如何進 "登錄檔" 刪除病毒 ?

** 如何進 "登錄檔" ?

開始 -->搜尋 regedit --> 登錄檔編輯程式 (或 windows鍵 + R) --> a. 檢查 "HEKY_CURRENT _USER" -->RUN --> b. 檢查 "  HKEY_LOCAL_MACHINE" --> RUN --> 若有 RUNONCE .... 等 (要刪除, 保留 RUN 就好) 

步驟1.   搜尋 regedit

步驟2.   檢查  "HEKY_CURRENT _USER" 和   HKEY_LOCAL_MACHINE"   中的           Run

** 進登錄檔刪除病毒的步驟:

1. 查登錄檔, 找到 RUN 後 --> 查詢病毒路徑

2. 找到路徑的檔案刪除後, 接著再刪登錄檔的連結

3. 到控制台 --> 程式和功能 --> 檢查裡面有沒有最新日期安裝的小程式 (簡體字或亂碼)

4. 重新開機, 再看一次登錄檔的RUN

5. 如果病毒連結又跑出來, 使用搜尋功能到登錄檔後, 找:

(A). HKEY_LOCAL_MACHINE 裡的 RUN, (這裡的啟動就是執行程式的連結, 因為這裡是所有本機使用者所共用的), 其路徑如下: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

(B). HKEY_CURRENT_USER 裡的 RUN (這裡的項目比較少, 裡面的啟動程式資料會因為使用者個別的設定而有所不同), 其路徑如下: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

上圖藍框部份為其對應程式之路徑


(C). Userinit (幾乎每個中毒的電腦, 這邊都會有問題), 其路徑如下: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit --> 點二下--> 正常的值會顯示 "C:\WINDOWS\sysstem32\userinit.exe, " 但這個鍵允許指定用逗號分隔的多個程式, 例如: C:\WINDOWS\sysstem32\userinit.exe,c:\safaf546e.exe, " 多了 c:\safaf546e.exe, 表示系統被改了, 有可能是:

(1) 登錯使用者

(2) 中毒後使用者被改了

所以如果發現此種情況, 只要把逗號後面的所有文字 c:\safaf546e.exe, 全部刪除, 只留下原本設定的正常值, 就會恢復正常的機碼.

補充:

1.   刪掉此連結前, 請到 C 槽, 將 safaf546e.exe 檔案刪除.

2.   在登錄檔刪除的為機器編碼的 "連結", 但實際的病毒不是在這裡, 所以要記得在最後要刪除連結前, 要先刪除病毒連結的位置, 若無法刪除, 請進 "安全模式" 底下清除.

上圖紅框 "Userinit"  點二下進入 "編輯字串" 中

下圖紅框中顯示的 "編輯字串" 是正常值