病毒種類很多現在給大家 介紹下常見類型的手工清除方法

　　一 EXE后綴型病毒文件

　　這類病毒一般是以進程的方式運行，這類病毒一般是比較好被發現的。下邊先說下這類病毒，是在哪里啟動的。

　　1/注冊表 如果發現計算機有不名的進程和異常情況請在注冊表內下列地方進行核實找住可以的程序進行刪除HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ Explorer\Run
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/
Explorer/ShellFolders Startup="C:/windows/start menu/programs/startup

2/系統WIN.INI文件內 在win.ini文件中，“run=”和“load=”是可能加載“木馬”程序的途徑，必須仔細留心它們。一般情況下，它們的等號后面什么都沒有，如果發現后面跟有路徑與文件名不是你熟悉的啟動文件，你的計算機就可能中上“木馬”了。當然你也得看清楚，因為好多“木馬”，如“AOL Trojan木馬”，它把自身偽裝成command.exe文件，如果不注意可能不會發現它不是真正的系統啟動件。也許你會問了我是XP系統啊 怎么沒有這個呢？不必擔心給你個正確的你參考下就知道有沒有可疑程序了。下邊就是正常的WIN.INI(XP)
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
CMCDLLNAME32=mapi32.dll
CMCDLLNAME=mapi.dll
CMC=1
MAPIX=1
MAPIXVER=1.0.0.1
OLEMessaging=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo2
asx=MPEGVideo2
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo2
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo2
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo2
wm=MPEGVideo2
wma=MPEGVideo2
wmv=MPEGVideo2
wmx=MPEGVideo2
wvx=MPEGVideo2
wpl=MPEGVideo

　　3/SYSTEM.INI文件中 在system.ini文件中，在[BOOT]下面有個“shell=文件名”。正確的文件名應該是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟著的那個程序就是“木馬”程序，就是說你已經中“木馬”了。 又會有人問了 我是XP系統怎么又不一樣呢？在給你個正常的XP系統的SYSTEM.INI請大家可以參考下 正常的SYSTEM.INI文件
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app936.FON
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON

　　4/在config.sys內 這類加載方式比較少見 ,但是并不是沒有,如果上述方法都找不到的話,請來這里也許會有收獲的。

　　5/在autuexec.bat內 這類加載方式也是比較少見,建議跟config.sys方法一樣。

　　4 和5 的加載方式建議大家先必須確定計算機有病毒后在 并且上邊的方法都找不到后，最后來這里進行查找。

　　總結：這類病毒是比較容易暴露的，建議手動刪除時最好進入安全模式下，因為安全模式只運行WINDOWS必備的系統進程，EXE型病毒很容易暴露出來的，下邊附上一張WINDOWS安全模式的 必須進程表
smss.exe Session Manager
csrss.exe 子系統服務器進程
winlogon.exe 管理用戶登錄
services.exe 包含很多系統服務
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統服務) 產生會話密鑰以及授予用于交互式客戶/服務器驗證的服務憑據(ticket)。(系統服務) ->netlogon
svchost.exe 包含很多系統服務 !!!->eventsystem,(SPOOLSV.EXE 將文件加載到內存中以便遲后打印。)
explorer.exe 資源管理器 (internat.exe 托盤區的拼音圖標)
system
System Idle Process 這個進程是不可以從任務管理器中關掉的。這個進程是作為單線程運行在每個處理器上，并在系統不處理其他線程的時候分派處理器時間
taskmagr.exe 就是任務管理器了

　　二 DLL型后綴病毒

　　這類病毒大多是后門病毒，這類病毒一般不會把自己暴露在進程中的，所以說特別隱蔽，比較不好發現。啟動DLL后門的載體EXE是不可缺少的，也是非常重要的，它被稱為：Loader。如果沒有Loader，那DLL后門如何啟動呢？因此，一個好的DLL后門會盡力保護自己的Loader不被查殺。Loader的方式有很多，可以是為我們的DLL后門而專門編寫的一個EXE文件；也可以是系統自帶的Rundll32.exe和Svchost.exe，即使停止了Rundll32.exe和Svchost.exeDLL后門的主體還是存在的。現在大家也許對DLL有了個初步的了解了，但是不是后綴是DLL就是病毒哦，也不要因為系統有過多的Rundll32.exe和Svchost.exe進程而擔心，因為他們不一定就是病毒，所以說這個病毒比較隱蔽，下邊來介紹幾種判別辦法：

　　1/Svchost.exe的鍵值是在

“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost”每個鍵值表示一個獨立的Svchost.exe組。微軟還為我們提供了一種察看系統正在運行在Svchost.exe列表中的服務的方法。以Windows XP為例：在“運行”中輸入：cmd，然后在命令行模式中輸入：tasklist /svc。如果使用的是Windows 2000系統則把前面的“tasklist /svc”命令替換為：“tlist -s”即可。如果你懷疑計算機有可能被病毒感染，Svchost.exe的服務出現異常的話通過搜索 Svchost.exe文件就可以發現異常情況。一般只會找到一個在：“C:\Windows\System32”目錄下的Svchost.exe程序。如果你在其他目錄下發現Svchost.exe程序的話，那很可能就是中毒了。

　　2/還有一種確認Svchost.exe是否中毒的方法是在任務管理器中察看進程的執行路徑。但是由于在Windows系統自帶的任務管理器不能察看進程路徑，所以要使用第三方的進程察看工具。比如Windows優化大師中的Windows 進程管理 2.5。這樣，可以發現進程到底調用了什么DLL文件。

　　3/普通后門連接需要打開特定的端口，DLL后門也不例外，不管它怎么隱藏，連接的時候都需要打開端口。我們可以用netstat –an來查看所有TCP/UDP端口的連接，以發現非法連接。大家平時要對自己打開的端口心中有數，并對netstat –an中的state屬性有所了解。當然，也可以使用Fport來顯示端口對應的進程，這樣，系統有什么不明的連接和端口，都可以盡收眼底。

　　4/最關鍵的方法對比法。安裝好系統和所有的應用程序之后，備份system32目錄下的EXE和DLL文件：打開CMD，來到WINNTsystem32目錄下，執行：dir *.exe>exe.txt & dir *.dll>dll.txt，這樣，就會把所有的EXE和DLL文件備份到exe.txt和dll.txt文件中；日后，如發現異常，可以使用相同的命令再次備份EXE和DLL文件(這里我們假設是exe0.txt和dll0.txt)，并使用：fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt，其意思為使用FC命令比較兩次的EXE文件和DLL文件，并將比較結果保存到exedll.txt文件中。通過這種方法，我們就可以發現多出來的EXE和DLL文件，并通過文件大小，創建時間來判斷是否是DLL后門。

　　三 DLL型病毒的清除

　　1/ 在確定DLL病毒的文件的話請嘗試下邊方法

　　移除方法：
1. 開始——運行——輸入"Regedit"
2. 搜索"*.dll"
3. 刪除搜索到的鍵值。
4. 重啟
5. 轉到C:\Windows\System32\
6. 刪除*.dll

　　2/到注冊表下列地方尋找DLL的蹤跡

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/Currentversion/ Svchost

　　3/如果上邊的地方都找不到的話建議使用優化大勢進程顯示工具 對 RUNDLL32.EXE和SVCHOST.EXE里邊運行的DLL程序進行核實找到病毒文件對其進行結束 然后在對他進行刪除

　　建議使用第1種方法是非常有效的

　　四 $NtUninstallQxxxxxxx$（x代表數字）型病毒

　　這個屬于惡意腳本文件病毒。C盤下生成文件夾：$NtUninstallQxxxxxxx$（x代表數字） 冒充微軟更新補丁的卸載文件夾，并且在Win2000/XP下擁有系統文件級隱藏屬性。下邊說下清楚方法
注冊表手動刪除啟動項
參考：
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run
刪除：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
刪除：Sys32，值為：C:\$NtUninstallQxxxxxxx$\WINSYS.vbs

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
刪除：Sys32，值為：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
刪除：internat.exe，值為：internat.exe

刪除整個$NtUninstallQxxxxxxx$ 目錄

補充說明：

系統文件夾（\WINNT或\Windows）下出現的如$NtUninstallQ823980$ 、$NtUninstallQ814033$ 這類文件夾是Windows Update 或安裝微軟補丁程序留下的卸載信息，用來卸載已安裝的補丁，按補丁的編號如Q823980、Q814033 可以在微軟的網站查到相應的說明。請注意與惡意代碼建立的文件夾區分。

　　五 壓縮文件殺毒工具對其不能刪除

　　這類病毒大多是在IE臨時文件里的，請對臨時文件進行清除即可清楚此類病毒，建議定時清理IE臨時文件。