微点交流论坛

标题: 手动清除病毒的一般方法（集一些网友意见,从新修改） [打印本页]

作者: fy1312 时间: 2007-7-11 09:12 标题: 手动清除病毒的一般方法（集一些网友意见,从新修改）

1．针对一些病毒会自动连接网络下载更多的新型病毒，首先掉除网线。
2、一些病毒会伪装成系统文件或者隐藏文件，建议先设置以下：
打开“我的电脑”对话框，依次单击“工具”→“文件夹选项”→“查看”选项，在所出现的编辑区内。将下方“高级设置”标签里“隐藏受保护的操作系统文件（推荐）”前的复选框勾去掉，然后在选中其下方“显示所有文件和文件夹”的单选框，单击“确定”按钮，这样加载在机器内的所有病毒文件，才会“飘浮到水面”。

注意:如果病毒强行修改了注册表,导致无法查看隐藏文件,你可以进行以下操作,把注册表修改过来就可以正常查看隐藏文件了
最好是能在安全模式下进行以下操作,
N D(D3K Y @3_撕响社区打开注册表(点开始--运行--regedit),把HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1.DefaultValue为2
“HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\NOHIDDEN”
DefaultValue为2，CheckedValue值为2

3．针对病动会加载启动项，让木马不断有再生功能，我们先来改启动项。去除多余启动项的方法：开始－－运行－－ msconfig－－启动－－去除一找到可疑启动项－－取消勾－－确定，
以上只适合用于只加载到启动项的病毒木马，如果你中的病毒伪装成服务，要注意以下：
木马几乎都有一个特征就是再生，让你的杀毒软件无法彻底清除，其主要依靠注册表中管理启动的主键键值进行再生，让我们从注册表启动项开始分析：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
必须确认主键下没有加载任何分键值。另外，启动配置器里的Autoexec.bat、win.ini、System.ini，以及在windows9x下的winstart.ini文件，其中"load="键的值是空，不是空格，只有=号。Autoexec.bat没有加载任何程序，在“开始”菜单的程序，“启动文件夹下不存在任何程序，这样才能有效地杜绝木马的再生功能

4．其实病毒每生成一个主exe文件，会对应修改注册表，我们可以在注册表里手动删除病毒的相关信息。修改方法：打开
C ：\WINDOWS、 C： \WINDOWS\system32找出可疑exe 文件, 复制文件名在注册表里查找（打开注册表后选编辑— 查找—输入病毒信息回车就 OK），找出相关信息后删除。判断是否可疑程序可以根据创建时间来判断：去到目录下 ---右键 —查看--- 详细信息—然后点修改日期，找出最近创建的程序根据自己的情况判断

5．请进入安全模式,（如果该病毒没有破坏安全模式的话，已经无法进入安全模式的可以尝以下操作：把注册表编辑器定位到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot,找到名为“Minimal"和“Network"的两个项，如果没有找到这两个项或者只有找到相似的两个项，证明病毒修改了这两个项导致无法使用安全模式，可以手动修改过来，然后重启，就能进入安全模式）
进入安全模式后进行以下操作
删除:\WINDOWS\TEMP\下所有文件
删除C:\Documents and Settings\******\Local Settings\Temp\下的所有文件
删除 C:\Documents and Settings\*******\Cookies\下的所有文件
删除 c:\winnt\*.tmp\下的所有文件
删除:C:\WINDOWS\SYSTEM32\最新的dll文件与exe文件（注意确定自己是否最近有安装软件，有就要谨慎删除，以免误删）
C:\Documents and Settings\**********\Local Settings\Temporary Internet Files\下的通通干掉。
说明： " ******* " 为用户文件夹名。

6．按照以上的操作，一次手动清除病毒已基本完成，做了这个还不够，还要用最新的杀毒软件检测病毒是否有感染其它文件，建议把硬盘装到别的机子上进行病毒检测

以上文章由半杯酒原创，半杯酒主站：http://xinduw.net
原文地址：http://xinduw.net/blog/Security2007/239.htm

[ Last edited by fy1312 on 2007-7-13 at 08:42 ]

作者: qq2008444 时间: 2007-7-11 16:47
真古老
我有个更简单的
1.把自己重要的资料都备份到移动硬盘里
2.准备好DOS启动盘
3.在BIOS里设置为软驱启动
4.FORMAT指令
哈哈
——————————※ ※ ※华丽の分割线※ ※ ※—————————————————
此乃水贴
灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌

作者: fy1312 时间: 2007-7-12 07:59 标题: 我相信,如果你是网管,以上的文章我保证你有同感

嘻嘻

作者: qq2008444 时间: 2007-7-12 09:34

Quote:

Originally posted by fy1312 at 2007-7-12 07:59:
嘻嘻

我同意
如果网管都用FORMAT世界就乱套了:lol::lol::lol:
——————————※ ※ ※华丽の分割线※ ※ ※—————————————————
此乃水贴
灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌

作者: qq2008444 时间: 2007-7-12 09:36
第3项太老
现在的木马病毒基本都用系统服务启动、DLL注入、系统内核等等方式伪装
在MSCONFIG的启动里是找不到的

作者: zqrsc 时间: 2007-7-12 10:32
喜欢通过ghost 局域网群克。。
看着满屋子的显示器都在同时蓝屏幕。。
壮观啊。
呵呵~

作者: fy1312 时间: 2007-7-12 15:39
第3项太老
现在的木马病毒基本都用系统服务启动、DLL注入、系统内核等等方式伪装
在MSCONFIG的启动里是找不到的
这个倒是真的..我再看看有什么好的,把文章修改下...上面的文章对一般病毒还是有点帮助的

作者: qq2008444 时间: 2007-7-12 16:07

Quote:

Originally posted by zqrsc at 2007-7-12 10:32:
喜欢通过ghost 局域网群克。。
看着满屋子的显示器都在同时蓝屏幕。。
壮观啊。
呵呵~

你为何不说把满屋子的电脑都弄蓝屏了
更壮观:lol::lol:

作者: fy1312 时间: 2007-7-13 08:43
重新修改了文章...谢谢各位网友给意见

作者: runsisi 时间: 2007-7-13 17:48
用AUTORUNS查看启动项直接一些

作者: han 时间: 2007-7-13 18:16
第6项麻烦，建议刻光盘winpe，或者干脆做成优盘版的。进入系统后将重要文件考出，然后随便

作者: fy1312 时间: 2007-7-14 08:32
各有各的做法啦..但我认为11楼朋友的说法不好,,,因为这样会搞到自己的动手能力越来越差

作者: fy1312 时间: 2007-7-15 13:10
我自己一顶..再顶

作者: fy1312 时间: 2007-7-18 13:47
文章就这样沉下去了???

作者: zhihaozwj 时间: 2007-7-19 13:50
c:\program files下也可以存在病毒,

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn