怎么检查清除木马程序

导读：谁都不希望自己电脑里存在病毒。系统中“木马”是一件很头疼的事情，我们可以通过一些具体的预防措施，手动检查和清除木马病毒，那么如何查看和清除木马病毒呢?下面先介绍木马程序的隐藏技俩、自动加载方法，在介绍针对这些技俩的应对办法。

查杀“木马”

知道了“木马”的工作原理，查杀“木马”就变得很容易。如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”;

在注册表中，用regedit对注册表进行编辑，先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序。

有时候还需特别注意：有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS-DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。

“木马”程序隐藏自己的办法

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的，只要把Form的Visible属*设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。

在任务管理器中隐形：木马只要将程序设为“系统服务”就可以很轻松地伪装自己。当然它也会悄无声息地启动，用户不会每次启动后再自己点击“木马”图标来运行服务端，所以“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。

查看“木马”是否自动加载

在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOLTrojan木马”，它把自身伪装成mand.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell=explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE。

这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“AcidBatteryv1.0木马”，它将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer键值改为Explorer=“C:WINDOWSexpiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

第2篇：怎么手动清除木马病毒

手动清除木马病毒具体方法如下：

温馨提示：以下修改注册表等相关*作具备风险，请慎重*作。

1.清除每次开机时自动*出的网页

其实清除每次开机时自动*出的网页方法并不难，只要你记住地址栏里出现的网址，然后打开注册表编辑器(方法是在点击“开始”菜单，之后点击“运行”，在运行框中输入regedit命令进入注册表编辑器)，分别定位到：

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Runonce下，

具体说来受到更改的注册表项目为：

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InterExplorer/Main/WindowTitle

HKEY_CURRENT_USER/Software/Microsoft/InterExplorer/Main/WindowTitle

解决办法：

①在Windows启动后，点击“开始”→“运行”菜单项，在“打开”栏中键入regedit，然后按“确定”键;

②展开注册表到

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/InterExplorer/Main下，在右半部分窗口中找到串值“WindowTitle”，将该串值删除即可，或将WindowTitle的键值改为“IE浏览器”等个人喜欢的名字;

③同理，展开注册表到

HKEY_CURRENT_USER/Software/Microsoft/InterExplorer/Main

然后按②中所述方法处理。

④退出注册表编辑器，重新启动计算机，运行IE，问题已经解决。

①打开“开始”菜单，单击“运行”，在运行框中输入regedit命令。

②在注册表编辑器中有五个主要的键值，请您按照下面顺序一步一步打开下面的文件(在所指的文件夹上双击或单击在文件夹前面的十字符号)。

③具体顺序是：

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion

/Policies/Ratings

在您打到Ratings文件夹后会看到在右面的窗口中有key键值，直接在这个键上点右键，之后选删除，然后关闭注册表编辑器即可。

2、篡改IE的默认页

具体说就是以下注册表项被修改：

HKEY_LOCAL_MACHINE/Software/Microsoft/InterExplorer/Main/Default_Page_URL

“Default_Page_URL”这个子键的键值即起始页的默认页。

解决办法：

运行注册表编辑器，然后展开上述子键，将“Default_Page_URL”子键的键值中的那些篡改网站的网址改掉就行了，或者将其设置为IE的默认值。

3、修复被锁定的注册表

可以自己动手制作一个解除注册表锁定的工具，就是用记事本编辑一个任意名字的.reg文件，比如recover.reg，内容如下：

窗体顶端

REGEDIT4

[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/System]

"DisableRegistryTools"=dword:00000000

窗体底端

要特别注意的是：如果你用这个方法制作解除注册表锁定的工具，一定要严格按照上面的书写格式进行，不能遗漏更不能修改(其实你只需将上述内容“复制”、“粘贴”到你机器记事本中即可);完成上述工作后，点击记事本的文件菜单中的“另存为”项，文件名可以随意，但文件扩展名必须为“.reg”,然后点击“保存”。这样一个注册表解锁工具就制作完成了，之后你只须双击生成的工具图标，其会提示你是否将这个信息添加进注册表，你要点击“是”，随后系统提示信息已成功输入注册表，再点击“确定”即可将注册表解锁了。

HKEY_CURRENT_USER/Software/Policies/Microsoft/InterExplorer/ControlPanel

"Settings"=dword:1

HKEY_CURRENT_USER/Software/Policies/Microsoft/InterExplorer/ControlPanel

"Links"=dword:1

HKEY_CURRENT_USER/Software/Policies/Microsoft/InterExplorer/ControlPanel

"SecAddSites"=dword:1

解决办法：上面这些DWORD值改为“0”即可恢复功能。

这是由于注册表HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/InterExplorer/ControlPanel

下的DWORD值“homepage”的键值被修改的缘故。原来的键值为“0”，被修改后为“1”(即为灰*不可选状态)。

解决办法：将“homepage”的键值改为“0”即可。

受到修改的注册表项目为：

HKEY_CURRENT_USER/Software/Microsoft/InterExplorer/MenuExt

下被新建了网页的广告信息，并由此在IE右键菜单中出现!

解决办法：

打开注册标编辑器，找到

HKEY_CURRENT_USER/Software/Microsoft/InterExplorer/MenuExt

删除相关的广告条文即可，注意不要把下载软件FlashGet和Netants也删除掉，这两个可是“正常”的，除非你不想在IE的右键菜单中见到它们。

4、IE默认搜索引擎被修改

出现这种现象的原因是以下注册表被修改：

HKEY_LOCAL_MACHINE/Software/Microsoft/InterExplorer/Search/CustomizeSearch

HKEY_LOCAL_MACHINE/Software/Microsoft/InterExplorer/Search/SearchAssistant

解决办法：

运行注册表编辑器，依次展开上述子键，将“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。

5、查看“源文件”菜单被禁用

恶意网页修改了注册表，具体的位置为：

HKEY_CURRENT_USER/Software/Policies/Microsoft/InterExplorer

下建立子键“Restrictions”，然后在“Restrictions”下面建立两个DWORD值：

“NoViewSource”和“NoBrowserContextMenu”，并为这两个DWORD值赋值为“1”。

在注册表

HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/InterExplorer/Restrictions下，将两个DWORD值：“NoViewSource”和“NoBrowserContextMenu”的键值都改为了“1”。通过上面这些键值的修改就达到了在IE中使鼠标右键失效，使“查看”菜单中的“源文件”被禁用的目的。

解决办法：

将以下内容另存为后缀名为.reg的注册表文件，比如说unlock.reg，双击unlock.reg导入注册表，不用重启电脑，重新运行IE就会发现IE的功能恢复正常了。

REGEDIT4

HKEY_CURRENT_USER/Software/Policies/Microsoft/InterExplorer/Restrictions

“NoViewSource”=dword:00000000

"NoBrowserContextMenu"=dword:00000000

HKEY_USERS/.DEFAULT/Software/Policies/Microsoft/InterExplorer/Restrictions

“NoViewSource”=dword:00000000

“NoBrowserContextMenu”=dword:00000000

第3篇：怎么清除病毒，清除系统中顽固病毒程序

由于正在运行的程序受到Windows保护，所以病毒即使被发现了也经常杀不死，删除不了。杀毒软件杀不死病毒怎么办?过去一般推荐在安全模式或DOS模式下杀。现在有一种新方法，叫做“在映象文件执行选项中指定调试器”，用这种方法杀毒应该是可行的。其原理是修改注册表，让病毒在下次启动电脑时无法启动，然后杀毒。其步骤如下：

1.发现病毒。如用杀毒软件查找，或在任务管理器(Ctrl,Alt,Del三键齐按)中发现可疑程序。

2.点击“开始”，“运行”，填写“regedit”，点击确定，进入注册表编辑器。

3.在注册表中路径HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions里面新建立一个项(随便叫什么)，在项内新建一个字串符值，命名为“Debugger”，双击，输入要禁止的文件的路径。

例如，发现进程中有木马或病毒，路径为C:aaa123.exe，则就在刚建立的Debugger中输入C:aaa123.exe(这里路径斜杠用双斜杠)。

4.关闭注册表编辑器，重新启动电脑。这时病毒无法启动了，然后直接删除就可以了。

当你遇到无法卸载干净的杀毒软件或者其他较为顽固的程序，也可以通过以上办法对其进行禁用。这样可以节省系统资源，并大大缩短计算机的启动时间。

第4篇：怎么去清除系统中顽固病毒程序

由于正在运行的程序受到Windows保护，所以病毒即使被发现了也经常杀不死，删除不了。杀毒软件杀不死病毒怎么办?过去一般推荐在安全模式或DOS模式下杀。现在有一种新方法，叫做“在映象文件执行选项中指定调试器”，用这种方法杀毒应该是可行的。其原理是修改注册表，让病毒在下次启动电脑时无法启动，然后杀毒。其步骤如下：

1.发现病毒。如用杀毒软件查找，或在任务管理器(Ctrl,Alt,Del三键齐按)中发现可疑程序。

2.点击“开始”，“运行”，填写“regedit”，点击确定，进入注册表编辑器。

3.在注册表中路径HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImageFileExecutionOptions里面新建立一个项(随便叫什么)，在项内新建一个字串符值，命名为“Debugger”，双击，输入要禁止的文件的路径。

例如，发现进程中有木马或病毒，路径为C:aaa123.exe，则就在刚建立的Debugger中输入C:aaa123.exe(这里路径斜杠用双斜杠)。

4.关闭注册表编辑器，重新启动电脑。这时病毒无法启动了，然后直接删除就可以了。

当你遇到无法卸载干净的杀毒软件或者其他较为顽固的程序，也可以通过以上办法对其进行禁用。这样可以节省系统资源，并大大缩短计算机的启动时间。

1.Excel如何让不相邻的区域

2.情人节病毒是什么

3.多标签界面比较压缩包

4.笔记本如何安装双硬盘

5.解决宽带连接不上错误691

6.硬盘基本知识及一些挽救硬盘的方法

7.教你光纤猫怎样连接无线路由器?

8.你知道电脑显卡的作用吗？

9.WPS表格中建立多级下拉列表

10.WPS如何将课件对象精准对齐

第5篇：电脑病毒木马怎么彻底清除

电脑病毒是编制者在计算机程序中*的破坏计算机功能或者数据的代码，能影响计算机使用，能自我复制的一组计算机指令或者程序代码。那么，我们如何发现和清除掉我们电脑中的病毒呢？最为有效的方法就是选择安装查杀率高的杀毒软件，下面就为大家分享电脑病毒木马怎么彻底清除。

具体方法步骤：

1。当我们的电脑存在木马、电脑网络病毒后，我们需要在第一时间针对电脑木马进行查杀和清除。首先，我们需要在我们的电脑中安装和下载腾讯电脑管家，下载完成后，打开电脑中的腾讯电脑管家。

2。在腾讯电脑管家的主页面，我们可以看到最上方有不同按钮板块的标识，点击进入到腾讯电脑管家的杀毒页面。

3。在进入腾讯电脑管家的杀毒页面，我们可以选择三种不同的杀毒方式，分别是全盘杀毒，闪电杀毒，指定位置查杀。这个时候我们可以点击闪电查杀按钮对电脑进行闪电查杀。

4。腾讯电脑管家的杀毒功能，可以根据我们电脑中所有存在受感染病毒的危害环节进行检测和查杀，等我们查杀完后可以根据腾讯电脑管家提示进行相应*作，完成后重启电脑即可。

以上就是如何干净的清除电脑病毒木马的四个小步骤，是不是简单又高效呢？希望能帮助到你。

第6篇：怎么去手动清除特洛伊木马

特洛伊木马的名字取自古希腊神话的特洛伊木马记，是一种基于远程控制的黑客工具，对普通用户来说，它的隐藏*和危害*是相当的大。为了达到控制服务端主机的目的，木马往往要采用各种手段达到激活自己，加载运行的目的。这里，我们简要的介绍一下木马通用的激活方式，它们的藏身地，并通过一些实例来让您体会一下手动清除木马的方法。

木马藏身地及通用排查技术

●在Win.ini中启动木马：

在Win.ini的[Windows]小节中有启动命令“load=”和“run=”，在一般的情况下“=”后面是空的，如果后面跟有程序，比如：

run=C:Windowsile.exe

load=C:Windowsile.exe

则这个file.exe很有可能就是木马程序。

●在WindowsXP注册表中修改文件关联：

修改注册表中的文件关联是木马常用的手段，如何修改的方法已在本系列的前几文中有过阐述。举个例子，在正常情况下txt文件的打开方式为Notepad.exe(记事本)，但一旦感染了文件关联木马，则txt文件就变成条用木马程序打开了。如著名的国产木马“*河”，就是将注册表HKEY_CLASSES_ROOTxtfileshellopenmand子键分支下的键值项“默认”的键值“C:Windowsotepad.exe%1”修改为“C:WindowsSystemSysexplr.exe”，这样，当你双击一个txt文件时，原本应该用记事本打开的文件，现在就成了启动木马程序了。当然，不仅是txt文件，其它类型的文件，如htm、exe、zip、等文件也都是木马程序的目标，要小心。

对这类木马程序，只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopenmand子键分支，查看其值是否正常。

●在WindowsXP系统中捆绑木马文件：

实现这种触发条件首先要控制端和服务端已通过木马建立连接，控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原有文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被重新安装了。如果捆绑在系统文件上，则每次WindowsXP启动都会启动木马。

●在System.ini中启动木马：

System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所，木马通常的做法是将该语句变为这样：

Shell=Explorer.exefile.exe

这里的file.exe就是木马服务端程序。

另外，在[386enh]小节，要注意检查在此小节的“driver=path程序名”，因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的，所以也是添加木马的理想场所。

●利用WindowsXP注册表加载运行：

注册表中的以下位置是木马偏爱的藏身之所：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

●在Autoexec.bat和Config.sys中加载运行木马：

要建立控制端与服务端的连接，将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽，所以这种方式并不多见，但也不能掉以轻心。

●在Winstart.bat中启动木马：

Winstart.bat也是一个能自动被WindowsXP加载运行的文件，多数时由应用程序及Windows自动生成，在执行了Win或者Kernel386.exe，并加载了多数驱动程序之后开始执行(这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行。

木马病毒的通用排查技术

现在，我们已经知道了木马的藏身之处，查杀木马自然就容易了。如果您发现计算机已经中了木马，最安全最有效的方法就是马上与网络段开，防止计算机骇客通过网络对您进行攻击，执行如下步骤：

l编辑Win.ini文件，将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”，“load=”。

l编辑System.ini文件，将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。

l在WindowsXP注册表中进行修改：先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除，并在整个注册表中查找木马程序，将其删除或替换。但可恶的是，并不是所有的木马程序都只要删除就能万事大吉的，有的木马程序被删除后会立即自动添上，这时，您需要记下木马的位置，即它的路径和文件名，然后退到DOS系统下，找到这个文件并删除。重启计算机，再次回到注册表中，将所有的木马文件的键值项删除。

计算机木马清除实例

●*河v1.1的注册表清除实例：

在注册表编辑器中打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，在右边的窗口中找到并删除C:WINNTSystem32Kernel32.exe，C:WINNTSystem32sysexplr.exe，再重新启动到MS-DOS方式后，删除C:WINNTSystem32Kernel32.exe和C:WINNTSystem32sysexplr.exe木马程序。

AOLTrojan的注册表清除实例：

首先到MS-DOS方式下，删除以下文件：

C:mand.exe

C:Americ~1.0uddyl~1.exe

C:Windowssystemorton~1egist~1.exe

打开Win.ini文件，在[Windows]小节下面将特洛伊木马程序的路径清除掉，改为“run=”，“load=”，保存Win.ini文件。

然后打开WindowsXP注册表，打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右表窗口中的键值项“WinProfile=C:Command.exe”删除，关闭注册表，重启计算机即可。

●Dolyv1.1-v1.5的注册表实例(v1.6和v1.7类似)：

首先进入MS-DOS方式，删除以下三个木马程序，但v1.35版还多一个木马文件Mdm.exe。

C:WindowsSystemesk.sys

C:WindwosStartMenuProgramsStartupmstesk.exe

C:ProgramFilesMStesk.exe

C:ProgramFilesMdm.exe

重新启动Windows，打开Win.ini文件，将[windows]小节下的“load=C:WindowsSystemesk.exe”删除，即改为“load=”，保存Win.ini文件。

然后，在注册表中打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右边的窗口中的键值项“Mstesk=”C:ProgramFilesMStesk.exe””删除，打开HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionss子键分支，将其下的全部内容都删除(全为木马参数选择和设置的服务器);再打开HKEY_USERS.DEFAULTSOFTWAREMicrosoftWindowsCurrentVersionRun子键分支，将右边的窗口中的键值项“Mstesk=”C:ProgramFilesMStesk.exe””删除。

关闭注册表，打开C:Autoexec.bat文件，删除如下两行：

@echooffcopyc:sys.lonC:WindowsStartMenuStartupItems

Delc:win.reg

保存并关闭Autoexec.exe文件。

●IndocTrinationv0.1-v0.11注册表清除实例：

在注册表中打开如下子键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce

将这些子键右边窗口中的如下键值项删除：

Msgsrv16=“Msgsrv16”，关闭注册表后重启Windows，删除C:WindowsSystemmsgserv16.exe文件。

●SubSeven-IntrodUCtionv1.8注册表清除实例：

打开HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices子键分支，在右窗口中查找到含有“C:WindowsSystem.ini”的键值项数据，将它删除。

打开Win.ini文件，将其中的“run=kernel16.dl”改为“run=”，保存并关闭Win.ini文件。

打开System.ini文件，将其中的“shell=explorer.exekernel32.dl”改为“shell=explorer.exe”，保存并关闭System.ini文件，重启Windows，删除C:Windowskernel16.dl文件。

●广外女生注册表清除实例：

退到MS-DOS模式下，删除System目录下的diagcfg.exe。由于该病毒关联的是exe文件，因此，现在删除它后Windows环境下任何exe文件都将无法运行。我们先找到Windows目录下的注册表编辑器“Regedit.exe”，将其改名为“Regedit”。

回到Windows模式下，运行“Regedit”。打开HKEY_CLASSES_ROOTexefileshellopenmand，将其默认值改为“%1%*”，删除HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices下的键值项“DiagnosticConfiguration”。关闭注册表。

回到Windows目录，将“Regedit”改回“Regedit.exe”。

●Netbull(网络公牛)注册表清除实例：

该病毒在Windows9X下：捆绑notepad.exe、writre.exe、regedit.exe、winmine.exe和winhelp.exe。在WindowsNT/2000下捆绑：notepad.exe、regedit.exe、regedt32.exe、drwtsn32.exe和winmine.exe。打开：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun

在这些子键下删除键值项“CheckDll.exe”=“C:WindowsSystemCheckDll..exe”。

另外，要察看自己的机器是否中了该病毒，可以察看上面列出的文件，如果发现该文件长度发生变化(大约增加了40K左右)，就删除它们。然后点击[开始]|[附件]|[系统工具]|[系统文件检查器]，在*出的对话框中选择“从安装软盘提取一个文件”，在框中填入要提取的文件(前面你删除的)，点“确定”，按屏幕提示将这些文件恢复即可。如果是开机时自动运行的第三方软件，如realplay.exe、QQ等被捆绑上了，那就必须把这些文件删除后重新安装了。

●聪明基因注册表清除实例：

删除C:Windows下的MBBManager.exe和Explore32.exe，再删除C:WindowsSystem下的editor.exe文件。如果服务端已经运行，则要先用进程管理软件终止MBBManager.exe这个进程后才能将它删除。

打开HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun，删除键值项“MainBroadBackManager”。将HKEY_CLASSES_ROOTxtfileshellopenmand的默认值改为“C:WindowsNotepad.exe%1”，恢复txt文件关联。将HKEY_CLASSES_ROOThlpfileshellopenmand的默认值改为“C:Windowswinhlp32.exe%1”，恢复hlp文件关联。

正所谓道高一尺魔高一丈，黑客放置木马的方式层出不穷，中招是在所难免的。了解了黑客作案的方法能有效的规避一些常见病毒，让你的计算机更加安全。