手动删除病毒的策略

计算机病毒对于客户端计算机来说有两个主要的的传播途径：一是：Internet上的的传播，另一个是：移动设备如U盘感染。
Internet上的传播主要是来至于恶意的网站，如：搜索资料时连接到恶意的网站，恶意网站利用欺骗的手段，如利用下面一段Javascript脚本就可以隐蔽一个DLL或ActiveX控件的下载的链接<a href=”www.mydomain.com/virsus.dll” οnmοuseοver=”over”>web_page_link</a>：
<script language=”javascript” type=”text/javascript”>
function over()
{
 window.status=”www.mydomain.com/webpage.html;
}
</script>
还有就是来自网络黑客的主动攻击，通过扫描客户机的端口，利用计算机的安全漏洞实施攻击，传播病毒。另一个就是通过电子邮件附件进行传播。
移动设备也很容易作为传播病毒的媒介而作为病毒的来源，一旦一台计算机感染上病毒，只要连接到该机器的移动存储设备都会感染上病毒，如果不注意通过复制、拷贝文件时将很容易的传播到另一台计算机上。

 病毒的删除策略
 1.安装杀毒软件。这是一种最简单的防毒杀毒方法，在市面上也有很多杀毒软件如：诺顿、金山毒霸、瑞星、江民、卡巴斯基等，各有自己的特点。不过由于杀毒软件的防毒杀毒能力是有限的，这是由杀毒软件的性质决定的。杀毒软件一般是要有病毒出现，然后才开发相应的杀毒软件，所以杀毒软件一般是滞后与病毒。
 2.手动杀毒。安装杀毒软件是要付出一定的代价的，比如占用一定的系统资源，计算机启动的速度慢。如果有一定的计算机能力，对病毒的运行机制有所了解，可以手动清除病毒，而不用装任何杀毒软件。
首先来看看病毒的运行机制：感染--触发事件--运行。在这个过程中，病毒感染后在触发事件发生后，立刻运行，首先在操作系统中注册，最关键的是在注册表里注册为启动项，每次电脑启动时运行，然后自我复制或进行其他的破坏性活动。其中触发--运行是一个循环的过程，只要条件一满足就触发运行，而且触发运行的事件一般都是是很普通的基本操作事件。
手动杀毒的思路：首先应明确杀毒，本质上就是删除病毒文件以及病毒在系统中的注册信息和病毒相关的，感染的文件。通过上面的病毒运行机制分析，可以看出杀毒的思路是：防止触发事件，删除注册文件，删除病毒文件。而且必须是先防止触发事件，以免触发事件的发生又导致触发病毒的运行，这也是为什么病毒文件无法正常删除的原因。然后删除注册信息，尤其是病毒运行进程，因为操作系统对于运行的程序一般是写保护的，只有按照这个顺序才可以彻底删除病毒文件。
 有了杀毒的思路后，根据思路可以有两种手动杀毒方法：
 1）进入安全模式。安全模式只加载windows运行的基本操作模块，所以启动时，病毒是没有运行的，这可以直接删除注册项和文件，一般在注册表里删除启动项。
运行――regedit――key_local_machine/software/microsoft/windows/currentVersion/run，在这个注册项里有许多运行文件，是windows操作系统运行时加载的程序，包括显卡、声卡之类的驱动程序。仔细辨别，找到可疑的项，删除。当然可以删除里面的所要键，不过第一次启动时可能有点问题，可能要重装修复一下驱动程序。然后到各个分区的跟目录查找相应的病毒文件，一般是autorun.inf和一个.exe。当然，首先应打开文件件的隐藏选项，显示包括隐藏文件，系统隐藏文件的所有文件，这样就可以，看到相应的病毒文件，shift+del彻底删除。
2）直接删除。这种方法相对复杂，这主要是针对有些病毒，让你无法进入安全模式时可用。比如笔者前不久中的“AV终结者”，进入安全模式时，直接蓝屏，无法进入。这时可用这种方法，但首先除了对病毒的机制有所了解外，还须对windows操作系统的几个主要的进程有所了解，如：explorer.exe,taskmgr.exe（任务管理器）。

explore.exe
进程文件: explore 或 explore.exe 
进程名称:  资源管理器
描述:  一旦终止会自动重新加载，否则会呈死机状态。这可不是 Internet Explorer， explorer.exe总是在后台运行，它控制着标准的用户界面、进程、命令和桌面等，如果你打开任务管理 器，就会看到另外一个 explorer.exe 在后台运行。根据系统的字体、背景图片、活动桌面等情况的不同，通常会消耗 5.8 MB 到36MB 内存不等。Idle 如果你在任务管理器看到它显示 99%的占用率，千万不要害怕，实际上这是好事，因为这表示你的  计算机目前有 99%的性能等待你的使用！这是关键进程，不能结束。该进程只有 16KB 的大小，循环统计 CPU 的空闲度。
是否为系统进程:  是

taskmgr.exe
进程文件： taskmgr  或者 taskmgr.exe
进程名称：  窗口任务管理者
描述：用于窗口任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Delete打开，这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。
是否为系统进程:  是

当然还要有一些软件的支持，这里选用Editplus的目录管理窗口。不过这种方法如果彻底了解可以处理任何病毒，而且有明显的效率，如：可以杀完毒（删除病毒文件）后不用重新启动系统。
本文就删除“AV终结者”病毒介绍相应的手动杀毒。

 ○1触发事件防止。一般的U盘病毒的触发事件是，打开U盘，这包括自动播放，双击，右键打开，打开资源管理器等，有的更厉害的甚至关联相关文件，如：txt，记事本notepad.exe，所以中病毒后首先不要在打开什么文件,文件夹，甚至是分区。所以选用Editplus软件的目录浏览窗口作为我们打开，查看文件夹、文件的工具。这也说明explorer.exe是病毒的一个触发条件。
运行任务管理器后，结束可以进程时任务管理器窗口同时也结束了，由此可以推测任务管理器也是一个触发条件。
当试着结束explorer.exe,taskmgr.exe两个进程时都结束不了,这可以更好的论证前面的假设,说明这两个进程是触发条件,相应的操作触发了病毒的自动运行。
所以也采用病毒惯用的伎俩“瞒天过海”――更改文件名，首先运行Editplus,通过目录窗口在C:/windows/下将explorer.exe改为"aexplorer.exe",在C:/windows/system32/下将taskmgr.exe改为"ataskmgr.exe"。然后找到“ataskmgr.exe”右键“使用相关程序打开”。这样就打开了一个改了名字的任务管理器，然后结束explorer.exe进程，这时系统桌面没有了，不用担心，跟病毒的较量才刚刚开始。
在改名的任务管理器里结束病毒进程fpwiqhk.exe和npeniyu.exe两个病毒进程。这样就能结束这三个进程了。关于为什么要结束explorer.exe进程。通过对的explorer.exe的介绍可以看出是它总是在后台运行，它控制着标准的用户界面、进程、命令和桌面等，是在不断的刷新运行的,也就触发了病毒的运行。
 ○2删除病毒注册项。结束了病毒进程就可以删除相应的注册表中的启动项。在第一步打开的任务管理器中，文件――新建任务――regedit打开注册表，在KEY_local_machine/software/microsoft/windows/currentVersion/run中删除病毒的注册项，这样在系统启动时将不会运行病毒。
 ○3删除病毒文件。在结束完病毒程序时就可以删除相应的病毒程序文件。一般包括一个autorun.inf和一个.exe,还有一些DLL文件。所以删除是一个问题，但是找到相关文件又是一个问题，病毒一般会伪装时间的和信息的所以要彻底的删除病毒是一件很费劲的事的。
 依然是利用Editplus的目录窗口，打开各个分区的根目录，找到autorun.inf和.exe,选中右键+shift彻底删除。
○4当然，这还没完，实际上病毒还复制到其他文件夹下，如果不彻底删除，将是一大隐患。这时可以用普通的杀毒软件帮忙。如果没有安装杀毒软件，只能是一个一个的查找，而且搜索不到病毒文件。不过一般要到C:/Program Files/common files/Microsoft shared和C:/Program Files/common files/system去看看，病毒会去那里落脚的。还有内存中的病毒，如果确实感到内存中存在病毒，电脑上又没有杀毒软件，一个比较强硬的办法就是直接切断电源，这样内存中的数据将全部丢失，包括病毒。这样可以防止内存中的病毒，在关机时有死灰复燃的在系统中注册，复制。
这样算是把病毒给删除了，剩下的也是最重要的工作就是恢复到正常状态了，不然前面的努力将白费了：将改过的进程文件名改回来。将C:/windows/下的aexplorer.exe改回为explorer.exe,将C:/windows/system32/下的ataskmgr.exe改回为taskmgr.exe,然后或是在打开的任务管理器上运行explorer.exe,或是在文件夹下运行该程序,这是消失的桌面又回来了,而你的正常的系统也回来了。

小结
病毒毕竟也是一种计算机程序，也必须依赖于操作系统来运行，对于不能强大到无法防止和控制的病毒，通过学习操作系统运行程序的方式，病毒的运行机制，通过有效的手段打断病毒运行的环节，抑制触发事件的产生，就能够手动的删除病毒。这种方法甚至是一些木马程序，流氓软件等也是很实用的。