? ? ? 今天看了下Windows下手動查殺病毒的教程。將心得寫下來，以便后面復(fù)習(xí)使用。

首先，手動查殺病毒的步驟如下：

?1，查內(nèi)存，排查可疑進(jìn)程。目的是為了將病毒從內(nèi)存中干掉；

?2，查啟動項(xiàng)，刪除病毒啟動項(xiàng)。

?3，通過病毒啟動項(xiàng)判斷病毒所在位置，從根本上刪除病毒。

?4，修復(fù)系統(tǒng)。常見的病毒會對系統(tǒng)部分損壞。

?? ?

? ? ? ? ?當(dāng)我們的計(jì)算機(jī)感染病毒，或許我們無法啟動任務(wù)管理器或者殺毒工具。一旦他們住入內(nèi)存，被病毒監(jiān)控到他們進(jìn)駐內(nèi)存，則會被立即趕出內(nèi)存。我們可以通過使用命令行模式來獲取踩點(diǎn)信息。

?查內(nèi)存，殺進(jìn)程的步驟如下：?

? ? ? ? 1，按鍵：win+r或者啟動“運(yùn)行”，輸入：cmd,回車，打開命令行模式窗口。

?

? ? ? ?2，輸入命令：tasklist， 可以常看到當(dāng)前系統(tǒng)進(jìn)程：

? ? ? 或者可以是用這樣的命令：tasklist /svc查看更詳細(xì)的進(jìn)程有沒有加載其他的什么服務(wù)：

? ?(可能小伙伴從上面的圖片中發(fā)現(xiàn)了什么， 對吧)

? ? 這里，就要考驗(yàn)到對一些常見的程序加載的進(jìn)程名稱熟不熟悉了，平時大家可以積累下使用軟件的安裝路徑，進(jìn)程名和程序使用的對應(yīng)的服務(wù)名。有了這樣的積累，便能很快識別進(jìn)程列表中哪些是病毒進(jìn)程了。

? ? ?這里，我是用的是熊貓燒香。結(jié)合進(jìn)程列表，發(fā)現(xiàn)進(jìn)程名為：spoclsv.exe為病毒使用的進(jìn)程。

? ? ?3，既然發(fā)現(xiàn)了病毒進(jìn)程，那我們就可以使用命令：taskkill /f /im PID 殺死病毒進(jìn)程。命令解釋，這里的 "f“是force 的縮寫，意味強(qiáng)制，"im"是Image file，鏡像文件。PID。

? ? ? 那么，我這里使用的命令是：taskkill /f /im 1264。命令使用結(jié)果如下：

? ?這里提示，成功將病毒進(jìn)程從內(nèi)存中干掉。若能成功打開任務(wù)管理器，則標(biāo)識殺毒成功：

查啟動項(xiàng)，刪除病毒啟動項(xiàng)

? ? ? 1，打開運(yùn)行對話框，輸入msconfig命令，回車，在彈出的對話框中找到”啟動“，很快就能找到熊貓燒香的啟動項(xiàng)是被勾選了，：

? ?2，取消勾選，確定。重啟系統(tǒng)，系統(tǒng)就不會自啟動熊貓燒香了，這里，還能找到關(guān)于病毒文件所在路徑和注冊表所在位置：

? 3， 還可以通過直接修改注冊表的值來禁止啟動該病毒，這種方法比較靠譜。方法，在運(yùn)行對話框中輸入，regedit，回車，打開注冊表窗口。

? ?依次找到下面的選項(xiàng)：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，? 這里也能法發(fā)現(xiàn)系統(tǒng)自啟動選項(xiàng)中包括了病毒的注冊表信息：

? ? 直接刪除病毒注冊表項(xiàng)的值即可。

? 4，接著檢查：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run是否也有病毒的相關(guān)的注冊表項(xiàng)，有，直接刪除！

? 5，查找?HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\winlogon，查看”shell"的值是否發(fā)生變化。

? ?6，接著我們就可以大膽的將病毒文件刪除了：刪除的命令是：del /f 病毒名。

? ? 提示：養(yǎng)成良好的習(xí)慣，當(dāng)我們打開磁盤驅(qū)動器的時候，不要雙擊打開驅(qū)動器，

? ? 推薦做法是鼠標(biāo)右鍵選中待打開的驅(qū)動器，查看彈出的菜單中是否出現(xiàn)異常。 貿(mào)然打開驅(qū)動器可能會再次激活病毒。

? ?? 7，重啟計(jì)算機(jī)后，繼續(xù)在命令行下查看各個驅(qū)動器下是否存在隱藏文件。先切換值根目錄，接著使用命令 dir /ah：

做根分區(qū)修復(fù)（系統(tǒng)修復(fù)）

? ? ?發(fā)現(xiàn)根分區(qū)存在異常。

? ? 這里挨著修復(fù)每個驅(qū)動器的問題。我這里只是列舉了一個磁盤的修復(fù)方法：

? 1, 通過命令：attrib命令調(diào)整文件或文件夾屬性。

? 命令：attrib -r -h -s 文件名或文件夾名。

? 參數(shù)說明： -r 只讀， -h 是隱藏 ， -s 系統(tǒng)屬性。

如圖：

? ? 2，調(diào)整好屬性后，就可以將文件刪除了。

? ? 通過dir命令可以查看到，文件屬性調(diào)整成功。病毒文件成功顯示了：

? ? ? ?刪除病毒文件：del /f autorun.inf 和 ?del /f setup.exe 。這時，目錄中就不存在病毒文件了。

???

? ?3， 這時發(fā)現(xiàn)驅(qū)動器右鍵菜單還是存在異常。但是其已經(jīng)失效了，我們已經(jīng)將病毒文件刪除了。注銷或重啟系統(tǒng)可以得到解決。

? ?注銷命令是：logoff。

? ?注銷或者重啟后，再次打開驅(qū)動器，可見，異常消失：

? ? ? ? ?驅(qū)動器的修復(fù)就結(jié)束了。

處理被感染的exe文件；

? ? ? ?處理被感染的 exe文件了。建議大家做好驅(qū)動器重要數(shù)據(jù)備份，最好加密，比如，歸檔壓縮。

? ? ? ?解決被感染的 exe文件通常的方法是將其刪除。

關(guān)于殺毒軟件的修復(fù)

? ? ? ? 建議重新安裝。病毒修改了殺毒軟件的注冊表項(xiàng)，重新安裝即可解決。

修復(fù)顯示隱藏文件：

? ? ? ? 打開注冊表，命令：regedit，依次找到下面的鍵值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue?

?這里被感染，值為0，將其修改為?1。

?

? ? ? ?這樣就能在文件夾下查看隱藏文件了.

-------------------------------附---------------------------------------

附上熊貓燒香中毒后的特征：

1. 拷貝自身到所有驅(qū)動器根目錄，命名為Setup.exe，并生成一個autorun.inf使得用戶打開該盤運(yùn)行病毒，并將這兩個文件屬性設(shè)置為隱藏、只讀、系統(tǒng)。2. 無法手工修改“文件夾選項(xiàng)”將隱藏文件顯示出來。3. 在每個感染后的文件夾中可見Desktop_ini的隱藏文件，內(nèi)容為感染日期 如：2007-4-14. 電腦上的所有腳本文件中加入一段代碼：<iframe src=xxx width=”0” height=”0”></iframe>5. 中毒后的機(jī)器上常見的反病毒軟件及防火墻無法正常開啟及運(yùn)行。6. 不能正常使用任務(wù)管理器及注冊表。7. 無故的向外發(fā)包，連接局域網(wǎng)中其他機(jī)器。8. 感染其他應(yīng)用程序的.exe文件，并改變圖標(biāo)顏色，但不會感染微軟操作系統(tǒng)自身的文件。9. 刪除GHOST文件(.gho后綴)，網(wǎng)吧、學(xué)校和單位機(jī)房深受其害。10. 禁用常見殺毒工具。 ? ? 病毒特征：

病毒特征： 1. 關(guān)閉眾多殺毒軟件和安全工具。2. 循環(huán)遍歷磁盤目錄，感染文件，對關(guān)鍵系統(tǒng)文件跳過。3. 感染所有EXE、SCR、PIF、COM文件,并更改圖標(biāo)為燒香熊貓。4. 感染所有.htm/.html/.asp/.php/.jsp/.aspx文件，添加木馬惡意代碼。5. 自動刪除*.gho文件。? ? ?病毒發(fā)作癥狀：

1:拷貝文件病毒運(yùn)行后,會把自己拷貝到C:\WINDOWS\System32\Drivers\spoclsv.exe2:添加注冊表自啟動病毒會添加自啟動項(xiàng)HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svcshare -> C:\WINDOWS\System32\Drivers\spoclsv.exe3:病毒行為a:每隔1秒 尋找桌面窗口,并關(guān)閉窗口標(biāo)題中含有以下字符的程序QQKav QQAV 防火墻 進(jìn)程 VirusScan 網(wǎng)鏢 殺毒 毒霸 瑞星 江民 黃山IE 超級兔子 優(yōu)化大師 木馬克星 木馬清道夫 QQ病毒 注冊表編輯器 系統(tǒng)配置實(shí)用程序 卡巴斯基反病毒 Symantec AntiVirus Duba esteem proces 綠鷹PC 密碼防盜 噬菌體 木馬輔助查找器 System Safety Monitor Wrapped gift Killer Winsock Expert 游戲木馬檢測大師 msctls_statusbar32 pjf(ustc) IceSword 并使用的鍵盤映射的方法關(guān)閉安全軟件IceSword并中止系統(tǒng)中以下的進(jìn)程: Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe RavStub.exe KVXP.kxp kvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exeb:每隔18秒點(diǎn)擊病毒作者指定的網(wǎng)頁,并用命令行檢查系統(tǒng)中是否存在共享，存在的話就運(yùn)行net share命令關(guān)閉admin$共享。c:每隔10秒下載病毒作者指定的文件,并用命令行檢查系統(tǒng)中是否存在共享共存在的話就運(yùn)行net share命令關(guān)閉admin$共享。d:每隔6秒刪除安全軟件在注冊表中的鍵值。HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run RavTask KvMonXP kav KAVPersonal50 McAfeeUpdaterUI Network Associates Error Reporting Service ShStartEXE YLive.exe yassistse并修改以下值不顯示隱藏文件HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue -> 0x00刪除以下服務(wù): navapsvc wscsvc KPfwSvc SNDSrvc ccProxy ccEvtMgr ccSetMgr SPBBCSvc Symantec Core LC NPFMntor MskService FireSvce:感染文件病毒會感染擴(kuò)展名為exe,pif,com,src的文件,把自己附加到文件的頭部并在擴(kuò)展名為htm,html, asp,php,jsp,aspx的文件中添加一網(wǎng)址,用戶一旦打開了該文件,IE就會不斷的在后臺點(diǎn)擊寫入的網(wǎng)址,達(dá)到增加點(diǎn)擊量的目的,但病毒不會感染以下文件夾名中的文件: WINDOW Winnt System Volume Information Recycled Windows NT WindowsUpdate Windows Media Player Outlook Express Internet Explorer NetMeeting Common Files ComPlus Applications Messenger InstallShield Installation Information MSN Microsoft Frontpage Movie Maker MSN Gamin Zone

總結(jié)

以上是生活随笔為你收集整理的手动查杀病毒的第一课的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。