金山贝克木马专杀发现我电脑里面有setscreen.exe ,说这是蠕虫病毒。可是这是我电脑装机时就有的只能调显示器分辨率的,那怎么会是病毒呢???
答案:1 悬赏:60 手机版
解决时间 2021-05-06 03:52
- 提问者网友:暮烟疏雨之际
- 2021-05-05 22:13
金山贝克木马专杀发现我电脑里面有setscreen.exe ,说这是蠕虫病毒。可是这是我电脑装机时就有的只能调显示器分辨率的,那怎么会是病毒呢???
最佳答案
- 五星知识达人网友:举杯邀酒敬孤独
- 2021-05-05 22:32
清除方法:
第一步:使用升级了最新病毒库的杀毒软件对系统进行扫描,记
录下所有的被扫描出来的病毒文件名及路径。(以便后面手动清除)
第二步:查杀相关进程
1)打开Windows任务管理器如果是在Windows 95/98/me系统中,
按下CTRL+ALT+DELETE即可;如果是在Windows NT/2000/XP系统
中,按下CTRL+SHIFT+ESC即可然后单击“进程”。
2) 在列出的运行进程列表中,找到该病毒文件名或刚才记录下的文件名。
3) 选中这个文件,然后单击“结束进程”或“结束任务”。这取决于你所运行的系统的版本.
4) 重复2)和3),杀死所有正在运行的的病毒进程, 包括所有的病毒文件和刚才纪录的文件。
5) 为了判断这个病毒进程是否已经被终止,关闭任务管理器,接着再打开它。
6) 关闭任务管理器。
第三步:删除相应的键值
从注册表中删除病毒的自动启动键值,防止当系统重起的时候这个病毒又开始执行。
1) 打开注册表编辑器。(为了打开它,请单击“开始”〉“运行”,输入
"REGEDIT",单击回车。)
2) 在左边的面板中,双击下面的选项:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Run
3) 在右边的面板中,找到和删除下面的键值:
WinHelp = "C:\WINNT\System32\winHelp.exe"
WinGate initialize = "C:\WINNT\System32\WinGate.exe -remoteshell"
Remote Procedure Call Locator = "RUNDLL32.EXE reg678.dll ondll_reg"
Program In Windows = "C:\WINNT\System32\IEXPLORE.EXE"
4) 在左边的面板中,双击下面的选项:
HKEY_CURRENT_USER>Software>Microsoft>WindowsNT>
CurentVersion>Windows
5) 在右边的面板中,找到和删除下面的键值:
Run = 擱AVMOND.EXE?
第四步:定位和修改注册表Shell Spawning (用户向shell提出请求,shell解释并将请
求传给内核。这一节剩下的部分解释这个外层程序。这个过程被称为spawning)
当一个用户运行一个.txt文件时,注册表的Shell Spawning
将执行这个病毒。下面的操作可以使你的系统恢复到感染病毒
之前的设置 :
1) 仍然是进入注册表编辑器,在左边的面板中,双击下面的选项:
HKEY_CLASSES_ROOT>txtfile>shell>open>command ;
2) 在右边的面板中,找到下面的键值:
Default;
3) 但它的数据是这个病毒的路径或文件名--"winrpc.exe %1"时,
选中它;
4) 如果这个数据是这个病毒的文件,右击Default,选择编辑,去
修改它的值;
5) 在这个数据的输入框中,删除它的值,然后再输入缺省值:
%SysDir%\NOTEPAD.EXE %1
6) 单击"OK";
7) 关闭注册表编辑器。
第五步:在系统文件中删除自动启动条目
必须在系统安全启动之前删除系统文件中的自启动条目
1) 打开WIN.INI
单击“开始”〉“运行”,输入"WIN.INI",按回车。
2) 在[Windows]部分下面,在以下的行中找到并删除该
病毒的文件名:
Run=%System%RAVMOND.exe
(注意:%System%为Windows系统文件夹,它的目录一般
为:C:\Windows\System 或C:\Windows\System32)
3) 关闭WIN.INI,当提示是否保存时,单击"Yes"。
*注意:如果你不能再内存中终止该病毒的进程,按照前面描述
的步骤,重起你的系统。
第六步:在Windows 2000/NT/XP中关闭该病毒服务
1) 重起你的系统,终止病毒的服务。接下来,在注册表中
删除它的服务;
2) 打开注册表编辑器;
3) 在左边的面板中,双击下面的选项:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>Windows Management Instrumentation
Driver Extension
4) 右击"Windows Management Instrumentation Driver
Extension"选择"Delete"。
5) 在左边的面板中,双击下面的选项:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>NetMeeting Remote Desktop (RPC) Sharing
6) 右击NetMeeting Remote Desktop (RPC) Sharing",
选择"Delete"。
7) 在左边的面板中,双击下面的选项:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>Microsoft NetWork FireWall Services
8) 右击"Microsoft NetWork FireWall Services"
选择"Delete"。
9) 关闭注册表编辑器。
第七步:手动删除刚才记录下来的病毒文件。
第一步:使用升级了最新病毒库的杀毒软件对系统进行扫描,记
录下所有的被扫描出来的病毒文件名及路径。(以便后面手动清除)
第二步:查杀相关进程
1)打开Windows任务管理器如果是在Windows 95/98/me系统中,
按下CTRL+ALT+DELETE即可;如果是在Windows NT/2000/XP系统
中,按下CTRL+SHIFT+ESC即可然后单击“进程”。
2) 在列出的运行进程列表中,找到该病毒文件名或刚才记录下的文件名。
3) 选中这个文件,然后单击“结束进程”或“结束任务”。这取决于你所运行的系统的版本.
4) 重复2)和3),杀死所有正在运行的的病毒进程, 包括所有的病毒文件和刚才纪录的文件。
5) 为了判断这个病毒进程是否已经被终止,关闭任务管理器,接着再打开它。
6) 关闭任务管理器。
第三步:删除相应的键值
从注册表中删除病毒的自动启动键值,防止当系统重起的时候这个病毒又开始执行。
1) 打开注册表编辑器。(为了打开它,请单击“开始”〉“运行”,输入
"REGEDIT",单击回车。)
2) 在左边的面板中,双击下面的选项:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>
CurrentVersion>Run
3) 在右边的面板中,找到和删除下面的键值:
WinHelp = "C:\WINNT\System32\winHelp.exe"
WinGate initialize = "C:\WINNT\System32\WinGate.exe -remoteshell"
Remote Procedure Call Locator = "RUNDLL32.EXE reg678.dll ondll_reg"
Program In Windows = "C:\WINNT\System32\IEXPLORE.EXE"
4) 在左边的面板中,双击下面的选项:
HKEY_CURRENT_USER>Software>Microsoft>WindowsNT>
CurentVersion>Windows
5) 在右边的面板中,找到和删除下面的键值:
Run = 擱AVMOND.EXE?
第四步:定位和修改注册表Shell Spawning (用户向shell提出请求,shell解释并将请
求传给内核。这一节剩下的部分解释这个外层程序。这个过程被称为spawning)
当一个用户运行一个.txt文件时,注册表的Shell Spawning
将执行这个病毒。下面的操作可以使你的系统恢复到感染病毒
之前的设置 :
1) 仍然是进入注册表编辑器,在左边的面板中,双击下面的选项:
HKEY_CLASSES_ROOT>txtfile>shell>open>command ;
2) 在右边的面板中,找到下面的键值:
Default;
3) 但它的数据是这个病毒的路径或文件名--"winrpc.exe %1"时,
选中它;
4) 如果这个数据是这个病毒的文件,右击Default,选择编辑,去
修改它的值;
5) 在这个数据的输入框中,删除它的值,然后再输入缺省值:
%SysDir%\NOTEPAD.EXE %1
6) 单击"OK";
7) 关闭注册表编辑器。
第五步:在系统文件中删除自动启动条目
必须在系统安全启动之前删除系统文件中的自启动条目
1) 打开WIN.INI
单击“开始”〉“运行”,输入"WIN.INI",按回车。
2) 在[Windows]部分下面,在以下的行中找到并删除该
病毒的文件名:
Run=%System%RAVMOND.exe
(注意:%System%为Windows系统文件夹,它的目录一般
为:C:\Windows\System 或C:\Windows\System32)
3) 关闭WIN.INI,当提示是否保存时,单击"Yes"。
*注意:如果你不能再内存中终止该病毒的进程,按照前面描述
的步骤,重起你的系统。
第六步:在Windows 2000/NT/XP中关闭该病毒服务
1) 重起你的系统,终止病毒的服务。接下来,在注册表中
删除它的服务;
2) 打开注册表编辑器;
3) 在左边的面板中,双击下面的选项:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>Windows Management Instrumentation
Driver Extension
4) 右击"Windows Management Instrumentation Driver
Extension"选择"Delete"。
5) 在左边的面板中,双击下面的选项:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>NetMeeting Remote Desktop (RPC) Sharing
6) 右击NetMeeting Remote Desktop (RPC) Sharing",
选择"Delete"。
7) 在左边的面板中,双击下面的选项:
HKEY_LOCAL_MACHINE>SYSTEM>CurrentControlSet>
Services>Microsoft NetWork FireWall Services
8) 右击"Microsoft NetWork FireWall Services"
选择"Delete"。
9) 关闭注册表编辑器。
第七步:手动删除刚才记录下来的病毒文件。
我要举报
如以上问答信息为低俗、色情、不良、暴力、侵权、涉及违法等信息,可以点下面链接进行举报!
大家都在看
推荐资讯