菜鸟也学手工识别查杀病毒(转)[@more@]适用于诺顿等对部分病毒无法终止,提示“无法清除,无法删除,无法隔离、知道某个文件是病毒却无法终止删除。
本文作者:snowsky
关键字:手工识别、查杀病毒
所用工具:进程查看器(PrcView)、注册表编辑器(Regedit)
常在网上看到很多网友在各大BBS发贴求助,标题大都是些“计算机运行越来越慢,请问高手是不是中了病毒“或”XX.exe文件是不是病毒?“。在回答了N多个网友类似的问题之后,笔者不得不考虑写一个教程来普及一下手工识别查杀病毒的方法了。
今天就来谈谈如何手工识别查杀计算机中的病毒。
认识一下病毒程序
病毒程序(本文仅指exe病毒,对Dll型病毒另文叙述)和普通程序是一样的,都是一个Exe可执行程序,只不过它做了对我们计算机不利的事,所以我们就叫它病毒程序。病毒程序在运行的时候也是会出现2k以上计算机的任务管理器中的,只不过有些病毒把自己注册成了关键进程,致使我们用系统自带的任务管理器(TaskMgr)无法将其终止罢了。还有些病毒采用了双线程守护技术,即一个前台一个后台,后台时刻监视着前台的程序,一旦发现前台程序被终止后台立刻重新生成一个前台程序并运行它,导致查杀越来越困难。
病毒程序的启动的方式
病毒程序必须要在开机就运行才能达到目的,所以它一般会在注册表的启动项、服务(2k以上)、System.ini、win.ini中写下启动项,所以我们识别病毒就要注意这几个地方。
注册表中系统启动的几个地方:
HkEY_CURRENT_USER和HKEY_LOCAL_MACHINE下的
CODE
SoftwareMicrosoftWindowsCurrentVersionRun
SoftwareMicrosoftWindowsCurrentVersionRunOnce
SoftwareMicrosoftWindowsCurrentVersionRunServices
SoftwareMicrosoftWindowsCurrentVersionRunOnce
Win.ini中的地方(win98me)
CODE
Run=""
Load=""
以上两个一般为"",如果安装了打印机驱动如HP-6L则会修改Load。
System.ini(win98me)
CODE
shell="explorer.exe"
正常的应该是这一行,如果不是请改回
系统服务(win2K以上)
CODE
开始>运行
输入:services.msc打开服务窗口,查找可疑的服务,将其改为禁止并记下服务名和程序原始位置,然后到注册表HKEY_LOCAL_MACHINESystemControlSet001Services找到相应的服务名,将其删除,重启再删除原程序即可。
识别运行中的病毒
下面该请出我们的工具进程查看器(PrcView),这款工具只有81KB,不用安装解压缩即可使用。它可以把系统当前正在运行的程序都列出来,并能显示出程序原始位置及版本信息、线程模块及将其KILL的功能等等。
首先启动进程查看器,主窗口中列出了正在运行的程序及其路径。
400) {this.resized=true; this.width=400; this.alt='Click here to open new window';}" border=0>
如果我们知道某一个正在运行中的程序是病毒程序,则可以右击程序名选择结束进程(K),将弹出一个结束进程对话,点击结束进程就可以将病毒程序终止掉。此时进入程序所在目录将其删除即可。
400) {this.resized=true; this.width=400; this.alt='Click here to open new window';}" border=0>
很多时候,我们并不知道哪一个程序是病毒程序,此时可以双击正在运行中可疑程序(名字与系统程序相同却不在应该在的路径等等),将弹出一个版本信息窗口,上面列出了该程序的版本信息,一般正规的软件作者都会在程序上写下自己的版权信息,如图所示为微软出的程序
400) {this.resized=true; this.width=400; this.alt='Click here to open new window';}" border=0>
病毒程序一般版权信息为空,如图所示
400) {this.resized=true; this.width=400; this.alt='Click here to open new window';}" border=0>
当然,笔者所列的这个也不是病毒程序而是srvany.exe,这也是微软支持包上所带的一个工具,它的建立日期和修改日期比较早,一般病毒程序都会是近期的。
找到可疑的病毒程序后,就是将其结束进程,然后到所在目录下将其删除即可。
附进程查看器下载地址:
http://www.pxue.com/blogview.asp?logID=19
本文作者:snowsky
关键字:手工识别、查杀病毒
所用工具:进程查看器(PrcView)、注册表编辑器(Regedit)
常在网上看到很多网友在各大BBS发贴求助,标题大都是些“计算机运行越来越慢,请问高手是不是中了病毒“或”XX.exe文件是不是病毒?“。在回答了N多个网友类似的问题之后,笔者不得不考虑写一个教程来普及一下手工识别查杀病毒的方法了。
今天就来谈谈如何手工识别查杀计算机中的病毒。
认识一下病毒程序
病毒程序(本文仅指exe病毒,对Dll型病毒另文叙述)和普通程序是一样的,都是一个Exe可执行程序,只不过它做了对我们计算机不利的事,所以我们就叫它病毒程序。病毒程序在运行的时候也是会出现2k以上计算机的任务管理器中的,只不过有些病毒把自己注册成了关键进程,致使我们用系统自带的任务管理器(TaskMgr)无法将其终止罢了。还有些病毒采用了双线程守护技术,即一个前台一个后台,后台时刻监视着前台的程序,一旦发现前台程序被终止后台立刻重新生成一个前台程序并运行它,导致查杀越来越困难。
病毒程序的启动的方式
病毒程序必须要在开机就运行才能达到目的,所以它一般会在注册表的启动项、服务(2k以上)、System.ini、win.ini中写下启动项,所以我们识别病毒就要注意这几个地方。
注册表中系统启动的几个地方:
HkEY_CURRENT_USER和HKEY_LOCAL_MACHINE下的
CODE
SoftwareMicrosoftWindowsCurrentVersionRun
SoftwareMicrosoftWindowsCurrentVersionRunOnce
SoftwareMicrosoftWindowsCurrentVersionRunServices
SoftwareMicrosoftWindowsCurrentVersionRunOnce
Win.ini中的地方(win98me)
CODE
Run=""
Load=""
以上两个一般为"",如果安装了打印机驱动如HP-6L则会修改Load。
System.ini(win98me)
CODE
shell="explorer.exe"
正常的应该是这一行,如果不是请改回
系统服务(win2K以上)
CODE
开始>运行
输入:services.msc打开服务窗口,查找可疑的服务,将其改为禁止并记下服务名和程序原始位置,然后到注册表HKEY_LOCAL_MACHINESystemControlSet001Services找到相应的服务名,将其删除,重启再删除原程序即可。
识别运行中的病毒
下面该请出我们的工具进程查看器(PrcView),这款工具只有81KB,不用安装解压缩即可使用。它可以把系统当前正在运行的程序都列出来,并能显示出程序原始位置及版本信息、线程模块及将其KILL的功能等等。
首先启动进程查看器,主窗口中列出了正在运行的程序及其路径。
400) {this.resized=true; this.width=400; this.alt='Click here to open new window';}" border=0>
如果我们知道某一个正在运行中的程序是病毒程序,则可以右击程序名选择结束进程(K),将弹出一个结束进程对话,点击结束进程就可以将病毒程序终止掉。此时进入程序所在目录将其删除即可。
400) {this.resized=true; this.width=400; this.alt='Click here to open new window';}" border=0>
很多时候,我们并不知道哪一个程序是病毒程序,此时可以双击正在运行中可疑程序(名字与系统程序相同却不在应该在的路径等等),将弹出一个版本信息窗口,上面列出了该程序的版本信息,一般正规的软件作者都会在程序上写下自己的版权信息,如图所示为微软出的程序
400) {this.resized=true; this.width=400; this.alt='Click here to open new window';}" border=0>
病毒程序一般版权信息为空,如图所示
400) {this.resized=true; this.width=400; this.alt='Click here to open new window';}" border=0>
当然,笔者所列的这个也不是病毒程序而是srvany.exe,这也是微软支持包上所带的一个工具,它的建立日期和修改日期比较早,一般病毒程序都会是近期的。
找到可疑的病毒程序后,就是将其结束进程,然后到所在目录下将其删除即可。
附进程查看器下载地址:
http://www.pxue.com/blogview.asp?logID=19
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10617542/viewspace-949390/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/10617542/viewspace-949390/
扫一扫
4064
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
