微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » 手动清除病毒的一般方法(集一些网友意见,从新修改)  

 15  1/2  1  2  > 
作者:
标题: 手动清除病毒的一般方法(集一些网友意见,从新修改)
fy1312
新手上路





积分 12
发帖 12
注册 2007-7-5
#1  手动清除病毒的一般方法(集一些网友意见,从新修改)

1. 针对一些病毒会自动连接网络下载更多的新型病毒,首先掉除网线。
2、一些病毒会伪装成系统文件或者隐藏文件,建议先设置以下:
打开“我的电脑”对话框,依次单击“工具”→“文件夹选项”→“查看”选项,在所出现的编辑区内。将下方“高级设置”标签里“隐藏受保护的操作系统文件(推荐)”前的复选框勾去掉,然后在选中其下方“显示所有文件和文件夹”的单选框,单击“确定”按钮,这样加载在机器内的所有病毒文件,才会“飘浮到水面”。





注意:如果病毒强行修改了注册表,导致无法查看隐藏文件,你可以进行以下操作,把注册表修改过来就可以正常查看隐藏文件了
最好是能在安全模式下进行以下操作,
N D(D3K Y @3_撕响社区打开注册表(点开始--运行--regedit),把HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1.DefaultValue为2
“HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\NOHIDDEN”
DefaultValue为2,CheckedValue值为2

3. 针对病动会加载启动项,让木马不断有再生功能,我们先来改启动项。去除多余启动项的方法:开始--运行-- msconfig--启动--去除一找到可疑启动项--取消勾--确定,
以上只适合用于只加载到启动项的病毒木马,如果你中的病毒伪装成服务,要注意以下:
木马几乎都有一个特征就是再生,让你的杀毒软件无法彻底清除,其主要依靠注册表中管理启动的主键键值进行再生,让我们从注册表启动项开始分析:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run   
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce   
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices   
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce   
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices   
必须确认主键下没有加载任何分键值。另外,启动配置器里的Autoexec.bat、win.ini、System.ini,以及在windows9x下的winstart.ini文件,其中"load="键的值是空,不是空格,只有=号。Autoexec.bat没有加载任何程序,在“开始”菜单的程序,“启动文件夹下不存在任何程序,这样才能有效地杜绝木马的再生功能

4. 其实病毒每生成一个主exe文件,会对应修改注册表,我们可以在注册表里手动删除病毒的相关信息。修改方法:打开
C :\WINDOWS、 C: \WINDOWS\system32找出可疑exe 文件, 复制文件名在注册表里查找(打开注册表后选编辑— 查找—输入病毒信息回车就 OK),找出相关信息后删除。判断是否可疑程序可以根据创建时间来判断:去到目录下 ---右键 —查看--- 详细信息—然后点修改日期,找出最近创建的程序根据自己的情况判断

5.请进入安全模式,(如果该病毒没有破坏安全模式的话,已经无法进入安全模式的可以尝以下操作:把注册表编辑器定位到HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot,找到名为“Minimal"和“Network"的两个项,如果没有找到这两个项或者只有找到相似的两个项,证明病毒修改了这两个项导致无法使用安全模式,可以手动修改过来,然后重启,就能进入安全模式)
进入安全模式后进行以下操作
删除:\WINDOWS\TEMP\下所有文件
删除C:\Documents and Settings\******\Local Settings\Temp\下的所有文件
删除 C:\Documents and Settings\*******\Cookies\下的所有文件
删除 c:\winnt\*.tmp\下的所有文件
删除:C:\WINDOWS\SYSTEM32\最新的dll文件与exe文件(注意确定自己是否最近有安装软件,有就要谨慎删除,以免误删)
C:\Documents and Settings\**********\Local Settings\Temporary Internet Files\下的通通干掉。
说明: " ******* " 为用户文件夹名。

6.按照以上的操作,一次手动清除病毒已基本完成,做了这个还不够,还要用最新的杀毒软件检测病毒是否有感染其它文件,建议把硬盘装到别的机子上进行病毒检测


以上文章由半杯酒原创,半杯酒主站:http://xinduw.net
原文地址:http://xinduw.net/blog/Security2007/239.htm

[ Last edited by fy1312 on 2007-7-13 at 08:42 ]

※ ※ ※ 本文纯属【fy1312】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

个人博客:http://www.sk04.cn
个人杀毒站:http://xinduw.cn
2007-7-11 09:12
查看资料  发送邮件  发短消息   编辑帖子
qq2008444
银牌会员

职业潜水艇


积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
#2  

真古老
我有个更简单的
1.把自己重要的资料都备份到移动硬盘里
2.准备好DOS启动盘
3.在BIOS里设置为软驱启动
4.FORMAT指令
哈哈
——————————※ ※ ※华丽の分割线※ ※ ※—————————————————
此乃水贴
灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌

※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟……
2007-7-11 16:47
查看资料  发送邮件  发短消息   编辑帖子
fy1312
新手上路





积分 12
发帖 12
注册 2007-7-5
#3  我相信,如果你是网管,以上的文章我保证你有同感

嘻嘻

※ ※ ※ 本文纯属【fy1312】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

个人博客:http://www.sk04.cn
个人杀毒站:http://xinduw.cn
2007-7-12 07:59
查看资料  发送邮件  发短消息   编辑帖子
qq2008444
银牌会员

职业潜水艇


积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
#4  



  Quote:
Originally posted by fy1312 at 2007-7-12 07:59:
嘻嘻

我同意
如果网管都用FORMAT世界就乱套了
——————————※ ※ ※华丽の分割线※ ※ ※—————————————————
此乃水贴
灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌灌

※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟……
2007-7-12 09:34
查看资料  发送邮件  发短消息   编辑帖子
qq2008444
银牌会员

职业潜水艇


积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
#5  

第3项太老
现在的木马病毒基本都用系统服务启动、DLL注入、系统内核等等方式伪装
在MSCONFIG的启动里是找不到的

※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟……
2007-7-12 09:36
查看资料  发送邮件  发短消息   编辑帖子
zqrsc
版主

反病毒区版主


积分 1133
发帖 1118
注册 2005-11-22
来自 .net
#6  

喜欢通过ghost 局域网群克。。
看着满屋子的显示器都在同时蓝屏幕。。
壮观啊。
呵呵~

※ ※ ※ 本文纯属【zqrsc】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

偶在~ 偶一直在~ 偶永远都在~偶不可救药的无处不在~
2007-7-12 10:32
查看资料  发短消息  QQ   编辑帖子
fy1312
新手上路





积分 12
发帖 12
注册 2007-7-5
#7  

第3项太老
现在的木马病毒基本都用系统服务启动、DLL注入、系统内核等等方式伪装
在MSCONFIG的启动里是找不到的
这个倒是真的..我再看看有什么好的,把文章修改下...上面的文章对一般病毒还是有点帮助的

※ ※ ※ 本文纯属【fy1312】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

个人博客:http://www.sk04.cn
个人杀毒站:http://xinduw.cn
2007-7-12 15:39
查看资料  发送邮件  发短消息   编辑帖子
qq2008444
银牌会员

职业潜水艇


积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
#8  



  Quote:
Originally posted by zqrsc at 2007-7-12 10:32:
喜欢通过ghost 局域网群克。。
看着满屋子的显示器都在同时蓝屏幕。。
壮观啊。
呵呵~

你为何不说把满屋子的电脑都弄蓝屏了
更壮观

※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟……
2007-7-12 16:07
查看资料  发送邮件  发短消息   编辑帖子
fy1312
新手上路





积分 12
发帖 12
注册 2007-7-5
#9  

重新修改了文章...谢谢各位网友给意见

※ ※ ※ 本文纯属【fy1312】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

个人博客:http://www.sk04.cn
个人杀毒站:http://xinduw.cn
2007-7-13 08:43
查看资料  发送邮件  发短消息   编辑帖子
runsisi
新手上路





积分 29
发帖 30
注册 2007-4-23
来自 hn chs
#10  

用AUTORUNS查看启动项直接一些

※ ※ ※ 本文纯属【runsisi】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-7-13 17:48
查看资料  发送邮件  发短消息  QQ   编辑帖子
 15  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号