手动杀毒方法简述 .doc

手动杀毒方法简述 V.0.8 Author: qintel Mailto: qintel 后面是163.Com /search/skill.html Procexp （/），进程管理类工具，可结束任务管理器结束不了的进程。还有一个Icesword也不错，各有千秋。 Autoruns（/ ，一个自动运行项目查看器，可以查看所有开机自动加载的程序。包括服务、驱动等，双击某一启动项可进入对应的注册表位置。 360安全卫士 / ，这个版本越新越好。Ewido，卡巴斯基， 深山红叶袖珍PE启动盘，在硬盘无法启动时，可从光盘、U盘运行XP系统。 一、杀进程类的病毒 首先打开Procexp，如下图： 这里，系统的进程，子进程，进程描述一目了然。从这里找到可疑的进程，通过进程属性可以查看其路径。 虽然从“附件- 系统工具- 正在运行的任务”也可以查看到，但那里不能结束进程，这个工具的好处就是能结束掉许多在任务管理器里结束不了的进程 。 欲了解windows常见系统进程，可参阅：Windows XP常见进程列表.doc一文 找到全部的可疑进程以后，好，上baidu，输入＜此进程名＋病毒＞查查是否为病毒进程，根据返回的多个结果综合起来判断一下是否为病毒进程。如果是， 记下进程的，及进程所调用的文件路径，并记下此文件的创建日期和修改日期。 用关键字＜　进程名＋专杀工具　＞　例：smss.exe病毒专杀工具。去找专杀工具，找不到再考虑手动去杀。因现在病毒动不动就添加几十个文件和改几十处注册表，手动去杀比较麻烦，所以优先考虑专杀工具。下载专杀工具时注意伪装成专杀工具的病毒。 如果找为到相应的专杀工具，就用上面我们提到的工具Procexp或Icesword把这些进程一一关掉。 有些进程在被结束了以后，会被另一个进程生成，这时不妨改变一下结束时的顺序 。然后根据第1步记下信息，到相应目录下，根据文件名，创建的日期、时间，删除掉此文件及与此文件类似的可疑文件。 查找电脑中所有与病毒文件创建日期相同的.exe;.com;.dll.sys文件，找到后还是要用baidu和个人知识判断一下，是否删除之。一般来讲，与病毒文件生成的时间（分钟数）都一样的，90%是病毒。 到注册表启动的相关位置删掉此启动项。建议使用上面提到的Autoruns.exe 一个“自动运行项目查看器” 的软件进行此步。因windows自启动项在注册表中十几处不同的位置，人工查找要麻烦一些，而且容易漏掉。 二、杀IE类的病毒。 这类病毒推荐用360安全卫士或超级兔子，启动到安全模式下杀，不行就到安全模式下用另一个用户登陆杀，一般一些利用IE特性没有生成自己进程的病毒都可以这样杀。 三、杀驱动程序类的病毒。 这类是最难杀的。明天写了，怕关门进不去。 一些进程你结束并删除后，过会他会自动又生成，这种情况可能就是有类似3721的驻留在驱动程序里的病毒了。（还有一种情况是，有由另外一个进程的）。 Windows启动时会加载windows\system32\drivers下的在注册表指定的*.sys驱动程序，如果病毒是以这种方式感染的话，那么就会出现当你杀掉病毒进程并删除病毒文件以后，过一会病毒文件又自动生成并运行。 这类病毒，只能是找到其对应的.sys文件，启动到另一个系统下（推荐用深山红叶的PE盘，可从光盘运行XP），把对应的sys和病毒进程文件删除了，并把注册表相应启动项改一下。 出现意外时的数据恢复： 万一在手动杀毒出现意外，系统无法正常启动时，可以做如下工作挽回数据： 启动到网络连接的安全模式下，把数据拷到本机的非系统盘或其它机器上。 开机时按F8，利用“最后一次正确的配置”启动系统。 利用深山红叶袖珍PE启动盘，光盘启动到XP下，从网络，从USB设备把数据做相应移动。 此外，只要数据所在区域没有进行过新的写操作，即使你格了盘，重分了区，都可以都进行数据恢复。推荐软件：Finaldata。 一个有用小工具简介： Killbox: 强力文件删除工具，可以删除正在使用的文件，有时用procexp结束不了的进程，可用此工具直接删除其文件试试。删除后有时会蓝屏，重启一下。 微软OS安全主页：/athome/security/default.mspx 利用MS自带系统命令手动杀毒： 在没办法利用上述第三方工具手动杀毒时，可以利用MS自己的一些工具替代上面的工具。 Procexp的替代品：任务管理器＋Ntsd.exe＋Tasklist＋Taskkill。 AutoRuns.替代器：Msconfig＋Regedit。 下面给出ntsd.exe Tasklist Taskkill的简单用法： NTSD用法开个cmd.exe窗口，输入： ntsd -c q -p PID 把最后那个PID，改成你要终止的进程