卸载常用组件

  木马，病毒，总是要加载系统的。用工具杀是好，但是有些新出的木马病毒可能没专杀工具呢，所以掌握一点手工杀马的技术也是好的，通用型 NT/2000/Xp系统里都可以用，98就不讨论了。

 

常见木马病毒分类：

1、DLL类：此类木马病毒，一般引导加载一个dll文件，多数用

      rundll32.exe *.dll

      explorer.exe *.dll

      usrist  *.dll

     这样的参数加载，它的特点是，删掉后会自动再加载

 对抗：『此处的*.需要包括路径名』

    1>注销相应控件

        regsvr32 /i /n  *.dll  写个bat文件，把所有需要注销卸载的控件注销掉

    2>删除相应控件

        del /f  *.dll   这是强制删除命令

 

2、SYS系统服务或驱动类：此类是加载一个后台任务或驱动，也是删不掉的

对抗：『此处的*.需要包括路径名』

    1>关闭并卸载任务

          SC stop *.sys  关闭服务

          SC delete *.sys 卸载服务

    2>删除服务文件

        del /f  *.sys 强制删除木马或病毒的.sys文件

 

3、exe加载类：此类是在进程中加载一个exe程序

对抗：

    1>关闭进程

        taskkill /im  *.exe 强制关闭进程 『此处的*.不用包括路径名』

    2>删除程序

        del /f  *.exe 强制删除木马或病毒的.exe文件『此处的*.需要包括路径名』

4、综合类：此类是包含了以上3种特征的

对抗：把3种方法一起用咯

 

实战：

1、 用命令列出进程

tacklist  /svc /v list      //列出当前系统所有进程保存为列表文件

2、找到可疑程序控件服务【也可以用bat脚本实现自动发现，以后再说】

     这个要自己眼睛去看的～～～

3、写bat或cmd脚本删除

例子：

echo 开始注消非法控件

@echo off

IF EXIST C:\PROGRA~1\gentad\gentad.dll

IF EXIST C:\Program Files\Kuree\kpfa.dll

IF EXIST C:\Program Files\Ringz Studio\Storm Codec\Codecs\TTL2Dec.dll

IF EXIST C:\PROGRA~1\ypwu\isje.dll

IF EXIST C:\PROGRA~1\ypwu\lcmh.dll

IF EXIST C:\PROGRA~1\ypwu\qhrm.dll

IF EXIST C:\PROGRA~1\ypwu\neoj.dll

IF EXIST C:\WINDOWS\system32\drivers\kelbqb.sys

IF EXIST C:\WINDOWS\system32\wsttrs.dll

IF EXIST C:\WINDOWS\system32\drivers\usrinit.dll

IF EXIST C:\Program Files\NetTransport 2\NTIEHelper.dll goto _unreg   

『IF EXIST命令表示“如果有，则...”－此处表示为如果有这些文件，则运行_unreg   』

:_unreg   『：冒号为定义文件，定义文件_unreg，下面是_unreg  的命令  』

regsvr32 /i /n C:\PROGRA~1\gentad\gentad.dll

regsvr32 /i /n C:\Program Files\Kuree\kpfa.dll

regsvr32 /i /n C:\Program Files\Ringz Studio\Storm Codec\Codecs\TTL2Dec.dll

regsvr32 /i /n C:\PROGRA~1\ypwu\isje.dll

regsvr32 /i /n C:\PROGRA~1\ypwu\lcmh.dll

regsvr32 /i /n C:\PROGRA~1\ypwu\qhrm.dll

regsvr32 /i /n C:\PROGRA~1\ypwu\neoj.dll  『regsvr32 /i /n  强制注销并卸载这些控件』

regsvr32 /i /n C:\WINDOWS\system32\wsttrs.dll

regsvr32 /i /n C:\WINDOWS\system32\drivers\usrinit.dll

regsvr32 /i /n C:\Program Files\NetTransport 2\NTIEHelper.dll   

SC stop C:\WINDOWS\system32\drivers\kelbqb.sys 『SC stop 停止相关服务或驱动』

SC delete C:\WINDOWS\system32\drivers\kelbqb.sys 『SC delete 卸载服务或驱动』

del /f C:\PROGRA~1\gentad\gentad.dll  

del /f C:\Program Files\Kuree\kpfa.dll

del /f C:\Program Files\Ringz Studio\Storm Codec\Codecs\TTL2Dec.dll

del /f C:\PROGRA~1\ypwu\isje.dll

del /f C:\PROGRA~1\ypwu\lcmh.dll

del /f C:\PROGRA~1\ypwu\qhrm.dll

del /f C:\PROGRA~1\ypwu\neoj.dll

del /f C:\WINDOWS\system32\drivers\kelbqb.sys

del /f C:\WINDOWS\system32\wsttrs.dll

del /f C:\WINDOWS\system32\drivers\usrinit.dll

del /f C:\Program Files\NetTransport 2\NTIEHelper.dll   『del /f  强制删除文件』

：_done

echo 开始调用注册表控制台

@echo off

regedit  『调用注册表控制台准备手动清扫的步骤』

end

 

5、清理注册表：用参数也可清理注册表，但是太复杂了，不用工具的话手动调用注册表编辑器，搜索所有的数据。

比如，接上面的例子！

echo 开始调用注册表控制台

@echo off

regedit

end

如果想用参数直接删，那是要下载一个命令行的注册表修改程序才行，如regfind.exe