手工杀除病毒文件(修正)
查找病毒文件须知,给菜鸟:打开我的电脑,点击工具--点文件夹选项--点击查看~~然后在找到隐藏文件和文件夹选项那里--点上“显示所有文件和文件夹”;取消“隐藏受保护的系统文件”前面的勾勾;取消“隐藏已知文件类型的扩展名”前面的勾勾,再点确认。)清除病毒文件的步骤:
删除病毒驱动文件:
由于此类sys文件在系统启动时最先加载,并加入到system进程,及时在安全模式也无法删除。必须依靠删除工具或瑞星的碎甲技术专杀工具。在删除前建议关闭所有正在运行的程序和窗口,如ie浏览器,qq,bt,杀毒软件等,以确保删除成功。
没有专杀或专杀无效时,建议使用unlocker,这是目前发现的最简单有效的删除工具。必须先使用unlocker解锁然后删除,若unlocker删除不成功还可尝试ICESWORD。
下一步我们要重启进入安全模式了,如果你中了不能进入安全模式的病毒,可以在删除病毒文件后,在原处建立一个同名带扩展名(.sys)的文件夹,因为电脑的任何操作系统都不允许同名的文件和文件夹存在,这样可以防止重启后病毒文件的自我修复。为报万无一失和防止以后的复发,建议都做一个文件夹放在那里。
删除病毒驱动注册表项:
此项进行时必须重启到安全模式。如果不重启,病毒驱动还加载在内存中,修改注册表会失败;如果只能重启到正常模式,不能进入安全模式,我们必须在上一步做一个免疫的文件夹,防止还没有删除病毒的其他启动文件可能会修复我们删除的sys驱动文件。
重启到安全模式之后,我们先检查一下刚才删除的sys病毒文件是否删除成功,再删除注册表项。
方法一:手动删除:点开始-运行-输入“regedit"打开注册表编辑器,点编辑-查找-搜索病毒文件名(带扩展名,不带扩展名的有些项直接删不掉,留下没关系,做个纪念),删除注册表 左栏 的加载键。删除后要按F3一直查找完。再查下一个。
方法二:使用瑞星卡卡上网安全助手3.0:点系统启动项管理-点驱动-可以看到他们。我们要右键点右侧栏,把“包含空项”选上,把两个“隐藏xx已签名的项”前面的钩钩去掉,会看到全部加载的驱动。我们右键点病毒的服务项,然后选“删除当前选中的项”,可以删除。
方法三:使用System Repair Engineer(SREng):点“启动项目”-服务-驱动程序-选中找到的病毒驱动-我们可以点选“删除服务”,然后点“设置”即可。对于一些不明的驱动,可以GOOGLE一下,避免冤枉好同志,(做此项时,隐藏已认证的微软项目,查找会更快捷。)
方法四:使用AutoRuns:点“驱动”-右键点病毒驱动-删除。
此项如果不做,系统启动时会形成错误日志。但不会有明确提示,也不会对我们的系统有任何不良影响了。此项如果做不成功,说明还有病毒程序的保护,就先进行下一步,清理完病毒后,在回来修复注册表。
--------------------------
删除注册的服务项
方法一:手动删除:右键点我的电脑,选管理-服务和应用程序-服务;查找我们查到的病毒服务,双击打开属性对话框,停止此服务并修改启动类型为“已禁用”。 在注册表搜索文件名时,删除在注册表左边栏注册的服务项,在注册表里一般会加载到两个以上位置,都要删除。
(服务项是在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下。在ControlSet001\Services ControlSet002\Services ControlSet003\Services等下面也会有,都删除。)
方法二:使用瑞星卡卡上网安全助手:点系统启动项管理-点服务项-可以看到他们。我们右键点病毒的服务项,然后选“删除当前选中的项”,可以删除。
方法三:使用SREng:点“启动项目”-服务-win32服务应用程序(同第2步)
方法四:使用AutoRuns:点“服务”-右键点病毒服务-删除。
--------------------------
删除注册的病毒启动项和启动文件:
方法一:手动删除:在注册表搜索病毒文件名,查找删除包含在run键值里的病毒文件名,开始—运行—MSCONFIG,启动里把带有病毒文件名的项勾勾取消掉(一般注册表里删了就可以了,后一步我们是再看一下)
方法二:使用瑞星卡卡上网安全助手:点系统启动项管理-点登陆项-可以看到他们。点包含空项可以看到所有此类病毒的可能的藏身之处。我们右键点病毒的启动项,然后选“删除当前选中的项”,可以删除。
方法三:使用SREng:点“启动项目”-“注册表”
方法四:使用autoruns:点“登录”-右键点病毒启动-删除。
注册表的病毒启动项如果不删除,系统启动可能会提示找不到相关文件或相关文件加载失败。但不会有什么其他不良影响。
--------------------------
补充说明:
以上步骤是按照病毒文件加载的层次和次序,从底层开始清理的,删除文件—删除注册表项—删除服务项---删除启动项,一般不要颠倒进行。当某项清除失败,即使重启也不能成功,可以闪过进行下一步。这时需要unlocker掉一个,做一个同名文件夹,步步为营,攻掉一个算一个,差不多了再重启,再删。
删除文件后一定要记得清除注册表项,否则重新扫描系统报告时还会出现再系统报告里,给我们继续诊断带来麻烦,切记切记!!清除注册表的工作建议使用修复工具如瑞星卡卡上网安全助手和SREng,AutoRuns,省事。
--------------------------
附:SRENG下载地址:[url]http://www.kztechs.com/sreng/sreng2.zip[/url]
卡卡助手3。0:[url]http://tool.ikaka.com/products.shtml[/url]
AutoRuns v8.53 汉化版II: [url]http://btbaicai.com/job.php?action=download&pid=tpc&tid=682&aid=150[/url]
unlocker:[url]http://btbaicai.com/job.php?action=download&pid=tpc&tid=661&aid=190[/url]
icesword冰刃:[url]http://www.crsky.com/soft/6947.html[/url]
希望大家多提出意见以最终完善这篇献给菜鸟的文章
[[i] 本帖最后由 沙罗双树园 于 2007-3-17 20:16 编辑 [/i]] 写的不错,是否原创?
希望看到二。。 非原创,只是修改下 :D 好东东
:o 好东东,支持一下:victory: 好东东,谢谢分享。。。。。。 卡卡好像没多大用啊。 楼主辛苦了,谢谢分享!! 谢分享:) :)
页:
[1]