常用病毒木马的详细清除方法.docVIP

常用病毒木马的详细清除方法 　　摘 要：本文针对病毒，结合工具，提出一些清除病毒的方法，供大家参考。 　　关键词：常用病毒木马； 清除方法 　　中图分类号：TP309.5 文献标识码：A 文章编号：1006-3315（2012）01-174-001 　　 　　 电脑普及千家万户，相当人群对电脑病毒恨之入骨，仅靠杀毒软件难以实现干净的天空。我们在实际工作中经常遇到电脑系统崩溃或不稳定，大多原因都是因为病毒木马。 　　一、必备工具 　　 System Repair Engineer（SREng）、HijackThis(备用)、Windows清理助手、unlocker （用于删除病毒文件）、IceSword、July、纯DOS系统For 2000/xp（unlocker删除不成功时必备）如MaxDOS、（查找病毒文件须知：打开我的电脑，点击工具-点文件夹选项-点击查看-然后在找到隐藏文件和文件夹选项那里-点上“显示所有文件和文件夹”；取消“隐藏受保护的系统文件”前面的勾勾；取消“隐藏已知文件类型的扩展名”前面的勾勾，再点确认。） 　　 若隐藏文件不能正常显示：运行regedit，HKEY_LOCAL_MACHINE\Software\Microsoft 　　windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1。 　　二、清除病毒文件的步骤 　　1．删除病毒驱动文件 　　 由于此类sys文件在系统启动时最先加载，并加入到system进程，即时在安全模式也无法删除。必须依靠删除工具或瑞星的碎甲技术专杀工具(或者先利用NTFS权限控制或者unlock,hijackthis,killbox等的重启删除)。在删除前建议关闭所有正在运行的程序和窗口，如IE浏览器，QQ，BT,杀毒软件等，以确保删除成功。 　　 没有专杀或专杀无效时，建议使用unlocker，这是目前发现的最简单有效的删除工具。建议使用unlocker 把病毒文件改名，（注释：改名字和删除文件的效果是一样的，还可以恢复）；必须先使用unlocker解锁。 　　 如果unlocker改名失败，需要进DOS改名，可进实模式DOS后直接输入批处理文件名，回车即可搞定。 　　2．删除病毒驱动注册表项 　　 此项进行时必须重启到安全模式。如果不重启，病毒驱动还加载在内存中，修改注册表会失败；如果只能重启到正常模式，不能进入安全模式，我们必须在上一步做一个免疫的文件夹，防止还没有删除病毒的其他启动文件可能会修复我们删除的sys驱动文件。 　　 重启到安全模式之后，我们先检查一下刚才删除的sys病毒文件是否删除成功，再删除注册表项。 　　 方法一：手动删除，点开始――运行――输入“regedit”打开注册表编辑器，点编辑――查找――搜索病毒文件名（带扩展名，不带扩展名的有些项直接删不掉，留下没关系，做个纪念），删除注册表左栏 的加载键。删除后要按F3一直查找完。再查下一个。 　　 方法二：使用瑞星卡卡上网安全助手3.0：点系统启动项管理――点驱动――可以看到他们。我们要右键点右侧栏，把“包含空项”选上两个“隐藏xx已签名的项”前面的勾勾去掉，会看到全部加载的驱动。我们右键点病毒的服务项，然后选“删除当前选中的项”，可以删除。 　　 方法三：使用System Repair Engineer（SREng）:点“启动项目”――服务――驱动程序――选中找到的病毒驱动－我们可以点选“删除服务”，然后点“设置”即可。 　　 方法四：使用AutoRuns:点“驱动”――右键点病毒驱动－删除。 　　3．停用注册的服务 　　 此项我们还需要在安全模式进行。这些服务在安全模式不会加载，我们可以顺利清除。 　　 右键点我的电脑，选管理――服务和应用程序――服务；查找我们查到的病毒服务，双击打开属性对话框，停止此服务并修改启动类型为“已禁用”。 　　4．删除注册的服务项和将病毒文件改名 　　 这些文件一般是exe或dll文件，在安全模式不会加载。如果不在安全模式，需要使用unlocker将病毒文件改名。 　　 方法一：手动删除：在注册表搜索文件名，删除在注册表左边栏注册的服务项，在注册表里一般会加载到两个以上位置，都要删除。 　　 方法二：使用瑞星卡卡上网安全助手：点系统启动项管理－点服务项――可以看到他们。我们右键点病毒的服务项，然后选“删除当前选中的项”，可以删除。 　　 方法三：使用SREng:点“启动项目”――服务――win32服务应用程序（同第2步） 　　 方法四：使用AutoRuns:点“服务”――右键点病毒服务－删除。 　　5．删除