[转贴]手动查杀电脑病毒的一些基本方法

的电脑安全吗？你的电脑可以防黑吗？

我现在就跟大家说说手动杀毒的几个常用的方法。你也许会说现在的杀毒软件那么多啊，为什么我们还要学习用手动来杀毒呢？你想想病毒的产生肯定是比你的杀毒软件的升级快很多的，既然是那个样子的话，我们学习手动杀毒就对我们很有帮助，也可以让我们更加熟悉计算机的进程以及对我们将来学习更多的计算机技术打下很好的基础。费话多说了，现在我们开始。因为我使用的是XP操作系统，那这里就以XP的版本先给大家讲解一下。

首先，对于自己的计算机要有洞悉力，说得通俗点就是如果发现什么不对的就要考虑下是什么原因了。因为是讲手工杀毒那就先讲中毒的几个特别征兆，例如：你的电脑在上网的时候自己会打开不知名的网站（恶意代码也是会这样的啊，我们也把它暂时当病毒吧）；你的电脑的速度变得很慢很慢，特别是开机的时候要很久；你的电脑文件有的开不了；有时候点一个陌生的文件突然一闪而过；有时候总跳出非法操作……可以说你觉得很可疑的时候，都可能是中了病毒。那么我们就要找到病毒。

1.找到病毒

进程法：有的病毒在热启动（CTRL+ALT+DEL)就可以看出来，它们总是想隐藏自已成为系统里面的特殊文件，仔细看就可以看出猫腻了。什么把l(字母）写成1（数字）啦，把O（字母）变成了0的啊，更好笑的是连大小写都出来了，其实只要认真看问题就简单。如果你对进程不是很了解的话，建议把它名字记下来去百度找找，应该可以找到答案。特别要注意的是你在用热启动的时候，最好不要开任何文件和软件，这样比较好辨认。

启动法：现在的病毒和木马都会自己随系统而启动，那么我们就可以根据这个把它找到。开始——运行——输入msconfig在启动选项就可以看到启动的项目和命令还有位置，把你觉得十分可疑的前面的沟去掉就可以了。记下那些可疑的启动项命令的地址，将来杀的时候能够用到。这样可就看到病毒了，也可以在运行里面输入regedit（注册表），HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion的RunOnce，还有RunServices和Run，还有另外一个HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion的RunOnce，以及RunServices和Run的可疑的启动文件都删就好。
(the3rday:一定要确认，别删错了)

文件法：这个比较难麻烦，一步步来就好。我们先打开“我的电脑”工具栏里面的“工具选项”——“查看”——“隐藏受保护的操作系统文件（推荐）”的勾去掉，选择显示所有文件和文件夹，去以下的文件夹看看有没有可疑的文件。
(the3rday:现在有些病毒会修改注册表，无法显示隐藏文件，这时开始运行REGEDIT，进入注册表编辑器，找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue，检查它的类型是否为REG_DWORD，如果不是则删掉CheckedValue，然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1。 )

（系统盘用X：/表示）
X：/
X：/WINOWS
X：/WINDOWS/SYSTEM32
X：/WINDOWS/SYSTEM
X：/Program Files/Internet Explorer
X：/windows/Temporary Internet Files/Temporary Internet Files
X:/temp 还有X:/winows/temp
X:/Documents and Settings/Administrator/Templates
x:/Documents and Settings/Administrator/Local Settings/Temporary Internet Files
X:/Documents and Settings/Administrator/Local Settings/Temp
(the3rday:像熊猫烧高香就是在各盘符下建立exe文件和阿autorun.inf,双击盘符病毒就运行了)


还有各个分区的这些文件夹里面都是病毒常常光顾的地方。有的文件很多，象SYSTEM32就有几百个，怎么找呢？建议使用右键排列图标——修改时间，这样就快很多了。
(the3rday:其实这也是判定是否是系统文件的一个办法，因为安装的系统文件其修改日期和非系统文件的修改日期时间上会相差很多。当然在一些文件夹下，如system32还会出现一些应用软件的文件，他们与系统文件的修改日期也相差很远。所以删除可疑文件，准是关键！呵呵)

系统编辑器法：运行——sysedit看有没有可疑的文件，可是这个最好不要乱修改（比较危险），不确定的话还是去搜索下比较好。

2.杀毒

前面说了几种的找毒的方法，根据上面的话，我们就可以知道病毒的名称和地址。那么还不开工，杀毒最好是在断网和在安全模式的时候，为什么呢？据说是在DOS下杀毒的时候最好，可是对于杀毒新手的话，我还是认为先从安全模式下杀比较好，有GUI（图形系统）比那黑白DOS强多了。开机——按F8进入安全模式，使用文件法的前几步使隐藏文件显示，进去我的电脑按F3搜索界面，接着是搜索删文件。记得，在更多搜索选项要全选。删掉了之后还要记得在各个盘的回收站里面的东西全删去，每个盘的回收站都是叫Recycled的。
(the3rday:这倒不一定。如果分区文件系统是NTFS，每个盘符的分回收站则会保存在“Recycler”这个文件夹中，分别以每个用户的SID（用户安全标识符，用来代表用户，任何两个用户的标识符都不一样）做回收站的名字，就是类似“S-1-5-21- 3643067059-557091897-448451853-500”这样的名字。当然如果是fat32文件系统，回收站名字叫Recycler十有八九是病毒)


可是有的病毒是很狡猾的啊，那么我们就要用到工具。介绍几个我常用来辅助杀毒的工具：一个是Tcpview，查看端口是否存在问题，如果有木马可是一看就能发现的。还有就是IceSword和windows优化大师的WinProcess，我个人比较喜欢的是WinProcess，因为它查看进程的时候可以在网上搜索到跟进程相似的东西，省去自己上网输入进程名字的步骤，方法是进程描述中的更多相关信息。
(the3rday:我一般是不用优化软件的，但大家电脑出现问题，我还是建议装个IceSword或者hijack的，一般电脑论坛里的高手在帮你解决问题时往往会说，扫个描上来，大抵都用这些软件扫得。这些软件还有其他妙用，因为自己不是什么高手，就不赘述了。文中提到Tcpview查看端口，其实用windows自身也可以，运行cmd，打开命令提示符，输入netstat -an,回车，OK,所有的端口情况一目了然了)