手工清除“林斯”病毒的方法

手工清除“林斯”病毒的方法（共5篇）

1.手工清除“林斯”病毒的方法 篇一

“MSN布克”病毒手工清除方法

第一步，清除掉内存中的病毒

1、按住Ctrl+Shift+Esc调出“任务管理器”，单击“进程”页，

2、找到名为“nppsvc.exe”的进程，在其上点击鼠标右键，选择“结束进程”。

第二步，删除染毒文件

1、打开“我的电脑”，选择菜单“工具”-》“文件夹选项”，点击“查看”，取消“隐藏受保护的操作系统文件”前的对勾，并在“隐藏文件和文件夹”项中选择“显示所有文件和文件夹”，然后点击“确定”。同时取消掉“隐藏已知类型文件的扩展名”前的对勾，然后点击“确定”。

2、进入Windows下的system32文件夹(默认为C:Windowssystem32)，找到名为“nppsvc.exe”的文件，将其删除。

第三步，删除注册表中的病毒信息

1、打开注册表编辑器(点击“开始”->“运行”，输入“regedit.exe”，点击“确定”。)

2、在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中找到名称为“Windows Audio Panel”且数据为“nppsvc.exe”的一项，将其删除，

3、重新启动计算机，查看“nppsvc.exe”文件是否存在，若不存在说明病毒已经清除干净。

附：“MSN布克”病毒借“Facebook”传播

天极网络安全频道资讯 1月28日中午，一个MSN病毒在网上爆发，并被瑞星命名为“MSN布克”。

短短数小时内已有近百用户向瑞星求助。中毒电脑会向MSN好友发送名为“facebook11.zip”的病毒文件，用户打开运行此文件后就会中毒。

据瑞星技术部门分析，该病毒除了会向msn好友滥发垃圾文件之外，还可能在机器中开启后门，使 可对中毒机器进行远程操作。由于该病毒发送的文件名看起来跟著名社交网站Facebook相关，很容易被用户误认为是Facebook通讯录之类的文件而打开运行，这加大了用户的中毒概率。

专家提醒说，随着春节、情人节等重大节日的来临，此类通过MSN、QQ等传播的病毒还可能给用户带来极大的安全隐患，用户接收MSN好友发来的文件时一定要小心处理。同时，用户可以把自己的重要软件，如MSN、QQ等放入瑞星帐号保险柜，这样即使中毒，病毒也无法向外滥发垃圾信息。

针对此恶性病毒，瑞星杀毒软件将尽快升级。同时，对电脑知识熟悉的用户也可以参考瑞星提供的手工查杀办法，自行清除掉病毒。

2.手工清除“林斯”病毒的方法 篇二

——M8新年应用大推荐

转眼间，我们已经一起步入了2010年。这是一个火热的虎年。在这个喜气洋洋充满了节日气氛的日子里，作为M8粉丝的你，是否也希望能够在你的M8智能手机上找到一些实用又有趣的小软件呢?那么好，就看看本期的这些小工具如何吧!

1、M8在线音乐1.2.1

作者：peter

对于时尚潮人来说，音乐可是你无时无刻不能缺少的。M8在线音乐正是一款利用M8优秀的互联网与多媒体播放能力而制作的在线音乐播放与下载的软件。它适合0.9.3.8＼0.9.3.9及新UI，支持WLAN＼同步＼CMNET。不过由于占用GPRS流量较大，不建议使用CMNET。

最新的1.2.1版本已经对其U1界面进行了优化，增加了部分新功能，在播放音乐时，按M键即可进行后台运行，下载完成5分钟无操作后，还会自动退出程序。这些聪明的小改动，更让你的音乐享受变得轻松惬意。

2、Mystore软件商店

作者：魅族

苹果粉丝们曾经以极其方便的在线购买／下载各种影音娱乐内容而骄傲，现在M8爱好者们也不用再羡慕他们了，因为你同样可以享受到类似的数字内容服务。魅族公司推出的手机软件中心，可以直接在手机上完成下载并安装软件和游戏，同样非常方便!而且提供了丰富的免费资源。可以让你尽情享受M8带给你的乐趣。

Mystore上而的软件经过测试工程师的严格测试，最大限度地保证了第三方软件与M8的兼容性。Mystore安装包适用于0.9.3.9、新UI测试固件。

3、金山词霸1.0.1

作者：金山软件

在国际化大时代中，对于国内用户，英语还是时常会影响我们与外界交流的顺畅。现在，你则可以在M8上安装金山词霸For M8官方专版来提升你的信心。这款运行在M8上的词典软件，功能非常强大，能够支持查词导航、记录查词动作、发音、启动自动运行、快捷查词索引、中英互译、多词典扩展等众多实用功能，可以在你与外界沟通时，起到不小的作用。

4、FIvShow.2.7作者：calmer

这个Flash网络视频播放器已经是我们到老朋友了。不过，最近，它有进行了1.2.7更新。增加了脚本更新功能，以后脚本失效或者出现问题可以通过此功能进行更新。在设置里的右下角，按钮如果是点亮状态，表示有可用更新，以及时提示你是否需要更新升级。同时，它也修正土豆专辑和谷歌视频搜索显示的问题。

5、MyTrain魅友列车时刻表2.1

作者：haizhi_w

经常出门在外，或春节要回家的魅友们都对列车时刻表很有需求。本栏目也曾多次给大家介绍过此类软件。而最新的MyTrain魅友列车时刻表_2.1则提供了站站查询、车次查询、车站查询三种方式。这款列车时刻表显然比以往更加详细、更为方便。

站站查询可选择是否模糊查询，模糊查询时如输入“北京”可以查询出北京站、北京西站、北京南站，非模糊查询时精确查询北京站车次；车次查询可以只输入数字进行模糊查询；车站查询同样支持模糊查询。查询出的车次信息以滑动列表展示，可显示车次号、始发站、终到站、发车时间、到达时间、历时、总里程。选择列表中的某一车次，点票价可查询该车硬座、软座、卧铺等详细票价，点明细可显示该车详细经停车站信息。这么全面、便捷的信息查询，自然是你出门远行必不可少的好帮手。

6、电灯泡0.2.2作者：Coleka

3.手工清除流氓软件方法 篇三

推荐辅助软件：icesword

开始假设电脑上已经有了流氓软件，根据我的经验，流氓软件都会想利用IE进行捆绑，所以

第一步：我们可以通过IE中插件管理来定位流氓软件的位置。

打开“IE”->工具->internet选项->程序->管理加载项

然后会列出很多IE插件，我们要做的只是观察插件的发行者，如果看到发行者前面有个“未验证”的话，我推荐别管它起什么作用，禁用，然后把不是 microsoft 的都禁用了，不用担心会关闭某些有用的插件，比方说播放网页中flash的插件，就算我们关闭了，以后IE会提示你。在状态栏上有个齿轮的符号，双击打开，然后它会提示你需要哪个插件，你到时候再恢复也不迟。

第二步：记录下刚才被基本怀疑为流氓软件的插件(Dll文件)的名字，然后到搜索中对系统进行搜索，一般来说，大部分流氓软件都会安装到x：Program Files下面，找到流氓软件安装的文件夹，先尝试删除，应该是没办法删除的，系统会跳出个窗口――“某文件正在被使用”，那么说明你刚才光在IE里清除是不够的，因为流氓软件已经将其自己加载到rundll32.exe进程中了，

第三步：我们要使用icesword进行操作了。打开 icesword，然后选进程，找到rundll32.exe(有时候可能会有几个，如果有多个的话，一个一个操作)，点右键选择“模块信息”，在模块里找到你刚才没办法删除的dll文件，现在强行结束这个rundll32.exe进程，然后回到Program Files下，先别急着删除。现在打开regedit.exe开始搜索dll插件(就是你刚才在rundll32模块里找到的那个流氓软件的插件)，找到一处就点右键删除注册键值，然后按F3继续搜索，直到跳出个窗口说搜索完毕了，那就说明你已经很干净地清除了流氓软件，删除刚才找到的文件夹，重新启动电脑吧，怎么样，世界干净了!

注册表的操作有几个注意点：

1、不要乱删键值，如果不小心删除了某个重要的数据，电脑可能会发生问题的。

2、regedit.exe里搜索时候，先点最顶端的我的电脑(注意：是注册表编辑器里的“我的电脑”)，这样注册表搜索能搜索得最彻底。

注意：流氓软件有时候会同时用两个或以上的dll文件对IE进行捆绑，所以要把刚才的步骤做几次，一个一个的解除dll文件对IE的捆绑。

4.lsass.exe病毒清除方法 篇四

打开“我的电脑”——工具——文件夹选项——查看

a、把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉;

b、勾中“显示所有文件和文件夹”

二、结束进程

1、用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框;

2、点到任务管理器进程面版，点击菜单，“查看”-“选择列”，在弹出的对话框中选择“PID(进程标识符)”，并点击“确定”。找到映象名称为 “LSASS.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号.点击“开始”——运行，输入“CMD”，点击“确定”打开命令行控制台。

3、输入“ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字，是当前用户名进程的PID，别看错了)”，比如我的计算机上就输入“ntsd –c q -p 1064”.这样进程就结束了。

三、删除病毒文件

删除如下几个文件：

C:Program FilesCommon FilesINTEXPLORE.pif (有的没有.pif)

C:Program FilesInternet ExplorerINTEXPLORE.com

C:WINDOWSEXERT.exe (或者exeroute.exe)

C:WINDOWSIO.SYS.BAK

C:WINDOWSLSASS.exe

C:WINDOWSDebugDebugProgram.exe

C:WINDOWSsystem32dxdiag.com

C:WINDOWSsystem32MSCONFIG.COM

C:WINDOWSsystem32regedit.com

在D:盘上点击鼠标右键，选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件.

四、删除注册表中的其他垃圾信息

将C:WINDOWS目录下的“regedit.exe”改名为“regedit.com”并运行，删除以下项目：

1、HKEY_CLASSES_ROOTWindowFiles

2、HKEY_CURRENT_USERSoftwareVB and VBA Program Settings

3、HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain 下面的 Check_Associations项

4、HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternetINTEXPLORE.pif

5、HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 下面的ToP项

五、修复注册表中被篡改的键值

1、将HKEY_CLASSES_ROOT.exe的默认值修改为 “exefile”(原来是windowsfile)

2、将HKEY_CLASSES_ROOTApplicationsiexplore.exeshellopencommand 的默认值修改为 “C:Program FilesInternet Exploreriexplore.exe” %1 (原来是intexplore.com)

3、将HKEY_CLASSES_ROOTCLSID{871C5380-42A0-1069-A2EA-08002B30309D} shellOpenHomePageCommand 的默认值修改为“C:Program FilesInternet ExplorerIEXPLORE.EXE”(原来是INTEXPLORE.com)

4、将HKEY_CLASSES_ROOT ftpshellopencommand 和HKEY_CLASSES_ROOThtmlfileshellopennewcommand 的默认值修改为“C:Program FilesInternet Exploreriexplore.exe” %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

5、将HKEY_CLASSES_ROOT htmlfileshellopencommand 和 HKEY_CLASSES_ROOTHTTPshellopencommand的默认值修改为 “C:Program FilesInternet Exploreriexplore.exe” –nohome

6、将HKEY_LOCAL_MACHINESOFTWAREClientsStartMenuInternet 的默认值修改为“IEXPLORE.EXE”.(原来是INTEXPLORE.pif)

六、关掉注册表编辑器

将C:WINDOWS目录下的regedit.com改回regedit.exe，如果提示有重名文件存在，不能更改，可以先将重名的regedit.exe删除，再将regedit.com改为regedit.exe。

5.手工清除“林斯”病毒的方法 篇五

发现木马

由于木马是基于远程控制的程序，因此，中木马的机器会开有特定的端口。一般一台个人用的系统在开机后最多只有137、138、139三个端口。若上网，会有其他端口，这是本机与网上主机通讯时打开的，如IE一般会打开连续的端口:1025，1026，1027等。

在DOS命令行下用”netstat-na”命令可以看到本机所有打开的端口。如果发现除了以上所说的端口外，还有其他端口被占用(特别是木马常用端口被占用)，那可要好好查查了，很有可能中了木马。

查找木马

要使你的系统能显示隐藏文件，因为一些木马文件属性是隐藏的。多数木马都会把自身复制到系统目录下并加入启动项(如果不复制到系统目录下则很容易被发现，不加入启动项在重启后木马就不执行了)，启动项一般都是加在注册表中的，具体位置在：HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;HKEY_USERSDefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“Run”开头的键值。

不过，也有一些木马不在这些地方加载，它们躲在下面这些地方:

●在Win.ini中启动

在Win.ini的[windows]字段中有启动命令“load=”和“run=”，在一般情况下“＝”后面是空白的，如果有程序，比方说是:run=c:windowsfile.exe或load=c:windowsfile.exe，要小心了，这个file.exe很可能就是木马。

●在System.ini中启动

System.ini位于Windows的安装目录下，其[boot]字段的shell=Explorer.exe是木马喜欢的隐蔽加载之所，木马通常的做法是将该句变为这样:shell=Explorer.exewindow.exe，注意这里的window.exe就是木马程序。

另外，在System.ini中的[386Enh]字段，要注意检查在此段内的“driver=路径程序名”，这里也有可能被木马所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]这三个字段，这些段也是起到加载驱动程序的作用，但也是增添木马程序的好场所。

●在Autoexec.bat和Config.sys中加载运行

这种加载方式一般都需要控制端用户与服务端建立连接后，将已添加木马启动命令的同名文件上传到服务端覆盖这两个文件才行，而且采用这种方式不是很隐蔽，所以这种方法并不多见，但也不能因此而掉以轻心。

●在Winstart.bat中启动

Winstart.bat是一个特殊性丝毫不亚于Autoexec.bat的批处理文件，也是一个能自动被Windows加载运行的文件。它多数情况下为应用程序及Windows自动生成，在执行了Win.com并加载了多数驱动程序之后开始执行，

由于Autoexec.bat的功能可以由Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行，危险由此而来。

●启动组

木马隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此，还是有木马喜欢在这里驻留的。启动组对应的文件夹为:C:WindowsStartMenuProgramsStartUp，在注册表中的位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShellFoldersStartup=C:windowsstartmenuprogramsstartup。

●*.INI

即应用程序的启动配置文件，控制端利用这些文件能启动程序的特点，将制作好的带有木马启动命令的同名文件上传到服务端覆盖同名文件，这样就可以达到启动木马的目的了。

●修改文件关联

修改文件关联是木马常用手段(主要是国产木马，老外的木马大都没有这个功能)，比方说，正常情况下txt文件的打开方式为Notepad.EXE文件，但一旦中了文件关联木马，则txt文件打开方式就会被修改为用木马程序打开，如著名的冰河就是这样干的。一旦你双击一个txt文件，原本应用Notepad打开该文件的，现在却变成启动木马程序了。请大家注意，不仅仅是txt文件，其他诸如HTM、EXE、ZIP、COM等都是木马的目标。对付这类木马，只能检查HKEY_CLASSES_ROOT文件类型shellopencommand主键，查看其键值是否正常。

●捆绑文件

实现这种触发条件首先要控制端和服务端已通过木 立连接，然后，控制端用户用工具软件将木马文件和某一应用程序捆绑在一起，然后上传到服务端覆盖原文件，这样，即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被安装上去了。绑定到某一应用程序中，如绑定到系统文件，那么，每一次Windows启动均会启动木马。

手工清除木马

如果发现自己的硬盘总是莫明其妙地读盘，软驱灯经常自己亮起，网络连接及鼠标、屏幕出现异常现象，很可能就是因为有木马潜伏在你的机器里面，此时，就应该想办法清除它们了。

当发现可疑文件时，可以试试能不能删除它，因为木马多是以后台方式运行，通过按“CtrlAltDel”是找不到的，而后台运行的应是系统进程。如果在前台进程里找不到，而又删不了(提示正在被使用)，那就应该注意了。

那么，如何清除木马而不误删其他有用文件呢？当你通过上述方法找到可疑程序时，你可以先看看该文件的属性。一般系统文件的修改时间应是或，而不应该是最近的时间(安装最新的Win、winxp的系统除外)，文件的创建时间应当不会离现在很近。当看到可疑的执行文件时间是最近甚至是当前，那八成就有问题了。

首先，查进程。检查进程可以借助第三方软件，如Windows优化大师，利用其“查看进程”功能把可疑进程杀掉，然后，再看看原来怀疑的端口还有没有开放(有时需重启)，如果没有了，那说明杀对了，再把该程序删掉，这样，就手工删除了这个木马了。