手工清理病毒原来可以如此简单
手工杀毒原理
手工杀毒原理我呀,一直对电脑里的那些小病毒特别好奇。
你想啊,它们就像一群调皮捣蛋的小怪兽,悄咪咪地钻进我们的电脑,然后搞出各种乱子。
今天呢,我就来和大家唠唠手工杀毒这个事儿。
我有个朋友,叫小李。
有一次他电脑突然就变得奇奇怪怪的。
打开文件特别慢,还时不时弹出一些莫名其妙的广告窗口。
他当时就慌了神儿,来找我。
我就寻思着,这估计是被病毒给缠上了。
这病毒就好比是小偷进了屋子,把东西弄得乱七八糟的。
那怎么办呢?这就轮到手工杀毒上场啦。
手工杀毒呢,首先得知道病毒大概藏在哪儿。
这就像是在一个大迷宫里找坏家伙一样。
一般来说,病毒喜欢躲在一些特定的地方。
比如说系统的启动项,这就像是房子的大门入口。
要是病毒在这儿藏着,那电脑一开机,它就跟着启动了。
我就跟小李说:“你想啊,这病毒要是在启动项里,就像有个坏蛋在你家门口等着,你一开门他就冲进来捣乱。
”我打开他电脑的系统配置实用程序,一个一个查看那些启动项。
有些程序的名字看起来就很可疑,就像一个陌生人在一群熟人里特别扎眼。
比如说有个名字里全是乱码的启动项,这时候我就会想:“嘿,这啥玩意儿啊?看着就不像个好东西。
”这可能就是病毒的伪装啦。
再就是那些经常被病毒利用的文件夹,像Windows系统里的System32文件夹。
这个文件夹就像是电脑的工具箱,里面装着各种重要的工具来让电脑正常运行。
可病毒呢,就想混进这个工具箱里,把那些工具搞坏或者利用这些工具来搞破坏。
我在这个文件夹里仔细查看,看看有没有新出现的、不认识的文件。
我跟小李说:“这就好比你工具箱里突然多了个奇怪的工具,你都不知道是干啥用的,那肯定得小心啊。
”还有注册表,这可复杂得很。
注册表就像是电脑的大账本,记录着电脑的各种设置和程序信息。
病毒就喜欢在这个账本里乱改东西。
我在注册表编辑器里小心翼翼地查看那些键值。
有时候看到一些键值的名字很怪异,或者它指向的文件路径很可疑。
我就会嘟囔:“哎呀,这看着就不太对劲儿啊。
”这时候我就像个侦探一样,一点点排查线索。
手工杀病毒
手工杀病毒(转最好的网络安全博客/anbianshao/blog) 可增加知识本文一共分四部分,分别为:第一部分:工具篇(随兵出征)第二部分:查毒篇(请君入瓮)第三部分:杀毒篇(初战告捷)第四部分:修复篇(打完收工)第一部分:工具篇工欲善其事必先利其器,手动查杀并不是徒手而来,当然要借助些工具,好的工具可以帮助你快速找到解决的方案与窍门当然要借助些工具:一、扫描日志工具:当你去到一部中毒的机子,是不是会对如何下手有点茫然呢?那样,不管3721,扫描一份报告看看有何不妥先,而在报告总,系统的启动项目,进程,驱动和服务一目了然,多少可以重装发现一些蛛丝马迹,而寒冰也是习惯从这个步骤开始的. 至于寒冰推荐的扫描日志扫描当属hijackthis和SREng,尤其是后者,最近360的报告好像也挺热火的,可能是个人使用习惯吧,寒冰感觉他是介乎于两者之间,没有Sreng那么强大的dll数据,也没有hijackthis般的修复功能,虽然有颜色可以一目了然,可是排列却有点乱,有待改善啊,所以,如果你还没用过使用报告,寒冰首推SRENG这款软件,现在新的2.3版本已经出来了,具体更新的内容可以去寒冰的百度空间查看二、进程服务工具:没有病毒会选择沉默,病毒的特性决定他不会一直闲着,而活动,必然会在系统留下蛛丝马迹,可是,系统自带的资源管理器在现在病毒面前却显得如此软弱,因此,请进助手自然势在必行,常用的进程分析当属Icesword和Process Explorer三、删除工具:相信跟电脑相处多了的人,总会遇见过“文件正在被另一个人或程序使用,无法删除”诸如此类的警告,而正常文件尚且如此,病毒更是猖狂,一个具备完好自我保护体系的病毒单单的资源管理器无法结束其进程,更不用说删除他了,发现了病毒却不能删除,郁闷也许有人会建议进入安全模式进行查杀,没错,的确可以,可是,太麻烦了,而且,安全模式下又不利于我们发现病毒的同伙,最好的状态还是在“病毒进行时”,因此,一款在正常模式下可以正常删除任意文件的工具就这样应运而生了,常用且有效的有:killbox、Icesword和unlocker,其中Icesword当属得力助手(当然,有时候他也无能为力,只能多试几个好工具第二部分:查毒篇隐蔽性是病毒的一大特性,可是再隐蔽,他也总要让他自身运行的,而保证的途径必然会使他在系统留下蛛丝马迹,因此了解病毒的自启动方式对于进一步发现病毒的蛛丝马迹很有帮助,具体常见的宝地有:一、启动项目留迹1.内臵到注册表启动项目中注册表是病毒最喜欢隐藏的地方,既没有人能找到它,又能自动运行,真是快哉!的确注册表由于比较复杂,木马常常喜欢藏在这里快活常见的键值有:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curre ntVersion下所有以“run”开头的键值;HKEY_CURRENT_USER\Software\Microsoft\Windows\Curren tVersion下所有以“run”开头的键值;HKEY-USERS\Default\Software\Microsoft\Windows\Curre ntVersion下所有以“run”开头的键值。
计算机病毒怎么彻底清除
计算机病毒怎么彻底清除计算机病毒能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
今天店铺给大家介绍下计算机病毒怎么彻底清除吧。
计算机病毒彻底清除方法一找到网络连接,点击禁用点击IE属性栏,找到删除键,清理IE临时文件。
点击开始关闭计算机,点击重启然后进入安全模式。
找到HLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*并检查不明启动项目并删除。
计算机病毒彻底清除方法二1、电脑一般中毒我们使用杀毒软件就可以查杀病毒,但是如果杀毒软件也感染了或者给病毒关闭了,就需要我们进行手动查杀,这里以WindowsXP给大家演示。
第一步需要做的就是先与网络断开,这样的做法是防止病毒的连接。
选择桌面的网上邻居,右键单击选择属性选项,弹出网络连接窗口。
2、选择网络连接窗口中的本地连接,右键单击选择停用(B)选项。
3、接下来进行手动查杀病毒,打开开始菜单,输入Cmd命令,打开命令提示符窗口。
4、命令提示符下输入ftype exefile=notepad.exe %1命令,命令的意思是将所有的EXE文件用“记事本”打开。
这样原来的病毒就无法启动。
5、输入以上命令之后选择开始菜单,关闭计算机(U),重新启动电脑(R)把计算机重新启动,重启完电脑之后,你会看见打开了许多“记事本”。
当然,这其中不仅有病毒文件,还有一些原来的系统文件,比如:输入法程序,之类的,意思就是所有的EXE程序都以记事本类型来打开,病毒文件也是EXE程序,所以都以记事本类型来打开了。
6、接下来我们把们把EXE文件关联还原,不然你打开任何EXE文件都是以记事本文件类型运行的,我们右键任意文件选择右建-选择打开方式-选择程序,然后浏览到c:\windows\system32\cmd.exe 文件,打开该文件。
7、打开之后我们在打开方式窗口可以看到多了个CMD文件的选项,选择CMD程序。
手工清除电脑病毒的种种方法-10页文档资料
手工清除电脑病毒的种种方法手工清除隐藏的病毒文件五招当你选择"显示隐藏文件"这一选项后,发现U盘有个文件闪出来一下就马上又消失了,而再打开文件夹选项时,发现仍就是"不显示隐藏文件"这一选项。
而且刚发现点击C、D等盘符图标时会另外打开一个窗口!病情描述1、无法显示隐藏文件;2、点击C、D等盘符图标时会另外打开一个窗口;3、用winrar查看时发现C、D等根目录下有autorun.inf和tel.xls.exe两个文件;4、任务管理器中的应用进程一栏里有个莫明其妙的kill;5、开机启动项中有莫明其妙的SocksA.exe.解决办法:以下整个过程中不要双击硬盘分区,需要打开时用鼠标右键-打开。
一、关闭病毒进程在任务管理器应用程序里面查找类似kill等你不认识的进程,右键-转到进程,找到类似SVOHOST.exe(也可能就是某个svchost.exe)的进程,右键-结束进程树。
二、显示出被隐藏的系统文件开始运行输入regedit找到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionexplorer AdvancedFolderHiddenSHOWALL删除CheckedValue键值,单击右键新建-Dword值-命名为CheckedValue,然后修改它的键值为1,这样就可以选择"显示所有隐藏文件"和"显示系统文件"。
三、删除病毒在分区盘上单击鼠标右键-打开,看到每个盘跟目录下有autorun.inf和tel.xls.exe两个文件,将其删除,U盘同样。
四、删除病毒的自动运行项开始-运行-msconfig-启动-删除类似sacksa.exe、SocksA.exe之类项,或者打开注册表运行regedit HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run删除类似C:WINDOWSsystem32SVOHOST.exe的项。
玩具消毒方法
玩具消毒方法玩具是孩子们的好玩伴,但在长时间使用后,玩具上会积累许多细菌和病毒,这对孩子的健康构成潜在威胁。
因此,定期对玩具进行消毒是非常必要的。
下面,我们将介绍几种简单易行的玩具消毒方法,让您的孩子远离细菌的侵害。
首先,最简单的方法就是用肥皂水清洗玩具。
将温水和肥皂混合,然后用毛巾蘸取肥皂水,擦拭玩具表面,特别是那些经常被孩子口水沾染的部位。
肥皂水能够有效去除细菌和病毒,是一种简单而又安全的消毒方法。
其次,可以选择用醋水进行消毒。
将白醋和水按1:1的比例混合,然后将玩具浸泡在醋水中约15分钟,再用清水冲洗干净即可。
醋水具有很强的杀菌消毒作用,而且对环境无污染,是一种非常环保的消毒方法。
另外,还可以选择用84消毒液来消毒玩具。
将适量的84消毒液加入清水中,然后将玩具浸泡在消毒液水中约30分钟,再用清水冲洗干净。
84消毒液是一种常见的消毒剂,能够有效杀灭各类细菌和病毒,是一种比较彻底的消毒方法。
除了以上几种方法,还可以选择用专业的玩具消毒液来进行消毒。
市面上有许多专门针对玩具消毒的产品,这些产品经过严格的检验和测试,能够安全而有效地消除玩具表面的细菌和病毒,是一种比较放心的消毒方法。
需要注意的是,无论采用哪种消毒方法,都需要在消毒后将玩具充分晾干,确保玩具表面没有残留的消毒剂。
另外,对于一些电子玩具,消毒时需要格外小心,避免水或消毒液进入电子部件,导致损坏。
总的来说,定期对孩子的玩具进行消毒是非常重要的,能够有效保护孩子的健康。
选择合适的消毒方法,正确使用消毒剂,能够让孩子远离细菌的侵害,健康成长。
希望以上介绍的玩具消毒方法能够对您有所帮助,让您的孩子在清洁的玩具环境中快乐成长。
计算机病毒防治课后答案参考
第二章一、填空:1、UltraEdit可以实现文字、Hex、ASCII的编辑;2、Doc文件的文件头信息是D0CF11E0,PowerPoint文件的文件头信息是D0CF11E0,Excel文件的文件头信息是D0CF11E0;3、单一影子模式仅为操作系统所在分区创建影像;4、影子系统分为单一影子模式和完全影子模式;5、对注册表修改前后进行对比可使用RegSnap工具软件;第三章典型计算机病毒剖析一、填空1、注册表一般Default、SAM、Security、Software、System5个文件组成。
2、注册表结构一般键、子键、分支、值项、默认值5个大类组成。
3、是否允许修改IE的主页设置的注册表表项是HKEY_CURRENT_USER\Software\Policies\Microsoft\InternetExplorer\Control Panel。
4、注册表中IE的主页设置项是“Home Page”=dword 000000015、打开注册表编辑器的命令是regedit。
6、网页脚本病毒的特点有病毒变种多、破坏力较大、感染能力强。
7、Word的模版文件是Normal.dot。
8、Office中宏使用的编程语言是VBA(Visual Basic for Application)。
9、宏可保存在当前工作表、word通用模版中。
10、蠕虫的两个特征是传染性和复制功能。
11、蠕虫病毒的攻击方式有随机探测方式、基于列表的随机探测方式、基于DNS 探测方式、基于路由的探测方式、蠕虫攻击模块。
12、windows32/Baby.worm病毒主要攻击服务器。
13、木马分为远程访问型木马、密码发送型木马、键盘记录型木马、毁坏型木马、FTP型木马。
14、木马程序自动启动的方式利用INI文件、注册表的先关程序启动,加入系统启动组,利用系统启动配置文件和与其他程序捆绑执行。
二、选择1、寄存在Office文档中,用VB语言编写的病毒程序属于( D )A、引导区型病毒 B文件型病毒C、混合型病毒D、宏病毒2、注册表备份文件的扩展名是( C )。
教你如何自己动手清除npf病毒
该 病 毒 往往 造 成 网 络堵 塞 , 重时 造 成 机 器蓝 屏 。杀毒 方 法 : 严 1首先 删 除%s t 2 di r 下 的 n fy 文件 。2进 入 注册 表删 除 H E _ . y e \ r es s m3 v \ p. s s . K Y
LOC AL
_
关键文件 , 会频 繁 地 非 法 操 作 。
措施 进 行 防 范 了 。
病 毒 是 夹 带 在 邮 件 中 的 . 邮件 是 “ ” , 中 的病 毒 也 不 会 主 动 变 活 。 死 的 其
一
个 可 能 带 病 毒 的附 件 。你 不 去 运 行
它 , 当然 不 会 侵染 你 的系 统 。因 此 , 它 不 要轻易打开陌生人来信中的附件文件 。 当你 收 到 陌 生 人 寄 来 的 一 些 自 称 是 不
运 行 。因 为 有 些病 毒 是偷 偷 地 附 着 上去 的— — 也许 他 的 电脑 已经 染 毒 , 他 自 可
现 在 流 行 的 杀 毒 软 件 在 技 术 上 都
有所提 高 . 能及 时更新病 毒库 , 并 因此
一
般 情 况 下 你 所 碰 到 的 病 毒 是 应 该 在
的系 统 。那 么 , 何 有 效地 清除 入侵 的 如
该 关 闭 计算 机 后 再 启 动 机 器 . 后 用 一 用 户 重 新 登 陆 游 戏 ,这 样 它 就 可 以 截 取 局 域 网所 有 用 户登 陆 游戏 时 的信 息 数 据 。 然
张 干净 的启 动 盘 来 引 导 系统 。另 外 。 由 于 中毒 后 , id ws已经 被 破 坏 了 部 分 W no
盘 、 动 硬 盘 、 录盘 等 , 量 不 要 使 用 移 刻 尽
常见病毒手工清除方法
手工清除“恶邮差”(Supnot)蠕虫病毒1.使用资源管理器查看进程,注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒(或由病毒生成的后门软件),甚至其它的一切不常见的进程都有可能是,如果不能确定,找一台服务器上的进程来观察(服务器应该不会被感染)。
2.将病毒程序(后门)的进程结束掉,对于不能结束的,可以使用附件中的pskill.exe结束掉(命令格式“pskill 进程名”)。
3.打开“服务”,在服务列表中将没有“描述”服务进行筛选,查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务,依次删掉注册表中的[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BRWWTELK][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prom0n.exe][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Extension][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window Remote Service] [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run(RunServices] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(RunService s]……的相关的健值(还有WinVNC的进程,没有记住是什么健值)4.删掉[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg][HKEY_CLASSES_ROOT\Applications\winrpc.exe]的健值,5. 并修改[HKEY_CLASSES_ROOT\txtfile\shell\open\command]的右侧的默认健值为” %SystemRoot%\system32\NOTEPAD.EXE %1”,此时,.txt的文件无法正常打开,可以点击文本文件的右键选择其它方式,选择使用Notepad即可。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
手工清理病毒原来可以如此简单2007-12-14来源: 进入论坛编者按:当大家看到这个题目的时候一定会觉得手工杀毒真的很简单吗?笔者写这个文章的目的就是让所有菜鸟在面对病毒的时候能轻而易举的狙杀掉它,而不是重装系统,或者在重装N次系统以后无奈的选择格式化,结果却依然无法将讨厌的病毒驱逐出你可怜的电脑。
今天我们以今年泛滥比较严重的病毒之一的“AV终结者”的手工清理方法来像大家讲述如何手工清理这类非感染exe文件类型的病毒(本次讲述的办法在清理完病毒源头以后借助专杀工具依然可以适用于清理感染exe类病毒)。
第一步:知己知彼,百战百胜要战胜AV终结者,我们先要了解自己的处境和它的特性还有弱点。
首先我们来了解下AV终结者的执行以后的特征:1.在多个文件夹内生成随机文件名的文件旧版本的AV终结者在任务管理器里可以查看2个随机名的进程,新的变种文件名格式发生变化,目前我遇到过2种。
一种是随机8个字母+数字.exe和随机8个字母+数字.dll;另一种是6个随机字母组成的exe文件和inf文件。
不管变种多少它们保存的路径大概都是如下几个:C:\windowsC:\windows\helpC:\Windows\TempC:\windows\system32C:\Windows\System32\driversC:\Program Files\C:\Program Files\Common Files\microsoft shared\C:\Program Files\Common Files\microsoft shared\MSInfoC:\Program Files\Internet Explorer以及IE缓存等这个是我个人总结出来的,随着病毒的变种。
获取还有其他的。
我这里只提供参考。
2.感染磁盘及U盘当你的系统中了AV终结者,你会发现你的磁盘右键打开时将出现一个”Auto”也就是自动运行的意思,此时你的电脑已经中毒了,而且如果你这个时候企图插入移动硬盘、U盘,或者刻录光盘以保存重要资料,都将被感染。
这也就为什么许多用户重装完系统甚至格式化磁盘以后病毒依然的原因。
当你重装完系统,必定会有双击打开硬盘寻找软件或者驱动的时候,这个时候寄生在你磁盘根目录内的Autorun.inf文件就起到让病毒起死回生的功能了。
这绝对不是耸人听闻哦!3.破坏注册表导致无法显示隐藏文件我们一起来看看磁盘里的Autorun.inf,因为此时你的系统已经无法显示隐藏文件了。
这个也是AV终结者的一个特征,所以我们这里用到几条简单的dos命令。
开始菜单-运行-输入“cmd”来到cmd界面,输入“D:” 跳转到D盘根目录,因为AV是不感染C盘根目录的,再输入“dir /a”显示D盘根目录内的所有文件及文件夹。
“/a”这个参数就是显示所有文件,包含隐藏文件。
如图:我们看到D盘内多出了Autorun.inf以及随机生成的病毒文件017a4901.exe。
我们一起看看Autorun.inf 的内容,输入”type autorun.inf”,Autorun.inf里的代码的意思就是当你双击打开、右键打开、资源管理器打开。
都会自动运行目录里的017A4901.exe这个文件。
所以对于普通用户来说,即使你听过别人劝告,通过右键打开企图避免运行病毒也是徒劳的。
因为“上有政策下有对策”,病毒也是在不断的变种升级的!当然它并不是无敌的,下文中我们就会讲述如何清理它。
4. 在注册表中写入启动项,已达到自动启动HKEY_CLASSES_ROOT\CLSID\"随机CLSID"[url=file://inprocserver32/]\\InprocServer32[/url] "病毒文件全路径"HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\"随机CLSID" "病毒文件全路径"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks "生成的随机CLSID" ""HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "随机字符串" "病毒文件全路径"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword:00000004其他病毒及变种写入注册表的位置不同,下文的实战部分我们将详细说明5.映像劫持技术通过修改注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的内容达到劫持几乎所有主流杀毒软件,甚至360安全卫士这样的工具的目的,被劫持后的现象是,杀毒软件无法自动运行,实时监控也无法启动,双击运行闪出一个黑色dos窗口后立刻消失。
其实这个时候就是利用劫持技术转向运行了病毒本身。
这个时候杀毒软件就彻底倒下了。
关键时刻我们果然还是要靠自己手工清理啊!6.修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:000000047.删除以下注册表项,使用户无法进入安全模式HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BF C1-08002BE10318}8.连接网络下载更多的游戏木马、广告软件以为病毒作何谋取经济利益。
9.强制关闭包含和病毒或者清理病毒或者杀毒软件有关的信息的页面。
10.注入Explorer.exe和TIMPlatform.exe反弹连接,以逃过防火墙的内墙的审核。
11.新的变种中加入双进程保护,当你结束一个进程,另一个进程自动重新启动它并关闭你的任务管理器。
12.跟随系统唯一可以使用的安全模式“控制目录恢复模式”启动,并防止企图清理注册表里的启动项以清除病毒的行为,让你清除注册表的下秒,它又自动建立了!第二步:实战清理病毒通过上面的内容相信你已经基本了解病毒的运作方式,现在杀毒软件已经“下岗”了,那么现在我们就靠自己的双手将它驱逐出去,还您一片蓝色的天空吧!首先介绍今天的主角:WinPe 老毛桃修改版这是一个类似windows98的操作系统。
它体积很小只有几十M,现在很多系统安装版里都集成了这个软件,或者你也可以上网下载一个iso文件。
用虚拟光驱运行,会有安装到系统的功能,所以没有刻录机的朋友一样可以使用它,当然它还有U盘版。
我今天使用的是光盘版,或许你会问“为什么要用这个操作系统?他和xp有什么区别呢?难道用他就不会开机运行病毒了?”是的!说的没错!因为WinPe是光盘或本地安装出来的一个虚拟磁盘的操作系统,他和系统本身是没有挂钩的,所以不会启动windows注册表里的启动项。
这个的带来的优势就是我们可以在病毒启动之前就把他删除掉!设想,一个病毒虽然在注册表里配置的启动项,但是他的原始病毒文件已经不存在了。
和谈启动运行?这就是我们今天的重点思路!在病毒启动以前将病毒文件全部删除,让他有心无力!下面是winpe下操作的截图:是不是和98或者2003很像?Winpe的另一个好处就是,我们前面提到的磁盘感染Autorun.inf对它也是无效的。
右键是没有”Auto”这个选项的,所以我们在winpe下可以放心的双击盘符而不会运行病毒!我们首先来清理掉最容易找到的病毒文件——磁盘根目录下的感染文件除了C盘以外的每个盘根目录下都有,一定要记得全部删除!删除的文件包括Autorun.inf和那个隐藏的exe文件,有的病毒隐藏文件是.pif或cmd或别的什么,因为c盘根目录没这些感染文件。
所以我可以告诉大家一个诀窍:删除除C盘以外,所以盘目录下的隐藏文件(不包括文件夹)就可以了。
好接下来看看我们前面提到的其他文件夹:C:\windowsC:\windows\helpC:\Windows\TempC:\windows\system32C:\Windows\System32\driversC:\Program Files\C:\Program Files\Common Files\microsoft shared\C:\Program Files\Common Files\microsoft shared\MSInfoC:\Program Files\Internet Explorer在windows文件夹下我们发现了017A4901.hlp和我们上面说的一样同样在C:\Program Files\Common Files\microsoft shared\MSInfo发现名为017A4901.dll的文件所以我们利用winpe的文件搜索功能搜索” 017A4901”将其他病毒文件都挖出来当我们把上面找到的这些文件全部清理完毕以后再搜索看看。
是不是已经没有了?那么现在AV终结者也“下岗”了。
注册表里的所谓映像劫持、自动启动、双进程保护都已经形同虚设了!这个时候你会发现你可以上杀毒软件的网站了自此我们已经帮助可怜的杀毒软件重新“上岗再就业”了。
现在我们来彻底将病毒的启动请出我们的电脑吧(注意:这个时候建议先不要运行杀毒软件,避免还有残留的我们没发现的病毒残留文件通过映像劫持再度重生!)开始菜单-运行-输入“regedit”打开注册表使用模糊查询搜索我们刚才的病毒文件。
不要包括扩展名,因为有的地方是以名字做注册表项的,我们同时勾选项、值、以及数据。
确保不放过一个敌人!我们找到一个CLSID 为{A490017A-017A-4901-7A49-17A9017A4901}的项里面保存着病毒名称和路径:我们删除这个项,然后按下F3继续搜索下一个,找到就把它删除。