推荐你可以试试腾讯电脑管家,他拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证杀毒质量。如果遇到顽固木马,可以进入安全模式杀毒看看,可以用腾讯电脑管家工具箱——顽固木马克星(强力查杀功能,如图),也可以试试文件粉碎哟。温馨...
中木马了怎么办?电脑高手进 80分!!!·
到安全工具的目录下改工具主程序的名称如改360safe.exe为2.exe(此时安全模式下操作很重要),再试试运行它,可能也会出现,没反映的情况,这正是映像劫持的可怕处,看下法 注册表编辑器定位到 HKEY_LOCAL_MACHINE\\ SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options 并展开里面的...
电脑感染力木马怎么办
2. 电脑中了感染型木马病毒应该怎么办 有几种方案可以尝试。 方案一:使用一键还原系统。右键点击开始→【所有程序】,点击一键还原精灵装机版,开始一键还原系统。 方案二:注册表杀毒。右击任务栏选择→【任务管理器】,CPU运行达到百分百就是被感染,找到相对应的文件记录下来。点击运行输入regedit,点击确认进入注册表编...
电脑故障~麻烦高手进来看看是硬件问题还是中毒了
首先,硬件是不会中毒的,只会坏。其次你机子可能被挂马了,建议使用端口扫描器扫描一下。或者查看本机开放端口的方法来检查自己是否被种了木马或其它hacker程序。以下是详细方法介绍。Windows本身自带的netstat命令 Netstat显示协议统计和当前的 TCP\/IP 网络连接。该命令只有在安装了 TCP\/IP 协议后才可以...
刚刚电脑中了木马,现在不能开机了求高手解决
您好:这样的情况可能是您的电脑中了冰河木马病毒,然后木马病毒感染了显卡驱动导致的,建议您按下开机电源后按F8键,然后选择进入安全模式,然后在安全模式中使用腾讯电脑管家对您的电脑进行一下全面的杀毒吧,打开腾讯电脑管家中的杀毒功能选择闪电查杀或者全盘查杀就可以,杀完毒后重启电脑试试吧,您可以...
电脑好像进了木马,,删不了病毒..怎么办?
1.杀软罢工,包括卡巴、360等;2.上网输入病毒、安全等字样时网页自动关闭 3.安全模式被破坏,进入不了安全模式;(暂时想到这么多~~~)。解决的办法:首先,关闭中毒电脑自动播放功能——运行——gpedit.msc——计算机配置——管理模板——系统——关闭自动播放——点击右键——属性——已启用——所有...
相似回答
大家正在搜
