病毒種類(lèi)很多現(xiàn)在給大家 介紹下常見(jiàn)類(lèi)型的手工清除方法

　　一 EXE后綴型病毒文件

　　這類(lèi)病毒一般是以進(jìn)程的方式運(yùn)行，這類(lèi)病毒一般是比較好被發(fā)現(xiàn)的。下邊先說(shuō)下這類(lèi)病毒，是在哪里啟動(dòng)的。

　　1/注冊(cè)表 如果發(fā)現(xiàn)計(jì)算機(jī)有不名的進(jìn)程和異常情況請(qǐng)?jiān)谧?cè)表內(nèi)下列地方進(jìn)行核實(shí)找住可以的程序進(jìn)行刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Explorer/ShellFolders Startup="C:/windows/start menu/programs/startup

2/系統(tǒng)WIN.INI文件內(nèi) 在win.ini文件中，“run=”和“l(fā)oad=”是可能加載“木馬”程序的途徑，必須仔細(xì)留心它們。一般情況下，它們的等號(hào)后面什么都沒(méi)有，如果發(fā)現(xiàn)后面跟有路徑與文件名不是你熟悉的啟動(dòng)文件，你的計(jì)算機(jī)就可能中上“木馬”了。當(dāng)然你也得看清楚，因?yàn)楹枚唷澳抉R”，如“AOL Trojan木馬”，它把自身偽裝成command.exe文件，如果不注意可能不會(huì)發(fā)現(xiàn)它不是真正的系統(tǒng)啟動(dòng)件。也許你會(huì)問(wèn)了我是XP系統(tǒng)啊 怎么沒(méi)有這個(gè)呢？不必?fù)?dān)心給你個(gè)正確的你參考下就知道有沒(méi)有可疑程序了。下邊就是正常的WIN.INI(XP)
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMCDLLNAME32=mapi32.dll
CMCDLLNAME=mapi.dll
CMC=1
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo2
asx=MPEGVideo2
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo2
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo2
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
wpl=MPEGVideo

　　3/SYSTEM.INI文件中 在system.ini文件中，在[BOOT]下面有個(gè)“shell=文件名”。正確的文件名應(yīng)該是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟著的那個(gè)程序就是“木馬”程序，就是說(shuō)你已經(jīng)中“木馬”了。 又會(huì)有人問(wèn)了 我是XP系統(tǒng)怎么又不一樣呢？在給你個(gè)正常的XP系統(tǒng)的SYSTEM.INI請(qǐng)大家可以參考下 正常的SYSTEM.INI文件
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app936.FON
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON

　　4/在config.sys內(nèi) 這類(lèi)加載方式比較少見(jiàn) ,但是并不是沒(méi)有,如果上述方法都找不到的話(huà),請(qǐng)來(lái)這里也許會(huì)有收獲的。

　　5/在autuexec.bat內(nèi) 這類(lèi)加載方式也是比較少見(jiàn),建議跟config.sys方法一樣。

　　4 和5 的加載方式建議大家先必須確定計(jì)算機(jī)有病毒后在 并且上邊的方法都找不到后，最后來(lái)這里進(jìn)行查找。

　　總結(jié)：這類(lèi)病毒是比較容易暴露的，建議手動(dòng)刪除時(shí)最好進(jìn)入安全模式下，因?yàn)榘踩Ｊ街贿\(yùn)行WINDOWS必備的系統(tǒng)進(jìn)程，EXE型病毒很容易暴露出來(lái)的，下邊附上一張WINDOWS安全模式的 必須進(jìn)程表
smss.exe Session Manager
csrss.exe 子系統(tǒng)服務(wù)器進(jìn)程
winlogon.exe 管理用戶(hù)登錄
services.exe 包含很多系統(tǒng)服務(wù)
lsass.exe 管理 IP 安全策略以及啟動(dòng) ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動(dòng)程序。(系統(tǒng)服務(wù)) 產(chǎn)生會(huì)話(huà)密鑰以及授予用于交互式客戶(hù)/服務(wù)器驗(yàn)證的服務(wù)憑據(jù)(ticket)。(系統(tǒng)服務(wù)) ->netlogon
svchost.exe 包含很多系統(tǒng)服務(wù) !!!->eventsystem,(SPOOLSV.EXE 將文件加載到內(nèi)存中以便遲后打印。)
explorer.exe 資源管理器 (internat.exe 托盤(pán)區(qū)的拼音圖標(biāo))
system
System Idle Process 這個(gè)進(jìn)程是不可以從任務(wù)管理器中關(guān)掉的。這個(gè)進(jìn)程是作為單線(xiàn)程運(yùn)行在每個(gè)處理器上，并在系統(tǒng)不處理其他線(xiàn)程的時(shí)候分派處理器時(shí)間
taskmagr.exe 就是任務(wù)管理器了

　　二 DLL型后綴病毒

　　這類(lèi)病毒大多是后門(mén)病毒，這類(lèi)病毒一般不會(huì)把自己暴露在進(jìn)程中的，所以說(shuō)特別隱蔽，比較不好發(fā)現(xiàn)。啟動(dòng)DLL后門(mén)的載體EXE是不可缺少的，也是非常重要的，它被稱(chēng)為：Loader。如果沒(méi)有Loader，那DLL后門(mén)如何啟動(dòng)呢？因此，一個(gè)好的DLL后門(mén)會(huì)盡力保護(hù)自己的Loader不被查殺。Loader的方式有很多，可以是為我們的DLL后門(mén)而專(zhuān)門(mén)編寫(xiě)的一個(gè)EXE文件；也可以是系統(tǒng)自帶的Rundll32.exe和Svchost.exe，即使停止了Rundll32.exe和Svchost.exeDLL后門(mén)的主體還是存在的。現(xiàn)在大家也許對(duì)DLL有了個(gè)初步的了解了，但是不是后綴是DLL就是病毒哦，也不要因?yàn)橄到y(tǒng)有過(guò)多的Rundll32.exe和Svchost.exe進(jìn)程而擔(dān)心，因?yàn)樗麄儾灰欢ň褪遣《荆哉f(shuō)這個(gè)病毒比較隱蔽，下邊來(lái)介紹幾種判別辦法：

　　1/Svchost.exe的鍵值是在

“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost”每個(gè)鍵值表示一個(gè)獨(dú)立的Svchost.exe組。微軟還為我們提供了一種察看系統(tǒng)正在運(yùn)行在Svchost.exe列表中的服務(wù)的方法。以Windows XP為例：在“運(yùn)行”中輸入：cmd，然后在命令行模式中輸入：tasklist /svc。如果使用的是Windows 2000系統(tǒng)則把前面的“tasklist /svc”命令替換為：“tlist -s”即可。如果你懷疑計(jì)算機(jī)有可能被病毒感染，Svchost.exe的服務(wù)出現(xiàn)異常的話(huà)通過(guò)搜索 Svchost.exe文件就可以發(fā)現(xiàn)異常情況。一般只會(huì)找到一個(gè)在：“C:\Windows\System32”目錄下的Svchost.exe程序。如果你在其他目錄下發(fā)現(xiàn)Svchost.exe程序的話(huà)，那很可能就是中毒了。

　　2/還有一種確認(rèn)Svchost.exe是否中毒的方法是在任務(wù)管理器中察看進(jìn)程的執(zhí)行路徑。但是由于在Windows系統(tǒng)自帶的任務(wù)管理器不能察看進(jìn)程路徑，所以要使用第三方的進(jìn)程察看工具。比如Windows優(yōu)化大師中的Windows 進(jìn)程管理 2.5。這樣，可以發(fā)現(xiàn)進(jìn)程到底調(diào)用了什么DLL文件。

　　3/普通后門(mén)連接需要打開(kāi)特定的端口，DLL后門(mén)也不例外，不管它怎么隱藏，連接的時(shí)候都需要打開(kāi)端口。我們可以用netstat –an來(lái)查看所有TCP/UDP端口的連接，以發(fā)現(xiàn)非法連接。大家平時(shí)要對(duì)自己打開(kāi)的端口心中有數(shù)，并對(duì)netstat –an中的state屬性有所了解。當(dāng)然，也可以使用Fport來(lái)顯示端口對(duì)應(yīng)的進(jìn)程，這樣，系統(tǒng)有什么不明的連接和端口，都可以盡收眼底。

　　4/最關(guān)鍵的方法對(duì)比法。安裝好系統(tǒng)和所有的應(yīng)用程序之后，備份system32目錄下的EXE和DLL文件：打開(kāi)CMD，來(lái)到WINNTsystem32目錄下，執(zhí)行：dir *.exe>exe.txt & dir *.dll>dll.txt，這樣，就會(huì)把所有的EXE和DLL文件備份到exe.txt和dll.txt文件中；日后，如發(fā)現(xiàn)異常，可以使用相同的命令再次備份EXE和DLL文件(這里我們假設(shè)是exe0.txt和dll0.txt)，并使用：fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt，其意思為使用FC命令比較兩次的EXE文件和DLL文件，并將比較結(jié)果保存到exedll.txt文件中。通過(guò)這種方法，我們就可以發(fā)現(xiàn)多出來(lái)的EXE和DLL文件，并通過(guò)文件大小，創(chuàng)建時(shí)間來(lái)判斷是否是DLL后門(mén)。

　　三 DLL型病毒的清除

　　1/ 在確定DLL病毒的文件的話(huà)請(qǐng)嘗試下邊方法

　　移除方法：
1. 開(kāi)始——運(yùn)行——輸入"Regedit"
2. 搜索"*.dll"
3. 刪除搜索到的鍵值。
4. 重啟
5. 轉(zhuǎn)到C:\Windows\System32\
6. 刪除*.dll

　　2/到注冊(cè)表下列地方尋找DLL的蹤跡

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/Currentversion/ Svchost

　　3/如果上邊的地方都找不到的話(huà)建議使用優(yōu)化大勢(shì)進(jìn)程顯示工具 對(duì) RUNDLL32.EXE和SVCHOST.EXE里邊運(yùn)行的DLL程序進(jìn)行核實(shí)找到病毒文件對(duì)其進(jìn)行結(jié)束 然后在對(duì)他進(jìn)行刪除

　　建議使用第1種方法是非常有效的

　　四 $NtUninstallQxxxxxxx$（x代表數(shù)字）型病毒

　　這個(gè)屬于惡意腳本文件病毒。C盤(pán)下生成文件夾：$NtUninstallQxxxxxxx$（x代表數(shù)字） 冒充微軟更新補(bǔ)丁的卸載文件夾，并且在Win2000/XP下?lián)碛邢到y(tǒng)文件級(jí)隱藏屬性。下邊說(shuō)下清楚方法
注冊(cè)表手動(dòng)刪除啟動(dòng)項(xiàng)
參考：
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
刪除：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
刪除：Sys32，值為：C:\$NtUninstallQxxxxxxx$\WINSYS.vbs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除：Sys32，值為：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
刪除：internat.exe，值為：internat.exe

刪除整個(gè)$NtUninstallQxxxxxxx$ 目錄

補(bǔ)充說(shuō)明：

系統(tǒng)文件夾（\WINNT或\Windows）下出現(xiàn)的如$NtUninstallQ823980$ 、$NtUninstallQ814033$ 這類(lèi)文件夾是Windows Update 或安裝微軟補(bǔ)丁程序留下的卸載信息，用來(lái)卸載已安裝的補(bǔ)丁，按補(bǔ)丁的編號(hào)如Q823980、Q814033 可以在微軟的網(wǎng)站查到相應(yīng)的說(shuō)明。請(qǐng)注意與惡意代碼建立的文件夾區(qū)分。

　　五 壓縮文件殺毒工具對(duì)其不能刪除

　　這類(lèi)病毒大多是在IE臨時(shí)文件里的，請(qǐng)對(duì)臨時(shí)文件進(jìn)行清除即可清楚此類(lèi)病毒，建議定時(shí)清理IE臨時(shí)文件。