¡No es original, pero sí útil!
Compruebe el registro
El registro siempre ha sido un lugar parásito "favorito" para muchos troyanos y virus. Tenga cuidado de hacer una copia de seguridad del registro antes de comprobarlo.
1. Verifique HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run y HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Runserveice en el registro para ver si hay algún archivo de inicio automático con el que no esté familiarizado. con el valor clave, la extensión suele ser EXE, luego recuerde el nombre del archivo del programa troyano y luego busque en todo el registro. Si ve un valor clave con el mismo nombre de archivo, elimínelo y luego vaya a. la computadora para encontrar el escondite del archivo troyano. ¿Eliminación completa? Por ejemplo, el virus "Love Bug" modificará el primer elemento mencionado anteriormente y el troyano BO2000 modificará el segundo elemento mencionado anteriormente).
2. Verifique varios elementos en el registro HKEY_LOCAL_MACHINE y HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main (como la página local). Si descubre que el valor de la clave se ha modificado, simplemente vuelva a cambiarlo según corresponda. a tu criterio. Los códigos maliciosos (como "Ten Thousand Flowers Valley") suelen modificar estos elementos.
3. Compruebe si se han modificado los programas de apertura predeterminados de varios tipos de archivos comunes, como HKEY_CLASSES_ROOT\inifile\shell\open\command y HKEY_CLASSES_ROOT\txtfile\shell\open\command. Esto debe volver a cambiarse. Muchos virus no se pueden eliminar modificando los programas de apertura predeterminados .txt, .ini, etc. Por ejemplo, el virus BleBla "Romeo y Julieta" ha modificado el programa de apertura predeterminado de muchos archivos (incluidos .jpg, .rar, .mp3, etc.).
Verifique el archivo de configuración del sistema
De hecho, la mejor manera de verificar el archivo de configuración del sistema es abrir la "Utilidad de configuración del sistema" de Windows (ejecute msconfig.exe desde el menú Inicio ), en Puede configurar Config.sys, Autoexec.bat, system.ini y win.ini, y elegir cuándo iniciar el sistema.
1. Verifique el archivo win.ini (en C?\windows\). Después de abrirlo, en "WINDOWS", "run=" y "load=" pueden cargar el programa "Caballo de Troya". Caminos, hay que cuidarlos con atención. En circunstancias normales, no hay nada después de su signo igual. Si descubre que hay una ruta y un nombre de archivo que no es un archivo de inicio con el que está familiarizado, es posible que su computadora esté infectada con un "caballo de Troya". Por ejemplo, el "troyano GOP" que ataca a QQ dejará rastros aquí.
2. Verifique el archivo system.ini (en C:\windows\). Hay "shell=nombre de archivo" en BOOT. El nombre de archivo correcto debe ser "explorer.exe". Si no es "explorer.exe" sino "shell= nombre del programa explorer.exe", entonces el programa que le sigue es un programa "caballo de Troya", y entonces debe hacerlo. guárdelo en el disco duro Encontré este programa y lo eliminé. Hay muchos virus de este tipo. Por ejemplo, el virus "Nimda" modificará este elemento a "shell=explorer.exe load.exe -dontrunold".
CITA:
Comprueba los atributos del archivo para ayudarte a eliminar troyanos.
Recientemente, el autor descargó un juego de lucha usando BT, pero no pasó nada después de ejecutar la instalación. programa. Al principio pensé que el instalador estaba dañado y lo eliminé sin prestar especial atención. Pero cuando encendí la computadora al día siguiente, Kingsoft Antivirus de repente no pudo cargarse. Como ya he tenido una experiencia similar antes, creo que el juego de lucha que descargué ayer probablemente incluía un caballo de Troya.
Por razones de seguridad, el autor cortó inmediatamente la conexión de red, luego abrió el "Administrador de tareas de Windows" y encontró un proceso sospechoso llamado "sprite.exe" después de la eliminación. Después de finalizar este proceso, Kingsoft Antivirus puede ejecutarse normalmente, pero aún no puede encontrar dónde está el troyano. Utilice la función de búsqueda integrada de Windows para buscar "sprite.exe" y seleccione incluir archivos ocultos, pero sólo se encontrará el archivo "sprite.exe". Cuando estaba a punto de eliminarlo, de repente pensé: los troyanos generalmente generan automáticamente algunos archivos auxiliares cuando ingresan a la memoria. ¿Por qué no usar la función de visualización de atributos de archivos que viene con Windows para lograr el propósito de una vez por todas? hágalo, busque el archivo "sprite.exe" y haga clic derecho y seleccione "Propiedades" en el cuadro de diálogo emergente. La computadora muestra que el archivo se creó a las 18:08:19 del 9 de octubre de 2003. Haga clic en "Inicio → Búsqueda avanzada", establezca la fecha de creación del archivo en 9 de octubre, busque... Se encontraron dos archivos con una hora de creación de 18:08:19 el 9 de octubre de 2003 en los resultados de búsqueda: "Hiddukel. exe" y "Hiddukel.dll" (los tamaños son 71 KB y 15 KB respectivamente), elimínelos juntos y listo.
Más tarde supe por Internet que este tipo de troyano se llama "goblin". Las últimas versiones de software antivirus y firewalls no pueden eliminar este troyano. A continuación se explica cómo eliminar manualmente este troyano:
1. Abra el editor de registro y busque "C:\Windows\System\Hiddukel.exe" en "HKEY_ CLASSES_ROOT\exefile\shell\open\command". ” y el valor de la clave “C:\Windows\System\Hiddukel.exe” en “HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command”, elimínelos
2. Directorio C:\Windows\System, busque Hiddukel.exe (71 KB) y Hiddukel.dll (15 KB) y elimínelos
3. Compruebe si hay Sprite en su computadora (132 KB). Crawler.exe (131 KB), si hay alguno, elimínelo por completo.
La mayoría de los troyanos actuales generarán automáticamente algunos archivos de enlace dinámico cuando ingresen a la memoria. El método introducido por el autor para buscar archivos comprobando el tiempo de creación del archivo es a veces muy útil. Es posible que los amigos interesados quieran probarlo (puede que no sea aplicable a los jugadores que instalan juegos y software con frecuencia).
CITA: