妙用记事本清除恶性病毒
在现在这种网络环境下,电脑要不感染病毒和流氓软件可真是挺难的。正所谓,常在网上飘,哪有不中招。不过,高手裸奔我也见过。那中了病毒咋办?用杀毒软件!可杀毒软件也被破坏怎么办?这时候,许多朋友会打开“进程管理器”,将几个不太熟悉的程序关闭掉,但有时会碰到这种情况:关掉一个,再去关闭另外一个时,刚才关闭的那个马上又运行了。再从注册表里先把启动项删除后,重启试试,刚删除的那些启动项又还原了。就是有些病毒就是那么顽固,你在“任务管理器”里刚把它的进程给结束了,它又马上重新运行了,当你把病毒文件删掉,重启系统后它又死灰复燃。这种病毒是最让人抓狂的,因为杀毒软件和流氓软件清除工具似乎对这样的病毒都毫无办法。那么要如何对付它呢?今天介绍一个你可能永远也不会想到的“大杀器”——记事本。
对,就是那个“开始->程序->附件->记事本”的那个“记事本”。程序文件名是notepad.exe,文件大小(XP SP2):65.0 KB。怎么你不相信它有这么大的功能?
它小:程序文件小,生成的文件小(只有ANSI标准的ASCII字符,在XP里,则可以用来编辑各种编码的文本的:UNICODE,UTF8,...);它快:运行快(它没有其它什么累赘的插件,所以运行的时候不会加载其它什么东西);运行把记事本的快捷方式放在了快速启动(C:\DOCuments and Settings\当前用户名\APPlication Data\Microsoft\Internet Explorer\Quick Launch)里了,这样,就不需要去“开始->程序->附件->记事本”,而是用鼠标轻轻点击快速启动区里的记事本的图标,就可以了。其实放进去也很简单,只要把记事本拖到快速启动里就可以了;当然,也可以通过““开始->运行,notepad,回车”来运行它;或者,干脆全部用键盘:“START键(就是那个印着windows大旗的那个键)->r->notepad,回车”就可以了。
有人等不及了,还是看看他到底怎么个杀毒法吧,对付这种病毒只有区区七步:
第一步:在“开始→运行”中输入CMD,打开“命令提示符”窗口。
第二步:输入ftype exefile=notepad.exe %1,这句话的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒就无法启动了。也就是我们常说的改变exe程序的文件关联,让所有的exe可执行文件都用“记事本”程序进行打开。这样即使我们未彻底清除病毒,当系统重启后,病毒的运行将不会再产生任何的效果,而是打开记事本程序。
小贴士:如果病毒是cmd或者vbs类型的文件,那么只需将上述命令中的“ftype exefile”改为“ftype cmdfile”和“ftype vbsfile”即可。
第三步:重启电脑,你会看见打开了许多“记事本”。当然,这其中不仅有病毒文件,还有一些原来的系统文件(正常的程序),比如:系统自带的输入法程序ctfmon.exe,以及你自启动的如QQ.exe这样的应用程序等,我们要注意鉴别。
第四步:在每一个“记事本”中,点击菜单中的“文件→另存为”,就可看到了路径以及文件名了。找到病毒文件,手动删除即可,但得小心,必须确定那是病毒才能删除。建议将这些文件改名并记下,重启后,如果没有病毒作怪,也没有系统问题,再进行删除,OK!
小贴士:当病毒以记事本形式打开时,现在的系统中,病毒是没有运行的,可以说是一个纯净的系统。这时是清除顽固病毒最好的时机!
第五步:右击任何文件,选择“打开方式”,然后点击“浏览”,转到WindowsSystem32下,选择cmd.exe,这样就可以再次打开“命令提示符”窗口。
第六步:运行ftype exefile=%1 %*,将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表,就可以杀掉病毒了。
最后,用杀毒软件来一次彻底的查杀吧,把病毒的残留文件清除干净。再用安全工具修复被病毒篡改的注册表,这样就大功告成了。
附:Ftype的用法
在Windows中,Ftype命令用来显示及修改不同扩展名文件所关联的打开程序。相当于在注册表编辑器中修改“HKEY_CLASSES_ROOT”项下的部分内容一样。
Ftype的基本使用格式为:Ftype [文件类型[=[打开方式/程序]]]
比如:像上例中的ftype exefile=notepad.exe %1,表示将所有文件类型为EXE(exefile表示为EXE类型文件)的文件都通过“记事本”程序打开,后面的%1表示要打开的程序本身(就是双击时的那个程序)。
ftype exefile=%1 %*则表示所有EXE文件本身直接运行(EXE 可以直接运行,所以用表示程序本身的%1即可),后面的%*则表示程序命令后带的所有参数(这就是为什么EXE文件可以带参数运行的原因)。
分类:电脑网络| 发布:xiadao81| 查看:2842 | 发表时间:2012-10-05
原创文章如转载,请注明:转载自龙三公子博客 https://www.mybabycastle.com/
本文链接:https://www.mybabycastle.com/post/124.html