金年会金字招牌诚信至上_手工殺毒筆記 - 91手機維修論壇

一、檢查注冊表啟動(dòng)項
大多病毒都會(huì )進(jìn)入注冊表啟動(dòng)項的，我們可以通過(guò)一些方法查看和刪除。打開(kāi)注冊表HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion點(diǎn)擊查看其中RUN中的內容，如果不懂，把里面的東西就全刪了。不過(guò)這樣并不能解決病毒，病毒還會(huì )重新寫(xiě)入的，不過(guò)到時(shí)可以解決木馬。如果想手工殺毒，就接著(zhù)看下面的文章吧！

1、有時(shí)病毒通過(guò)修改注冊表和修改文件屬性（偽造CheckedValue值）的方法來(lái)達到不能查看隱藏文件的目的，這是可是打開(kāi)修改注冊表，找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer \ Advanced\Folder\Hidden\SHOWALL,刪除CheckedValue鍵（該鍵當前為字符串類(lèi) 型），新建 CheckedValue為DWORD值（正確的鍵為DWORD類(lèi)型），修改值為1，系統隱藏文件就會(huì )顯示了，恢復正常。

2、也可以通過(guò)ATTRIB命令使文件去掉隱藏和系統的屬性。例如顯示C盤(pán)根目錄下文件，就可以在CMD命令提示符下輸入CD\命令切換到根目錄下，然后輸入ATTRIB -S -H AUTORUN.INF命令就可以了

三、怎樣刪除病毒的主體文件
病毒都是有主體文件的，我們要手工殺毒首先就要清除病毒的主體文件，主體文件一般都是DLL文件，直接刪是無(wú)法刪除的，我們可以試試一下的方法（目前還沒(méi)有發(fā)現什么DDL 文件不能被這三種方法刪除的）。
1、進(jìn)入安全模式刪除
2、用windows系統自帶的Rundll32.exe卸載后再刪除，這一招對付wmpcd32.dll是很靈驗的。在命令提示符下輸入：Rundll32.exe 文件名.DLL Uninstall
3、找出這個(gè)DLL文件的寄宿。方法：要使用一款名為procexp進(jìn)程管理工具，點(diǎn)擊find，再點(diǎn)擊find DLl，打開(kāi)DLL文件查找對話(huà)框，在DLL Substring中輸入“文件名.DLL”.點(diǎn)擊 Search按鈕就可以看到DLL文件被哪個(gè)進(jìn)程調用了，只要結束這些進(jìn)程，再?lài)L試刪除DLL文件就可以了。

注：如病毒文件為RGWatch.sys的也可以使用同樣的方法找出寄宿進(jìn)程，然后再刪掉。此外冰刃也是個(gè)不錯的選擇。

四、刪除注冊表病毒垃圾
這個(gè)沒(méi)什么好說(shuō)的，就是在我們手工殺完毒后別忘了刪除其所在注冊表留下的一些信息。方法：打開(kāi)注冊表（regedit），搜索我們要刪除的病毒名即可。有時(shí)候我們無(wú)法刪除，  可以使用冰刃強行刪除。因為冰刃沒(méi)有注冊表修改搜索功能，我們可以先在注冊表編輯器中搜索出相關(guān)項，再在冰刃的注冊表中定位到搜索項目，然后刪除！

五、找到病毒保護文件，強行刪除！
很多病毒都會(huì )產(chǎn)生保護文件的，當你刪出病毒后，病毒又會(huì )回來(lái)，很煩人，也很難辦！我們可以使用下面的方法找出其保護文件，在這里需要兩款輔助工具：Filemon和冰刃。  Filemon的作用是記錄下對所有文件的添加、修改和刪除記錄，并且可以顯示是哪個(gè)進(jìn)程進(jìn)行的修改！
  方法操作如下：打開(kāi)冰刃，在設置里選擇“禁止進(jìn)/線(xiàn)程建立”，打開(kāi)進(jìn)程，結束所有無(wú)用進(jìn)程（結束explorer.exe進(jìn)程），只留下系統基本進(jìn)程（不包括explorer.exe進(jìn)程）一方便我們詳細記錄。逐一刪除注冊表啟動(dòng)項目，并且刷新查看是否會(huì )自動(dòng)恢復。在Filemon中就會(huì )發(fā)現這個(gè)保護進(jìn)程了！

六、殺毒軟件被禁用的解決方法
殺毒軟件是病毒的克星，所以病毒要想生存就必須殺掉殺毒軟件。這也是現在很多病毒都具備的功能，也就是中毒后殺毒軟件不可用了。
1、關(guān)于瑞星，有比較好的解決方法（因為我用的就是瑞星(*^__^*) ……）。瑞星的工具列表中有個(gè)功能，叫做“瑞星安裝包制作程序”使用這個(gè)功能可以將瑞星升級到最新病毒庫的瑞星打包安裝程序，這樣在重新安裝瑞星的時(shí)候就可以省去重新更新的麻煩，而這個(gè)安裝包在運行的時(shí)候其進(jìn)程名與瑞星保護進(jìn)程名是不同的，這樣就可以順利安裝    了，這樣殺毒軟件就可以使用了。
2、比較普遍的殺毒軟件中毒現象是會(huì )提示：應用程序正常初始化（0x00000ba）失敗。

原因分析：
ws2_32.dll是windows sockets應用程序接口，用于支持Internet和網(wǎng)絡(luò )應用程序，程序運行時(shí)會(huì )自動(dòng)調用ws2_32.dll文件。ws2_32.dll是個(gè)動(dòng)態(tài)鏈接庫文件，位于系統文件夾中，windows在查找動(dòng)態(tài)鏈接庫文件時(shí)，會(huì )現在應用程序當前目錄搜索，如果沒(méi)有找到才會(huì )搜索windows所在目錄，如果還沒(méi)有找到就會(huì )搜索 system32和system目錄。一些病毒就是利用此原理在殺毒軟件目錄中建立了ws2_32.dll文件或文件夾，在殺毒軟件看來(lái)這是一個(gè)它需要的文件而調用，但事實(shí)上這個(gè)所謂的“文件”又不具真正的ws2_32.dll文件所具備的功能，所以殺毒軟件也就無(wú)法正常運行了，于是就會(huì )提示：應用程序正常初始化（0x00000ba）失��！
解決辦法：
到殺毒軟件安裝目錄找 ws2_32.dll文件或文件夾，刪除即可！
注：如果找不到，可能是隱藏了，按照上面說(shuō)的方法即可解決。如果找到后仍無(wú)法刪除，原因是里面有個(gè)名為1.的文件夾，該文件夾對于windows環(huán)境無(wú)法識別，此時(shí)可以用冰刃刪除

3、IFEO劫持（冰刃等殺病毒工具不可用）
貌似冰刃是病毒的一個(gè)大危害，病毒自然也不會(huì )放過(guò)。有時(shí)候中毒后，所有殺毒軟件和反病毒工具（比如冰刃）都無(wú)法使用了，原因就是IFEO劫持。原因：
通過(guò)修改注冊表，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options下建立特定的子鍵來(lái)屏蔽一些特定的程序，或指向目標程序，來(lái)達到啟動(dòng)病毒和禁用工具的目的。

解決方法：到此目錄下，把我們的工具從黑名單里拖出來(lái)就可以了（刪掉唄）

七、重裝系統都無(wú)法解決的病毒問(wèn)題
很多人認為中病毒了，重裝系統就可以解決了，其實(shí)不然，有些病毒強制修改IE，設置默認首頁(yè)，即使你重裝了系統后仍然無(wú)法解決。方法是：把java虛擬機停掉后病毒就不會(huì ) 發(fā)作了，然后再結束進(jìn)程。
具體步驟：在internet選項中，把有關(guān)java的vm的啟動(dòng)項全部去掉即可。

金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上,金年会 金字招牌诚信至上

91手機維修論壇

金年会金字招牌诚信至上,金年会金字招牌诚信至上,金年会金字招牌诚信至上,金年会金字招牌诚信至上