病毒是个麻烦的东东啊，经常搞的电脑又慢又容易死机，而且还严重威胁信息的安全。可
是很无奈的是，病毒总是比杀毒软件来得早，没办法啊，谁叫杀毒软件总是跟着病毒的屁
股跑呢？一但你的电脑接触了杀毒软件还没认识的病毒，那你的杀毒软件就有被办掉得的
危险啦（那些比较菜的病毒不谈），此时其他的病毒就可以乘虚而入了，你就成了一台肉
机了。所以有一天你突然发现你的瑞星的绿伞变成红伞了，或者干脆消失了（为啥举瑞星
呢？瑞星是病毒的眼中钉啊，所以很容易被高手做的病毒攻击的），那肯定是中了病毒了
。
好了，所以学会手动杀毒还是十分有必要地。。。
接下来，我们一起空手套白狼。。。

一、首先搞明白病毒的运行方式

病毒感染电脑之后，会随着开机自动启动，启动方式多之多，不管你想不想得到，他都去
。启动后，大部分病毒会以进程的方式运行，用任务管理器你可以看到，不过大多数时候
，你的任务管理器是被禁止了的；有一些病毒做的比较绝，采用线程插入技术，寄生于其
他正常进程里面，很不容易发现，你可以用冰刃（IceSword）查找，但通常情况下，冰刃
也会被病毒禁用的，根本用不起来，这也将在下文中解释。

二、我们接下来看看病毒是怎样启动的，这有助于你手动杀毒的

1.）最常见的莫过于通过注册表的启动项来加载病毒了。
启动项位于注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\R
un位置，或者HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run。X
P开机时，会自动检查这两个地方，然后运行它里面指定的程序。一般来说，你装了软件之
后，有些软件会把自身添加到启动项里，随开机启动。但如果你发现了一些比较可疑的键
值，建议备份之后删除它。比如有一种病毒会在HKEY_LOCAL_MACHINE\SOFTWARE\Microsof
t\Windows\CurrentVersion\Run下添加“explorer.exe=C:\Program Files\explorer.exe
”（注意真正的explorer.exe应该在c:\windows\下），基本上肯定是病毒所为。再者，如
果有svch0st.exe者之类偷换字母的肯定也是病毒，注意中间是数字0不是字母O

2.）Win.ini以及System.ini也是木马们喜欢的隐蔽场所，但通常容易忽略，要注意这些地
方
比方说，Win.ini的[Windows]小节下的load和run后面在正常情况下是没有跟什么程序的，
如果有了那就要小心了，看看是什么；在System.ini的[boot]小节的Shell=Explorer.exe
后面也是加载木马的好场所，因此也要注意这里了。当你看到变成这样：Shell=Explorer
.exe wind0ws.exe，请注意那个wind0ws.exe很有可能就是木马服务端程序！赶快检查吧。

不过这个不常见

3.）Service[服务]启动方式。
[开始]---[运行]---输入"services.msc",不带引号---即可对服务项目的操作.
在“服务启动方式”选项下,可以设置系统的启动方式:程序开始时自动运行,还是手动运行
,或者永久停止启动,或者暂停(重新启动后依旧会启动).
注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
通过服务来启动的程序,都是在后台运行,例如国产木马"灰鸽子"就是利用此启动方式来达
到后台启动,窃取用户信息.

4.）利用镜像劫持
在注册表里有一个项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVers
ion\Image File Execution Options，这就是镜像劫持项，最近非常常见。比如在他下面
建立一个项rav.exe（注意是项，不是键值），在rav.exe下建立一个字符串Debugger，内
容为其他一个程序比如C:\WINDOWS\SYSTEM32\NOTEPAD.EXE。这样当你运行名为rav.exe的
程序时，实际上却运行了程序notepad.exe。病毒把常见的杀毒软件的EXE文件都用这种方
式添加（包括冰刃、360、任务管理器、CMD等等），然后指向病毒文件自己。你的所有反
病毒手段都失效了。这种方式比较很狠，往往然你无法察觉，连瑞星的自我保护都没辙。
。。

5.）利用autorun.inf启动。
很多病毒都会在每一个驱动器下写入一个autorun.inf文件，内容为运行病毒自己。这样当
你双击、右键打开、右键资源管理器时，实际上也运行了病毒。这也就是为什么重装系统
之后经常又中了毒。U盘病毒也是这样传播的。

三，好我们开始杀毒。。。

第一步，找到病毒的身影。

1.）调出任务管理器查看可疑进程。这一步的前提是你对windows和进程了如指掌。可是大
多数病毒不会如此愚蠢，当你打开任务管理器时，要么显示任务管理器已被管理员禁用，
要么任务管理器一闪而过。这个时候你就需要命令行来帮忙了，在开始菜单里点击运行，
输入cmd，然后按下回车。在弹出来的命令行窗口中输入：tasklist。这个时候可以显示系
统正在运行的进程。

2.）查看可疑服务。在开始菜单中点击运行，输入msconfig,然后回车。点击服务，这里可
以显示系统所有的服务，选中下面 “ 隐藏所有MICROSOFT服务 ”，在这里可以看到非系
统本身的服务。如果你对一些常见的病毒服务比较了解，那么你应该可以看出它们。

3.）从autorun.inf中发现病毒。大部分病毒都会在每个驱动器根目录下写入自己的文件,
在这里你可以发现他们。不过他们通常是隐藏的，而且加了系统属性。在命令行中输入di
r c:\*.* /ah你可以看到C盘下所有的隐藏文件，通常在驱动器根目录下是不会有EXE可执
行程序的，如果有，并且伴有一个autorun.inf的文件，那么基本可以确定为病毒了，先别
急着删它，我们还要找出病毒的帮凶呢，留着证据。我们先看看他的创建日期，OK，记下
了，到再所有磁盘里面搜一下，记住选中搜索系统文件夹这些选项，搜索目标为空就可以
搜索系统所有文件了。然后按照日期排序，OK，如果有和刚才发现的病毒文件同日期的，
并且文件名比较可疑，估计就是病毒了，不过最好上网搜搜，确认一下（对于系统，是宁
可漏网千人，不能错杀一人啊^__^ ）。

4.）文件排查法。这种方式比较变态，即把所有windows文件夹里面的文件查看一遍。但是
有简单一点的方法，把c:\windows\、c:\windows\system32、c:\windows\fonts这些容易
藏有病毒的地方都用dir /ah命令来查看一下隐藏文件，因为通常病毒都具有隐藏属性。这
几个地方的系统文件除了少数几个，通常不是隐藏的（盖茨想的真周到）。如果发现目标
文件，到网上查查是不是系统的文件，不是，就有问题了。

5.）查看镜像劫持。在运行中输入regedit,回车。依次展开HKEY_LOCAL_MACHINE\SOFTWAR
E\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，如果有像ra
v.exe、kav32.exe这之类防病毒软件的项，肯定是中病毒了，而且在每个项里面还可以看
到病毒的文件位置呢，呵呵，黄雀在后啊。。。

第二步，清除病毒。。。嘿嘿

1.）对于进程型。找到你要的可疑进程之后，仍然在命令行窗口中输入：“taskkill /f
/im aaaa.exe”来杀死进程。其中/f是强行结束的意思，/im是指定进程的名称,aaaa.exe
是你发现的可疑进程。同一进程最好杀两遍，以确认是否杀掉了。但有些进程是双进程，
停止其中一个，另一个立即把它运行起来。对于这种进程，可以再加一个/t参数，杀掉一
个A后，B把A运行起来，A就成了B的子进程，用taskkill /f /t /im B.exe 就可以杀死AB
两个进程了。确认杀掉之后，按照进程的名称搜索一下全盘，删掉病毒，再搜索一下注册
表，删除相应键值。OK！怎么？有些进程无法结束？那就让我们祭出杀手锏——权限杀毒
。首先确认你的分区是NTFS的（如果不是，在命令行中输入convert c: /fs:ntfs来转换）
，然后按照进程名搜索出病毒文件，这时你是删不掉它的，但是WINDOWS却允许我们对正在
使用的文件更改权限。先随便打开一个文件夹，工具-文件夹选项-查看，把“启用简单共
享（推荐）”的勾去了，确定。右键单击病毒文件，选择共享与安全，切换到安全选项卡
，添加一个everyone的用户，将权限统统设置为拒绝，确定。重启windows，怎么样，病毒
没有运行吧！再去掉拒绝权限，删除它。
你也可以用cacls命令设置权限，因为有些病毒不让打开它所在文件夹，一打开就关了。


2.)对于服务型。在运行中输入：regedit回车。依次展开HKEY_LOCAL_MACHINE\SYSTEM\Cu
rrentControlSet\Services，找到可疑服务的项，通常病毒的注册表项都是删了再生的，
因为病毒会时刻监控着这个项，如果能删当然最好啦。右键单击，选择权限，同样设置一
个everyone拒绝的权限，确定（注册表的权限设置不需要NTFS的支持）重启，OK？确认病
毒没有运行后，再去掉拒绝权限，依照项里面指定的文件路径，删除病毒文件。

3.）对于镜像劫持。展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current
Version\Image File Execution Options，将Image File Execution Options的everyone
的权限设为拒绝，现在杀掉进程后，按照每个项里面记录的病毒的文件位置删掉他们。

同理也可以暂时决绝HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run的权限，重启之后在杀毒。

其实各种方法在杀毒的时候应该是综合着一起用的，随机应变，才是大家风范。

学习才有进步！