楼主你好
不一定在C盘的,如果感染等因素,那就更广了。遇到这类的杀毒才是首选
1、电脑杀毒建议安装专业的杀毒软件,用杀毒软件在安全模式下全盘查杀处理病毒应当可以清理彻底,推荐试试腾讯电脑管家,它是免费专业安全软件,杀毒管理二合一(只需要下载一份),占内存小,杀毒好,防护好,无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎!保证杀毒质量。如果遇到顽固木马,可以用首页——工具箱——顽固木马克星,强力查杀,效果相当不错的。
2、安全模式下,将该目录的所有文件按修改时间重新排列,将该病毒以及修改时间和病毒一样的文件删除(先纪录名字)。安全模式下,在运行中输入msconfig,在“启动”中将除了ctfmon之外的所有项目的勾去掉。在安全模式下,把刚才的名字一个一个在注册表中查找一遍,一样路径和名称的键都删除
3、如果遇到所有安全类软件打不开,就可以用安全模式试试。如果安全模式下也进入不了的话没有太好的办法了,可以尝试挂盘杀毒,也可以制作一个引导杀毒的工具,很多杀毒软件都有引导杀毒工具,或者是重装系统。
4、建议你在用杀毒软件检测出木马病毒后,第一时间进行清除。一般当扫描出木马后,都会帮您勾选好所有木马,只需要点击“立即清除”就可以了。有些木马需要重启电脑,为了彻底清除危害千万不要嫌麻烦哦。
如果遇到这类隐藏性很高的、又释放驱动的病毒,很难处理。所以要先对病毒灭活,杀掉活体病毒之后就很容易查杀了
如果遇到木马或病毒杀不掉,一般是由于木马病毒正在运行,或者有其他的病毒进程守护,造成的。
一、自启动目录
“启动”文件夹一般位于系统分区的“Documents and Settings-->User-->〔开始〕菜单-->程序”目录下。这时的User指的是你登录的用户名
如:
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
这是最常用,最简单的Windows启动方式,只需把所需文件或其快捷方式放入文件夹中即可。很多的应用软件就上通过这种方式启动的。
对应的注册表位置:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Startup"="C:\\Documents and Settings\\Administrator\\「开始」菜单\\程序\\启动"
二.第二自启动目录:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
"Common Startup"="C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动"
几乎没多大的区别,第一个是对某个用户设置启动的,属于USER级别的,第二个就是对机器上的所有用户设置,属于机器级别的。通过第二种启动在开始启动中是看不到的。
三、注册表启动
1.Userinit键
位于“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit”。这个键允许指定用逗号分隔的多个程序。
2.Explorer\Run键
位于“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run”和“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run”。
“RunOnce”--这里加载的程序,只被执行一次。许多自启动程序要通过RunOnce子键来完成第一次加载
5.Run键
Run是自动运行程序最常用的键,位置在“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”和“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”。
6.Load键
一个埋藏得较深,而又不容易被人察觉的注册表键值启动键值。
位于“HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。
7.服务启动
位于HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services你所有的服务加载程序都在这里,
如果是运行dll动态链接库文件,就需要调用Rundll32.exe 来执行 Rundll32.exe是Windows用来调用动态连接库函数时所使用的文件
如Rundll32.exe c:\windows\muma.dll,Rundll32
Run和RunServices的区别在于:Run中的程序是在每次系统启动时被启动,RunServices则是会在每次登录系统时被启动。
8.Windows Shell──它位于〔HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\〕通过在下面的Shell字符串类型键值和userinit.exe中,来调用木马,以达到欺骗用户的目的,。
三.特殊启动
autorun.inf
四.计划任务启动方式
五.策略组加载程序
开机启动:C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup
关机启动:C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Shutdown
登陆启动:C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logon
注销启动:C:\WINDOWS\System32\GroupPolicy\User\Scripts\Logoff
六。文件关联启动
一: CMD 关联启动
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun
二: EXE 关联启动
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
下建一个A.exe的项,再在A.exe下建一个Debugger的键,键值就是你的程序B.exe的全路径。
三:TXT文件关联
HKEY_CLASSES_ROOT\txtfile\shell\open\command下的默认值C:\windows\notepad.exe %1
四:HLP文件关联
HKEY_CLASSES_ROOT\hlpfile\shell\open\command下的默认值C:\WINDOWS\WINHLP32.EXE %1
检查注册表。
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以"Run"开头的键值名,其下有没有可疑的文件名。如果有,就需要删除相应的键值,再删除相应的应用程序。
2) 检查启动组。
木马们如果隐藏在启动组虽然不是十分隐蔽,但这里的确是自动加载运行的好场所,因此还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:\windows\start menu\programs\startup,在注册表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。要注意经常检查这两个地方哦!
3) Win.ini以及System.ini也是木马们喜欢的隐蔽场所,要注意这些地方。
比方说,Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小节的Shell=Explorer.exe 后面也是加载木马的好场所,因此也要注意这里了。当你看到变成这样:Shell=Explorer.exe wind0ws.exe,请注意那个wind0ws.exe很有可能就是木马服务端程序!赶快检查吧。
4) 检查C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。木马们也很可能隐藏在那里。
木马的机制原理
5) 如果是EXE文件启动,那么运行这个程序,看木马是否被装入内存,端口是否打开。如果是的话,则说明要么是该文件启动木马程序,要么是该文件捆绑了木马程序,只好再找一个这样的程序,重新安装一下了。
6) 木马启动都有一个方式,它只是在一个特定的情况下启动,所以,平时多注意一下你的端口,查看一下正在运行的程序,用此来监测大部分木马应该没问题的。
木马病毒一般附带在软件或者文件中,这个文件在哪个盘木马就在哪个盘,并不是统一在C盘的,如果楼主电脑中毒,建议楼主下载安装腾讯电脑管家来进行杀毒,
重启电脑按F8进入安全模式--打开腾讯电脑管家--杀毒--全盘扫描--完成后打开工具箱--顽固木马克星--深化主,扫描--完成重启电脑就可以了,
希望这样能够帮到楼
一般各个盘都可以
遇到了木马病毒只要选用强力的杀毒软件杀毒就可以了
建议打开腾讯电脑管家——杀毒,可以为你排查木马和病毒。工具箱中的顽固木马克星还可以帮你处理顽固木马。右上角的隔离区和查看已被隔离的病毒文件,添加信任可以不再查杀它们。
希望你使用愉快!
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024