记事本分析和总结.docx

  1. 1、本文档共10页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多

A

记事本图文杀毒(*??%??% 在现在这种网络环境下,电脑要不感染病毒和流

氓软件可真是挺难的。那中了病毒咋办?用杀毒软件吧。可是有些病毒就是那么顽固,你在“任务管理器”里刚把它的进程给结束了,它又马上重新运行了,当你把病毒文件删掉,重启系统后它又死灰复燃。这种病毒是最让人抓狂的,因为杀毒软件和流氓软件清除工具似乎对这样的病毒都毫无办法。那么要如何对付它呢?请出我们的“大杀器”——记事本吧。

改变文件关联让病毒不再启动

为什么病毒会死灰复燃,清除不掉?那是因为没有清除干净,没有删除病毒相关的启动信息,这样病毒在下次系统启动时又会运行了,周而复始,整得你精疲力荆那么有什么办法可以在未清除干净病毒的情况下让它不再自动启动呢?

改变文件关联

点击“开始”菜单→“运行”,输入“cmd”运行“命令提示符”,输入:“ftypeexefile=notepad.exe%1”,回车就可以了。这条命令的作用是改变exe程序的文件关联,让所有的exe可执行文件都用“记事本”程序进行打开。这样即使我们未彻底清除病毒,当系统重启后,病毒的运行将不会再产生任何的效果,而是打开记事本程序。

小贴士:如果病毒是cmd或者vbs类型的文件,那么只需将上述命令中的“ftypeexefile”改为“ftypecmdfile”和“ftypevbsfile”即可。

清除顽固病毒

改变文件关联后,让我们来看下效果如何吧。重启系统,登录后我们会发现系统自动弹出了不少记事本窗口,这其中就有自动运行的病毒,只不过现在以记事本形式打开,没有任何作用了。不过这其中也有不少正常的程序,例如系统自带的输入法程序ctfmon.exe,以及QQ.exe这样的应用程序等,我们要注意鉴别。

在现在的系统中,病毒是没有运行的,可以说是一个纯净的系统。这时是清除顽固病毒最好的时机,那么病毒文件在哪呢?通过记事本我们就可以把它找出来,点击病毒记事本文档菜单中的“文件“→”另存为”,这时我们就可以看见病毒所在的路径以及文件名了。选中病毒后,将其删除即可。

恢复文件关联

清除完病毒,该把文件关联恢复过来了。不过我们现在已经无法运行“命令提示符”了,因为它也会以“记事本”的形式打开,恢复的方法为:用鼠标右键点击任何文件,在出现的菜单中选择“打开方式”,然后点击“浏览”,转到“Windows”目录的“System32”下,选择cmd.exe,点击“确定”。这样就可以再次打开“命令提示符”窗口了,然后我们输入:“ftypeexefile=%1%*”,回车后就可以将文件关联恢复过来了。

最后,用杀毒软件来一次彻底的查杀吧,把病毒的残留文件清除干净。再用安全工具修复被病毒篡改的注册表,这样就大功告成了。

B

-----------------摘自《电脑爱好者》

面对病毒,在杀毒软件都束手无策的情况下,除了绝望我们还能怎样?不如抄起记事本跟它拼了。不过别误会,这个记事本不是你桌案上那个皮质封面的,而是Windows里再熟悉不过的记事本程序了。而且,用它杀毒的效果居然奇佳呢,试试吧!

实例1:使用记事本替换双进程木马杀毒

现在,越来越多的木马采用双进程守护技术保护自己,就是两个拥有同样功能的代码程序,。不断地检测对方是否已经被终止,如果发现对方已经被终止,那么又开始创建对方,这给我们的查杀带来很大的困难。不过,此类木马也与软肋,它只通过进程列表进程名称来判断被守护进程是否存在,这样我们只要用记事本程序来替代木马进程,就可以达到欺骗守护进程的目的。

下面以查杀FallingStar变种木马为例。中了该木马后,木马的internet.exe和systemtray.exe两个进程会互相监视,当然我们中招的时候大多步知道木马具体的监护进程,不过通过进程名就可以知道,systemtray.exe是异常的进程,因为系统正常进程中没有该进程,下面使用替换方法来查杀该木马。

第一步:单击开始-运行,输入msinfo32打开系统信息窗口,展开系统摘要-软件环境-正在运行任务,这里可以看到systemtray.exe路径在C:\Windows\System32下。如果是Vista系统,可以直接在任务管理器中找到其路径,XP系统安装了Vista系统的任务管理器后也可以做到。

第二步:打开C:\Windows\System32,复制记事本程序notepad.exe到D:\,同时重命名为systemtray.exe。

第三步:打开记事本程序,输入下列代码,保存为shadu.bat,放置在桌面:

taskkill/f/imsystemtray.exe

delC:\Windows\system32\sys

文档评论(0)

tianya189 + 关注
官方认证
内容提供者

该用户很懒,什么也没介绍

认证主体阳新县融易互联网技术工作室
IP属地湖北
统一社会信用代码/组织机构代码
92420222MA4ELHM75D

1亿VIP精品文档

相关文档