关键的地方,这分三个部分,一是文件部分,一是注册表部分,一是杀毒软件防火墙部分。首先介绍注册表部分,因为有些文件要根据它来找病毒文件。

    一、[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows],其默认值是没有的,在其下的load键,其为空,如果有run键,也要注意一下,正常是没有的。

    二、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]其下的默认值是没有的,如果其下有run键,则需要注意一下,一般没有run键的。

    三、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\runonce]
        .......

        带run开头的键,要查看一下,如果是陌生的而且不认识的键值。

       对以上的可疑的键值用笔记下来,先备份注册表,然后删除,最后用查找工具搜索注册表,再删除相关的选项。

       其实在上面关键的地方一、二是比较容易找出可疑的地方,因为它们都是空的,如果出现了其它的内容,则肯定指示的是病毒文件。

       对于三是比较难的,首先要对正常的文件的识别,对不可认识的文件,可以进入相关文件夹,查看本文件的修改日期,如果是近期的,而且近期没有装软件,则它肯定是病毒。

 
  四、显示隐藏文件部分
     1、[HKEY_LOCAL_MACHINE /SOFTWARE /Microsoft /Windows /CurrentVersion/Explorer /Advanced /Folder
2、[HKEY_CURRENT_USER /Software /Microsoft /Windows/ CurrentVersion/ Explorer /Advanced]