怎样在注册表中查杀 木马病毒
&&&& “木马”程序会想尽一切办法隐藏自己，主要途径有:在任务栏中隐藏自己，这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形:将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“”图标来运行服。 &
&&& 务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如:启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 &&& 在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。 &&& 在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。 &&& 在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至:“HKEY-LOCAL-MACHINE”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记:有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE”下的 Explorer 键值改为Explorer=“C:.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如:“HKEY-CURRENT-USER”、“HKEY-USERS\u65290***”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE”下找到“木马”程序的文件名，再在整个注册表中搜索即可。 &&& 知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”;编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为:“shell=explorer.exe”;在注册表中，用regedit对注册表进行编辑，先在“HKEY-LOCAL-MACHINE”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是:有的“木马”程序并不是直接将“HKEY-LOCAL-MACHINE”下的“木马”键值删除就行了，因为有的“木马”如:BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS-DOS下，找到此“木马”文件并删除掉。计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。 参考资料： 怎样在注册表中查杀 木马病毒 /question/.html
互动百科的文章（含所附图片）系由网友上传，如果涉嫌侵权，请与客服联系，我们将按照法律之相关规定及时进行处理。如需转载，请注明来源于。
浏览次数：今天看啥 热点：
根据我这些日子在杀毒区回答问题可以这样来说，问题大多是IE被捆绑IE主页总被修改，电脑显示被攻击装瑞星防火墙；加载错误windos清理助手自动修复，
电脑的哪个盘打不开把这行代码复制到记事本里，随便起个名，然后把后缀改成.bat，保存后双击执行，重启就好了。 @echo on taskkill /im explorer.exe /f taskkill /im wscript.exe start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f start reg import kill.reg del c:\autorun.* /f /q /as del %SYSTEMROOT%\system32\autorun.* /f /q /as del d:\autorun.* /f /q /as del e:\autorun.* /f /q /as del f:\autorun.* /f /q /as del g:\autorun.* /f /q /as del h:\autorun.* /f /q /as del i:\autorun.* /f /q /as del j:\autorun.* /f /q /as del k:\autorun.* /f /q /as del l:\autorun.* /f /q /as start explorer.exe，中灰鸽子（ http://www.onlinedown.net/soft/43101.htm），特络伊（特络伊木马专杀 http://muma.itzzz.net/）AV终结者(杀毒的软件自动关闭,重要有关病毒的词语都不能打开），瑞星伞变成红色 怎么变绿色（右击绿伞开启所有监控开始-程序-瑞星杀毒软件-添加删除组件-修复或者开始-程序-瑞星杀毒软件-添加删除组件-卸载 ,不行就是中毒了,下个金山清理专家和windos清理助手杀恶意软件和木马!要从安全模式开机按F8!中了AV终结者所有和病毒有关的东西都会别屏蔽，下个AV终结者专杀工具，不过有残留！开机F8安全模式！还不行就是中了AV终结者.一般遇到灰鸽子和AV终结者，我就直接重装系统，因为中这2个毒后会经常复发的，而且是全盘格式化（别舍不得）!没有一个是最好的杀毒软件要靠搭配！ 瑞星卡卡6.0携杀毒软件、防火墙全球免费一年 详情请访问
/ 瑞星杀毒好,金山清理专家杀恶意软件,WINDOS清理助手杀木马好,我的电脑是正版瑞星一套家金山清理专家和WINDOS清理助手,杀毒软件会冲突,但是辅助软件一般不会冲突,每家的杀毒多少都不一样,我这样用辅助软件杀木马和恶意软件!瑞星杀毒就好了,这样确保木马不能进入电脑,这几个辅助软件都很小对机子的的速度不会有太大影响!建议试试吧!金山清理专家（ /soft/10446.html）使用简介及其功能 视频讲解地址： /v_show/id_XMzQ4ODI3MzY=.htmlWINDOS清理助手（ /）用户拥有完全控制权的系统清理工具独有的清理技术，可以彻底清理有驱动保护的恶意软件； 引擎和脚本分离，立场中立，清理操作对用户完全透明自选查杀项，控制权完全由用户掌握； 开放的用户接口，可以满足您的个性化清理需求； 用户自定义脚本文件,实现对一些特殊软件的清理，并可将其共享给所有用户使用； 即时更新脚本库，使您拥有更强劲的清理能力； 这是我对这2个软件是实践得出，这样搭配真的挺OK！谢谢支持！
这个好清除你可以使用腾讯电脑管家查杀一下它的8.0正式版有全新的鹰眼反病毒引擎，含新一代机器智能技术，创新CPU虚拟执行技术，可以清除各种顽固病毒
当将系统默认输入法设置为全拼输入法或王码输入法86/98版时,explorer.exe产生的进程名是WinI当设置为郑码输入法时,进程名为MbIme 我下载过很多极品五笔,但都含病毒,我想你应该先杀杀毒先方案:在任务管理器（Ctrl + Alt + Delete）里面用手动干掉它，就是把进程结束掉
360顽固木马专杀，找出毒后会跳出对话框，点立即重启，重启后再打开360顽固木马专杀，在里面点修复、删除项，让后沟一下点删除
极品五笔是带木马,很多人改用极点五笔了
MBime在进程里自动复制，怎么杀死它自己用杀毒软件杀杀看。。。。还不行的话，就进入安全模式~~继续杀~~还有。。。听说MBime是一种输入法的进程~~可以先把那个输入法卸载了~~~
WIN7系统 出现MBIme自动复制病毒，想问用卡巴能杀死吗？这个问题我还多少知道一点点，首先很高兴的告诉你，这个可能不是病毒，是与Win7的兼容问题，在XP中使用是正常的，我用360安全卫士，和两种杀毒软件全盘扫描（MSE和360杀毒），也没查出安全问题。如果是极品五笔，我也同样用了多年了，一样舍不得卸载，找解决办法，一直没找到，最后只想到用其它五笔替代，其实你不看任务管理器，那个也不碍眼的，也似乎不影响系统速度。如果是要卸载极品五笔，这个还挺难，但我尝试的方法我觉得还是挺完美的：1、右键输入法图标删除极品五笔—&2、卸载程序，此时五笔的文件夹和安装注册表项都被删除了，但你点添加语言中还是能看到它的身影，这时候你要打开注册表删除，开始、运行，输入regedit，右键HKEY_LOCAL_MACHINE，输入E0230804查找，能够看到有好几个E0230804，都是安装的输入法的东西，找到含极品五笔的这个，删了，万事大吉。最后，那东西虽然不影响使用，但想着烦，我说下我找替代的输入法的经验，我试过搜狗五笔、小鸭五笔等，我最后选择了极点，极点输入法的传统界面和纯五笔模式，我很接受，当时就很满意，当时就把极品五笔卸了，我也测试过了极点五笔的卸载，很简单，不留痕……好了，说这些我想很够了，这些可是我探寻良久的结晶提问者评价谢谢！！
你说的是任务管理器中有MBIme这个进程吧，这应该不是病毒，可能是这个输入法异常或者是系统兼容性的问题。如果你不放心，可以把找到这个进程文件然后通过瑞星官网服务与支持中的邮件服务上传这个文件检测。
你的电脑跟我之前遇到的问题是一样的，一开始我也是以为中毒了，因为在任务管理器中有这个MBIme的进程，这是极品五笔自带的，是有点流氓，不过不用担心，没用输入的时候它是不会存在的我个人的感觉是对电脑没有影响，其实你只要装上了这个输入法之后，好像也就不大容易卸载了，我最后是在注册表中把它强行删除的jpwb.MBI和jpwb.ME这两个文件才行，不然你就是删了，也删不了，这个输入法还是存在的，个人观点。公供参考，我对这个也不是太懂，不过是个人使用的体会而已，
不一定 建议重装系统
WIN7系统 出现MBIme自动复制病毒，想问用卡巴能杀死吗？这个问题我还多少知道一点点，首先很高兴的告诉你，这个可能不是病毒，是与Win7的兼容问题，在XP中使用是正常的，我用360安全卫士，和两种杀毒软件全盘扫描（MSE和360杀毒），也没查出安全问题。如果是极品五笔，我也同样用了多年了，一样舍不得卸载，找解决办法，一直没找到，最后只想到用其它五笔替代，其实你不看任务管理器，那个也不碍眼的，也似乎不影响系统速度。如果是要卸载极品五笔，这个还挺难，但我尝试的方法我觉得还是挺完美的：1、右键输入法图标删除极品五笔—&2、卸载程序，此时五笔的文件夹和安装注册表项都被删除了，但你点添加语言中还是能看到它的身影，这时候你要打开注册表删除，开始、运行，输入regedit，右键HKEY_LOCAL_MACHINE，输入E0230804查找，能够看到有好几个E0230804，都是安装的输入法的东西，找到含极品五笔的这个，删了，万事大吉。最后，那东西虽然不影响使用，但想着烦，我说下我找替代的输入法的经验，我试过搜狗五笔、小鸭五笔等，我最后选择了极点，极点输入法的传统界面和纯五笔模式，我很接受，当时就很满意，当时就把极品五笔卸了，我也测试过了极点五笔的卸载，很简单，不留痕……好了，说这些我想很够了，这些可是我探寻良久的结晶提问者评价谢谢！！
你说的是任务管理器中有MBIme这个进程吧，这应该不是病毒，可能是这个输入法异常或者是系统兼容性的问题。如果你不放心，可以把找到这个进程文件然后通过瑞星官网服务与支持中的邮件服务上传这个文件检测。
你的电脑跟我之前遇到的问题是一样的，一开始我也是以为中毒了，因为在任务管理器中有这个MBIme的进程，这是极品五笔自带的，是有点流氓，不过不用担心，没用输入的时候它是不会存在的我个人的感觉是对电脑没有影响，其实你只要装上了这个输入法之后，好像也就不大容易卸载了，我最后是在注册表中把它强行删除的jpwb.MBI和jpwb.ME这两个文件才行，不然你就是删了，也删不了，这个输入法还是存在的，个人观点。公供参考，我对这个也不是太懂，不过是个人使用的体会而已，
不一定 建议重装系统
VISTA任务管理器里面每次开机后有七八个MBIME程序执行，怎么删除啊。急盼，谢！打开输入法设置,删除郑码输入法.提问者评价只为你回了，还是谢谢。我没装郑码。
暂无相关文章
相关搜索：
相关阅读：
相关频道：
电脑安全最近更新如何检查清除dede木马
CMS建站给广大站长带来了方便，目前大部分的cms程序都免费且开源，这些成就了一个个草根站长的传奇神话。在众多的cms中我比较青睐dedecms，喜欢它的个人原因在此不多说。可是，应用
CMS建站给广大站长带来了方便，目前大部分的cms程序都免费且开源，这些成就了一个个草根站长的传奇神话。在众多的cms中我比较青睐dedecms，喜欢它的个人原因在此不多说。可是，应用dedecms建站的朋友都知道，网站经常被人莫名其妙的挂上木马，让人苦不堪言。本人小站也经历了多次木马侵袭，多次上dede官方论坛求助，也不见有几人回复，在此鄙视一下dede官方，居然有那么多的求助提问无人问津，不信你开源去官方论坛搜索“木马”看看，刷出来几页的提问都没有被解决的，可怜的草根站长们啊!本着帮助广大dedecms爱好者的目的，本人结合多次被挂马和清除木马的经历，谈谈两种dedecms木马清除方法。全是经验，意在交流不要拍砖。第一种类型：网站被恶意挂满黑链的解决方法 我们做站长的几乎每天都会去检查友链。当你有天突然发现多处了许多莫名奇妙的外链，不要惊讶，你的站已经被人盯上了!那些被恶意挂上的垃圾链接中的关键词往往是被搜索引擎禁止的敏感词汇。这种情况下，一旦发现就要立即清理，免得你的站被降权或者K站，那就惨啦!那么这类dedecms木马如何清理呢?别急，且听多多妈妈慢慢道来。首先，我们把templets下的所有文件下到本地逐个检查，找出模板中的黑链代码，立即删除。大部分的黑链接我们是一眼就能看出来的，但是有些隐藏在JS代码里，这个时候需要我们检查模板里有没有陌生的JS调用，有的话就删除吧，不要犹豫哦。然而，不要认为这样就等于清除木马了，绝大多数的顽固性dedecms木马清理起来没有这么简单的。下面我们用FTP工具，查看站点文件里哪些是最近被修改过的，往往木马会篡改我们的文件的，将最近日期被修改过后的文件下载本地，打开进行代码检查，一般在PHP文件和JS文件的头部和尾部就会发现木马痕迹了，删除掉可疑代码后，保存并上传修改后的文件进行覆盖。最后我们把站点文件与原始程序文件进行对照，看多出来哪些文件或文件夹，注意判断一下多出来的是站点栏目文件还是插件文件，如果都不是，那就是木马了，删除掉吧。好了，大功告成了，进入dedecms后台利用程序自带的木马检测功能，做一遍扫描检查，然后修改掉你的后台目录名和管理员密码，必要时连同FTP密码一起修改掉。恭喜你，这种类型的木马被清除了!第二种类型：恶意收录突然暴增的解决方法 当我们检查搜索引擎收录量时，会突然发现一天内收录了几千页甚至更多，不要高兴太早了，仔细查看被收录的页面，全部不是站内的正常添加的，这种情况也是被挂马了，时间越久，收录量越多，如果不及时处理，等着被搜索引擎K站吧。多多妈妈的一个站就是因为这个原因被惩罚，到现在还只有首页呢。趁早清除木马并利用404错误页面减少被K的几率吧。如何清除呢?首先，用FTP工具检查站点文件，就会发现在根目录和所有栏目文件件下都暴增了大量新文件夹，这些木马文件夹命名有一定规则，最有一个字母都是从A到Z。想想吧，一个文件夹下就多出了26个木马文件夹，这样算起来，所有的栏目文件夹加根目录下的，你的站点里已经被木马文件充满了。点开这些文件夹，发现里面没有文件，是空的，说明有调用。你肯定想到了，找出来并删除。很可惜，你做不了。这些文件夹在FTP下是删除不了的。那怎么办呢?最好的解决办法是联系你的空间商协助删除，他们很容易做到的。或者，你备份好数据，删除站点目录，然后重新安装程序并还原数据，OK，问题解决了。友情提示：这类木马处理一定要快，早发现早处理。笔者的站被耽误了一天才处理，结果就被惩罚了，百度所有收录页面消失只剩下首页，谷歌直接K站。悲剧呀!好了，以上两种类型的dedecms木马清理方法都是我在建站过程中遇到后亲自手动清理所获得的经验，此文适合dedecms新手建站时遇到挂马进行处理，欢迎交流。当然，我们最好做到防范于未然，让木马入侵无门是最好的手段了。关于如何防止dedecms木马入侵，我之前写了一篇教程《合肥妈妈：教你几招让dedecms远离挂马危害》，可以去看看。
(责任编辑：六黑文章)
相关文章：
本文地址： /html/jishu/dede/119.html
------分隔线----------------------------
我们在使用织梦cms模板建站前，为更利于SEO，需要对织梦CMS进行...
方法1：调用当前文章标题链接 h1a href={dede:field name=arcurl/}{dede:...
模板调用代码 div class=hot mt1 dl class=tbox dtstrong相关文章/strong/dt...
标签名称：arclist 功能说明：文章列表调用标记 使用实例： {d...
方法1： tdDEDE织梦cms调用相关文章列表： {dede:arclist row=5 titlele...
DEDE批量修改替换数据库文章标题和内容方法如下： 1、进入DED...}