以前中毒的时候都很依赖杀毒软件,可随着病毒越来越变态杀毒软件也有搞不定的时候,更有甚者连杀毒软件都强制禁止或是直接阻止了运行了。长期被病毒整的焦头烂额,不成人形。我老爸喜欢看国,内外大片,本人肯定要一一办妥啦呵呵,这一下不要紧啊,差点让电脑系统成残疾,在一次又一次病毒侵犯中我被搞的体无完肤;鲁迅说过“不在沉默中爆发,就在沉默中灭亡”,我决心很病毒一较高下。以下是我的手工杀毒心得,仅供参考:
1.先机子中毒后我会直接断开宽带连接(在公司中就直接拔掉网线),紧接着打开任务管理器查看可疑进程和服务进程,但问题就这一块,因为svchost掌控着许多线程,所以根本看不出来这个程序是否被感染,所以在进程管理里面svchost在正常情况下都是以这类情况显示:
当然并不是说正常情况下只有这个五个,如果出现了在其他的情况下比如说你去”我的电脑“-“管理”下"服务"中如果出现了一个svchost那就太明显了,因为到现在为止病毒除了大小写的伪装以外,还经常去生成一个服务来运行,所以查毒去“服务”去看看是必要的;然后接着在“任务管理器”里面找到一些不认识的进程比如说“Svabe.exe” 把他查找出来,“搜索”里面的选项“更多高级选项”-“搜索影藏的文件和文件夹”必须打上勾,这样搜索出来的结果会更直接一些,不然会出现找不到文件的提示出现。接下来就是看这个程序了,我个人的简单方法是看这个程序本身的属性里面有没有提到版本或相关信息方面的或是是哪个厂商的,这个都属于是在程序本身运行的时候都经过数字签名的,一旦没有经过数字签名很容易是一个病毒,这个时候我会毫不犹豫的删掉(附:删掉的话固然很好,删不掉的话只能去安全模式下删,连安全模式都删不了就得依赖第三方软件了给强制杀掉,我当时用的是文件删除终结者删的,当然现在还有保留下来,如果现在已经下不到这种软件只能百度另寻其他了)这是搜索方式找文件并删掉。
2.上文提到一个程序文件有可能生成“服务”问题,那么“服务”性质的病毒怎么删掉呢?当然先肯定用嘴基本的方法先去停掉那个“服务”,停不掉怎么办?那么还是得回到上文提到的方法,用windows里面自带的“搜索”方式来找到那个“服务”式程序,找出来删掉(最好是能删掉)但如果删不掉,还有一个方法:就是打开“运行”-输入“mmc”-“添加/删除管理单元”-把“组建服务”给添加进去,再来就是找到那个程序服务组件了(这里以qzonemusic.exe为列)找到他进行下列操作:
 
文件选“属性”
 
再点“位置”
在“此计算机上运行应用程序”的左边去掉勾。再来选“安全”-“启动和激活权限”-“自定义”:
留下“administrators”其他全删,之后在“administrators”下全拒绝启动和激活,余下的“访问权限”和“配置权限”同理于“启动和激活权限”,再选“标识”里面:
“选择下列用户”,输入“用户”和“密码”后,回到“服务”里面去停掉就OK了。这样一来在“服务”下关不掉的服务组件就可以关掉了。再来就是查找程序并删除这样子。
3.以上两种是在文件能找出来的情况可进行而已,可文件要是找不出来呢?那这次就得依赖命令了来查找出来了,windows下有一个名为“attrib”的命令行工具:
举个例子,这个查看盘符下的影藏文件,那么现在就回到“设备管理器”里面去找到那个文件“Svabe.exe”
 
现在出来了,然后再运行“attrib attrib Svabe.exe -R -S -H -A”,那么它出来了。
再来删掉(删不掉或在安全模式下删不掉还是得用第三方软件来解决)。
 
4.除了去“任务管理器”里面找可疑文件以外,还得去“msconfig”和“regedit”里面去找病毒文件,首先在“msconfig ”里面的“启动”下找到那个“Svabe.exe”,在位置里面可以看到病毒程序的路径以及注册表下路径,这个时候就要去着两个路径下找那个文件了,“regedit”下找文件的方法很普通但也很有效,路径是“\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”
“\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce”
“\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”
“\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce”
下会有“Svabe.exe”键值存在,找到并删掉。
 
5.找到文件后还是得先在“任务管理器”里面停掉进程才行啊,能顺利的结束进程固然很好,但结束不掉还是得用命令了,方法有两种:
taskkill /pid 1111和ntsd -c q -p pid
查看PID的方法也有两种:“任务管理器”里面-“进程”-“查看”-“选择列”-“PID(进程标识符)”;tasklist
6.查找病毒的方法说完了,再就是来介绍病毒经常光临的位置了:
C:\
C:\Documents and Settings\Administrator\Local Settings\Temp
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
C:\Documents and Settings\All Users\Application Data\Microsoft
C:\Documents and Settings\All Users\Templates
C:\Documents and Settings\Default User\Local Settings\Temp
C:\Documents and Settings\Default User\Application Data\Microsoft
C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files
C:\Program Files\Common Files\System
C:\Program Files\Common Files\Services
C:\Program Files\Common Files\System
C:\Program Files\Internet Explorer
C:\Program Files\Internet Explorer\Connection Wizard
C:\WINDOWS
C:\WINDOWS\Installer(这个说明一下,介于有些OFFICE图标安装文件在里面,除了这个不删以外其他可删,如还有其他的不能删除也可保留)
C:\WINDOWS\Downloaded Program Files
C:\WINDOWS\Offline Web Pages
C:\WINDOWS\Temp
C:\WINDOWS\system32(这个得着重说明一下,因为这个目录下的文件是最多的,但中了毒后查找起来非常麻烦,我个人的方法是先前肯定去准备一份干净system32下所有的文件,全纪录下来,中毒后用FC命令进行比较,这样方便排查)
 
以上内容仅供参考哦啊,希望能帮到大家一点。