(手工清理病毒原来可以如此简单.docVIP

手工清理病毒原来可以如此简单 2007-12-14　来源: ???进入论坛 编者按：当大家看到这个题目的时候一定会觉得手工杀毒真的很简单吗？笔者写这个文章的目的就是让所有菜鸟在面对病毒的时候能轻而易举的狙杀掉它，而不是重装系统，或者在重装N次系统以后无奈的选择格式化，结果却依然无法将讨厌的病毒驱逐出你可怜的电脑。? ? 今天我们以今年泛滥比较严重的病毒之一的“AV终结者”的手工清理方法来像大家讲述如何手工清理这类非感染exe文件类型的病毒（本次讲述的办法在清理完病毒源头以后借助专杀工具依然可以适用于清理感染exe类病毒）。? ? 第一步：知己知彼，百战百胜? ? 要战胜AV终结者，我们先要了解自己的处境和它的特性还有弱点。首先我们来了解下AV终结者的执行以后的特征：? ? 1.在多个文件夹内生成随机文件名的文件? ? 旧版本的AV终结者在任务管理器里可以查看2个随机名的进程，新的变种文件名格式发生变化，目前我遇到过2种。一种是随机8个字母+数字.exe和随机8个字母+数字.dll；另一种是6个随机字母组成的exe文件和inf文件。不管变种多少它们保存的路径大概都是如下几个：? ? C:\windows? ? C:\windows\help? ? C:\Windows\Temp? ? C:\windows\system32? ? C:\Windows\System32\drivers? ? C:\Program Files\? ? C:\Program Files\Common Files\microsoft shared\? ? C:\Program Files\Common Files\microsoft shared\MSInfo? ? C:\Program Files\Internet Explorer? ? 以及IE缓存等? ? 这个是我个人总结出来的，随着病毒的变种。获取还有其他的。我这里只提供参考。? ? 2.感染磁盘及U盘? ? 当你的系统中了AV终结者，你会发现你的磁盘右键打开时将出现一个”Auto”也就是自动运行的意思，此时你的电脑已经中毒了，而且如果你这个时候企图插入移动硬盘、U盘，或者刻录光盘以保存重要资料，都将被感染。这也就为什么许多用户重装完系统甚至格式化磁盘以后病毒依然的原因。? ? 当你重装完系统，必定会有双击打开硬盘寻找软件或者驱动的时候，这个时候寄生在你磁盘根目录内的Autorun.inf文件就起到让病毒起死回生的功能了。这绝对不是耸人听闻哦！? ? 3.破坏注册表导致无法显示隐藏文件? ? 我们一起来看看磁盘里的Autorun.inf，因为此时你的系统已经无法显示隐藏文件了。这个也是AV终结者的一个特征，所以我们这里用到几条简单的dos命令。? ? 开始菜单-运行-输入“cmd”来到cmd界面，输入“D:” 跳转到D盘根目录，因为AV是不感染C盘根目录的，再输入“dir /a”显示D盘根目录内的所有文件及文件夹。“/a”这个参数就是显示所有文件，包含隐藏文件。如图：  ? ? 我们看到D盘内多出了Autorun.inf以及随机生成的病毒文件017a4901.exe。我们一起看看Autorun.inf的内容，输入”type autorun.inf”，Autorun.inf里的代码的意思就是当你双击打开、右键打开、资源管理器打开。都会自动运行目录里的017A4901.exe这个文件。所以对于普通用户来说，即使你听过别人劝告，通过右键打开企图避免运行病毒也是徒劳的。因为“上有政策下有对策”，病毒也是在不断的变种升级的！当然它并不是无敌的，下文中我们就会讲述如何清理它。? ? 4. 在注册表中写入启动项，已达到自动启动? ? HKEY_CLASSES_ROOT\CLSID\随机CLSID[url=file://inprocserver32/]\\InprocServer32[/url] 病毒文件全路径??? ? HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\随机CLSID 病毒文件全路径??? ? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks 生成的随机CLSID ? ? HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 随机字符串 病毒文件全路径? ? HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc Start dword