当前位置：首页 > 实用文档 > 其他范文> 教你手工清除安哥变种

教你手工清除安哥变种

时间：2023-01-05 07:52:45 其他范文收藏本文下载本文

教你手工清除安哥变种（精选5篇）由网友“我的未知不可知”投稿提供，下面是小编为大家整理后的教你手工清除安哥变种，以供大家参考借鉴!

教你手工清除安哥变种

篇1：教你手工清除安哥变种

步骤一，使用进程序管里器结束病毒进程

右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口，在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“irun4.exe”，单击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；

步骤二，查找并删除病毒程序

通过“我的电脑”或“资源管理器”进入系统目录（\Winnt\System32或\Windows\System32)，找到文件“irun4.exe”将它删除，

注意清空回收站内的内容；

步骤三，清除病毒在注册表里添加的项

打开注册表编辑器:点击开始>运行,输入REGEDIT,按Enter；在左边的面板中,双击（按箭头顺序查找，找到后双击）：“HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run”“HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>RunServices”在右边的面板中,找到并删除如下项目：“Enabledcom”=“irun4.exe”，关闭注册表编辑器。

篇2：“安哥”病毒出现多个变种

国家计算机病毒应急处理中心今天表示，广大计算机用户要特别留意近期“安哥”别名“高波”病毒出现的新变种，

国家计算机病毒应急处理中心经过监测，发现“安哥”（Backdoor.Agobot）病毒近期不断出现新的变种，并且很多用户出现了重复感染。病毒利用微软的多个安全漏洞（MS03-026、MS03-001、MS03-OO7），兼具蠕虫和后门功能，感染后会对系统进行多处修改，另外，病毒可以通过共享进行传播，也会尝试连接IRC（INTERNET在线聊天软件）服务器，一旦连接成功，就能够远程操纵被感染的机器，导致泄密，

病毒还会窃取一些流行的游戏软件的信息。专家建议：

1.修补操作系统漏洞，抵御病毒入侵。尤其是企业内的局域网，每台机器都要进行这项工作。

2.系统管理员在可能的情况下，将用户的权限设置为最低限。这样，在某一个用户出现病毒感染的时候，对整个网络的影响也会相对降低。

3.取消局域网内一切不必要的共享，共享的部分要设置复杂的密码，最大程度地降低被病毒程序和木马程序破译的可能性，提高系统的安全性。

4.安装正版的杀毒软件和防火墙，经常升级并启动“实时监控”系统。在杀毒过程中，要全网同时进行，确保病毒被彻底清除。

篇3：教你手工清除网页恶意代码

Tny380{display:none;}

1.清除每次开机时自动弹出的网页

记住地址栏里出现的网址，然后打开注册表编辑器（方法是在点击开始菜单，之后点击运行，在运行框中输入regedit命令进入注册表编辑器），分别定位到：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce

下，看看在该子项下是否有一个以这个网址为值的值项，如果有的话，就将其删除，之后重新启动计算机，这样在下一次开机的时候就不再会有网页弹出来了。

不过网页恶意代码的编写者有时也是非常的狡猾，他会在注册表的不同键值中多处设有这个值项，这样上面提的方法也未必能完全解决问题。遇到这种情况，你可以在注册表编辑器的选项菜单里选择编辑rarr;查找，在查找对话框内输入开机时自动打开的网址，然后点击查找下一个，将查找到的值项删除。另外，如果你是使用Windows98的用户，可在开始菜单中的运行对话框内输入msconfig，点击确定，打开系统配置实用程序并打开启动选项卡，检查其中是否有非常可疑的启动项，如果有的话请将其禁用(在程序前的打上勾)，然后重启机器就可以了。如果你所使用的是WindowsNT/的用户，可以把Windows98下的系统配置实用程序复制过来并运行进行查找清除。

2.IE标题栏被修改

在系统默认状态下，是由应用程序本身来提供标题栏的信息，但也允许用户自行在上述注册表项目中填加信息，而一些恶意的网站正是利用了这一点来得逞的：它们将串值WindowTitle下的键值改为其网站名或更多的广告信息，从而达到改变浏览者IE标题栏的目的。

具体说来受到更改的注册表项目为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\WindowTitle

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\WindowTitle

解决办法：

1).在Windows启动后，点击开始rarr;运行菜单项，在打开栏中键入regedit，然后按确定键；

2).展开注册表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下，在右半部分窗口中找到串值WindowTitle，将该串值删除即可，或将WindowTitle的键值改为IE浏览器等你喜欢的名字；

3).同理，展开注册表到

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main

然后按2)中所述方法处理。

4).退出注册表编辑器，重新启动计算机，运行IE，你会发现困扰你的问题被解决了

[续]

3.IE默认连接首页被修改

IE浏览器上方的标题栏被改成欢迎访问hellip;hellip;网站的样式，这是最常见的篡改手段，受害者众多。

受到更改的注册表项目为：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main\StartPage

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\StartPage

通过修改StartPage的键值，来达到修改浏览者IE默认连接首页的目的，如浏览万花谷就会将你的IE默认连接首页修改为on888.home.chinaren.com，即便是出于给自己的主页做广告的目的，也显得太霸道了一些，这也是这类网页惹人厌恶的原因。

解决办法：

1).在Windows启动后，点击开始rarr;运行菜单项，在打开栏中键入regedit，然后按确定键；

2).展开注册表到

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Main下，在右半部分窗口中找到串值StartPage双击，将StartPage的键值改为about:blank即可；

3).同理，展开注册表到

HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main

在右半部分窗口中找到串值StartPage，然后按2)中所述方法处理，

4).退出注册表编辑器，重新启动计算机，一切OK了！

特殊例子：当IE的起始页变成了某些网址后，就算你通过选项设置修改好了，重启以后又会变成他们的网址啦，十分的难缠。其实他们是在你机器里加了一个自运行程序，它会在系统启动时将你的IE起始页设成他们的网站。

解决办法：运行注册表编辑器regedit.exe，然后依次展开

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

主键，然后将其下的registry.exe子键删除，然后删除自运行程序c:\ProgramFiles\registry.exe，最后从IE选项中重新设置起始页。

4.系统启动时弹出对话框

受到更改的注册表项目为：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

在其下被建立了字符串LegalNoticeCaption和LegalNoticeText，其中LegalNoticeCaption是提示框的标题，LegalNoticeText是提示框的文本内容。由于它们的存在，就使得我们每次登陆到Windwos桌面前都出现一个提示窗口，显示那些网页的广告信息！

解决办法：

打开注册表编辑器，找到

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Winlogon

这一个主键，然后在右边窗口中找到LegalNoticeCaption和LegalNoticeText这两个字符串，删除这两个字符串就可以解决在登陆时出现提示框的现象了。

5.修复被锁定的注册表

注册表被锁定这一招是比较恶毒的，它使普遍用户即使会简单修改注册表使其恢复的条件下，困难又多了一层。症状是在开始菜单中点击运行，在运行框中输入regedit命令时，注册表不能够使用，并发现系统提示你没有权限运行该程序，然后让你联系系统管理员。

这是由于注册表编辑器：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System下的DWORD值DisableRegistryTools被修改为1的缘故，将其键值恢复为0即可恢复注册表的使用。

解决办法:

可以自己动手制作一个解除注册表锁定的工具，就是用记事本编辑一个任意名字的.reg文件，比如recover.reg，内容如下：

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

“DisableRegistryTools”=dword:00000000

要特别注意的是：如果你用这个方法制作解除注册表锁定的工具，一定要严格按照上面的书写格式进行，不能遗漏更不能修改（其实你只需将上述内容复制、粘贴到你机器记事本中即可）；完成上述工作后，点击记事本的文件菜单中的另存为项，文件名可以随意，但文件扩展名必须为.reg（切记）,然后点击保存。这样一个注册表解锁工具就制作完成了，之后你只须双击生成的工具图标，其会提示你是否将这个信息添加进注册表，你要点击是，随后系统提示信息已成功输入注册表，再点击确定即可将注册表解锁了

篇4：教你如何手工清除autorun.inf类的病毒(一)

最近U盘病毒非常猖獗，经过分析这种病毒的传播主要借助与Autorun.inf文件，病毒先将自身复制到U盘，然后再创建一个Autorun.inf文件，当你在你双击U盘时，会根据Autorun.inf中的设置去运行U盘中的病毒，然后将其复制到硬盘的各个盘符下无法删除。重装或一键恢复了XP系统，双击其他分区，比如D盘，都打不开，只能用右键打开。这就是中了Autorun.INF类病毒的表现。今天我们就把干掉Autorun.inf类病毒的方法和预防的手段跟大家分享一下。

手工轻松干掉Autorun.inf

中了这类病毒后，各个分区的根目录下都会生成一个隐藏属性的Autorun.inf文件，双击打开“我的电脑”，点击“工具”，再点击“查看”，去掉“隐藏受保护的操作系统文件”及选中“显示所有文件和文件夹”，再点“确定”把所有的隐藏属性打开（见图1），

右键打开任一分区，如D盘，就可以看见Autorun.inf这个文件，再右键打开Autorun.inf会看到open=xxx.exe（xxx就是病毒的名称），如果病毒没进程程保护的话，删掉各个分区的Autorun.inf和xxx.exe就可以把病毒删除了，删除病毒后，还要把病毒的磁盘关联改回来。

600)makesmallpic(this,600,1800);“ height=395>

运行regedit.exe来到[HKEY_CLASSES_ROOT\Drive\shell]下，把“默认”改成none（见图2），再到”HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer下删掉ountPoints2这一项（如果有这一项的话），到此，就能双击打开任意盘符了。

600)makesmallpic(this,600,1800);" height=250>

篇5：狂客和安哥木马变种携六恶意软件疯狂传播

月日，北京江民科技反病毒研究中心监测到，“狂客”木马(Trojaroxy.Ranky.bw)正在互联网加速传播，该病毒可以开启染毒机器的代理端口供远程登录，使被感染计算机成为任宰割的“肉鸡”，另外，＂安哥＂木马病毒变种也正在携六款恶意软件祸乱网络。

据江民反病毒专家介绍，“狂客”木马变种bw是日监测到传播数量最广的新病毒，上报该病毒的用户达88名之多。病毒运行后，在电脑中生成sysdat.exe文件，大小7500字节，使用Arotect加壳。病毒会添加注册表启动项，以使自己随系统一起运行。开启代理端口，可以供远程登录，使被感染计算机成为“肉鸡”。

此外，江民反病毒研究中心还监测到，“安哥”病毒变种正在携六款恶意软件祸乱网络。病毒文件名为printers.exe，运行后，下载病毒文件p_.exe，也即“安哥”WE变种(TrojanDroer.Agent.we)，

该病毒文件是一个经过ack加壳的CAB自解压程序，内含下列七个程序：killtask.dllpro.exepro.exepro.exepro.exepro5.exe和svchost.exe

上述几个程序运行后，会在用户机器上安装六个恶意软件：海啸广告秘书、NewWeb收藏入侵者(SCIntruder)、傲讯浏览器插件、IEHelper插件(从yiqilai.com上下载广告信息)、鸿联网盟插件,还有一个病毒作者自己写的广告弹出木马。

这样，一旦用户感染该病毒，电脑则会频繁弹出广告，占用大量系统资源，严重干扰用户电脑的正常使用。

江民反病毒专家提醒广大电脑用户，为了有效防杀以上病毒，一定要升级江民kv系列杀毒软件到月日病毒库。由于互联网应用热潮的来临，目前各种不同企图和目的的大小网站充斥互联网，为了吸引点击量，一些小网站站长不择手段进行推广，甚至使用传播带有广告插件的病毒这种极端手段。因此，电脑用户平时上网时更要注意及时升级杀毒软件病毒库，打开病毒实时监控功能，以免受此类病毒和恶意软件的侵害。

★ 教你做服务级的木马后门

★ 教你几招关于手机病毒防范及解决的策略

★ 如何成功清除“熊猫烧香”病毒

★ 教你如何一招把病毒木马全部拒之门外病毒防范

★ userinit病毒原理及其清除和预防方法

★ 计算机病毒实验报告