可能很多人认为手工杀毒只有高手才那么做。但我要说的是,手工杀毒其实很简单,相信大家看完本文后都能够做到!另外,本文不涉及极为棘手的病毒,比如能够关闭安全软件的(不包括阻止运行的)。首先,手工杀毒需要工具,相信真正能够空手杀毒的人是不存在的!工具又分为两大类,系统自带的工具和第三方工具两类。首先讲一下系统自带的工具,挑常用的说,很少用到的我就不介绍了。(本文全部以Windows XP Professional SP2 系统为例)
1、cmd.exe,也就是命令提示符,可以做什么呢?
答案是:可以用它来调用很多系统工具,这个后边有介绍命令行工具的会用到。
2、mmc.exe,控制台,他又可以做什么呢?
举个例子,右击我的电脑,点管理,出现的这个就是控制台了!里边有磁盘管理、服务、设备管理器等,本文介绍手工杀毒,只说几个有用的——“服务”、“设备管理器”和“组策略”。
“服务”可以用来对付一部分以系统服务形式启动的病毒(注意,只是一部分,有的病毒服务无法停止,也不能设置成禁用)
“设备管理器”可以辅助查找驱动类的病毒。
“组策略”,这个干什么用呢?遇到修改系统时间的病毒,可以用它来锁定系统时间(锁定一词并不准确,确切地说,是取消所有用户的修改系统时间的权限),也可以阻止病毒启动。(方法:计算机配置,Windows 设置,安全设置,软件限制策略,创建策略,其他规则,新路径规则,添加病毒的完整路径,选“不允许的”就可以了)
3、taskmgr.exe,任务管理器,通常用Ctrl+Alt+Delete组合键调出,
可以查看当前运行的进程,但是有可能会不完全,因为有些病毒会隐藏进程!也可以结束进程,但是对于一些特殊的进程无效,例如winlogon.exe等。
4、tasklist.exe,命令行界面工具,需要在cmd中执行,不然一闪而过,什么也看不见它也可以查看进程,不过比taskmgr.exe高级在于,它可以查看每个进程有哪些服务,需要查看服务可以用“tasklist /svc”命令。
5、taskkill.exe,命令行界面工具,用来结束指定的进程,可以用PID和进程名来指定结束哪些进程。根据进程名结束:“taskkill /f /im:进程名“根据PID结束:“taskkill /f /pid:进程PID”
6、ntsd.exe,命令行工具,可以根据PID结束指定的进程,杀伤力比taskkill大,可以对付一些挂接了OpenProcess系统函数的病毒(这里你不必了解什么是系统函数),这类病毒的典型特征就是使用taskmgr或者taskkill结束他们时出错,且提示信息为“拒绝访问”的病毒。命令:“ntsd -c q -p 进程PID”
7、regedit.exe,注册表编辑器,用来编辑注册表,如果你都不知道什么是注册表的话,这个你就不必了解了……
8、reg.exe,命令行界面注册表编辑器,在病毒禁用或破坏了regedit时会派上用场。常用功能:“reg query *”查询注册表信息,“reg delete *”删除指定的注册表内容,“reg add *”添加或修改指定的注册表信息。
9、msconfig.exe,系统配置实用程序,可以查看启动项、服务等,尤其在寻找非系统服务时非常好用(它可以只显示非系统服务)。
10、notepad.exe,记事本,有人要问了,手动杀毒,和记事本有什么关系??好吧,知道记事本可以干什么吗?文本编辑?那个只是他的功能之一!我们手动杀毒,要用它来写批处理!(不知道什么是批处理的人可以死了)有些病毒采用双进程监控,即便你确定了他的位置也很难清除,这时候批处理就派上用场了,可以用下边的方法来对付:(例如两个进程都在system32目录,文件名分别为a.exe和b.exe)
复制内容到剪贴板 代码:
taskkill /f /im:a.exe
del /a c:\windows\system32\a.exe
md c:\windows\system32\a.exe
taskkill /f /im:b.exe
del /a c:\windows\system32\b.exe
md c:\windows\system32\b.exe
这个批处理就可以干掉他们的进程和对应文件!解释一下,taskkill,结束进程,前边说过了,不再叙述。del,命令提示符的内部命令,删除文件,“/a”参数用来删除隐藏文件。md,也是命令提示符的内部命令,相当于Windows的“新建文件夹”命令,
创佳一个和病毒同名的文件夹,让病毒无法再次生成新的病毒文件。好了,系统工具就介绍到这里吧!
接下来说一下第三方工具。
1、IceSword,冰刃,最出名的应该就是他了,操作简单,威力强大!
2、SnipeSword,狙剑,功能比冰刃多,不过操作难度相对也较大。
3、SReng,一般用来生成扫描日志,贴到论坛上求助用,他也具备一定的修复系统的功能。
4、Autoruns,启动项管理工具,我见过的最全面的了!
不过使用也具有一定的难度,主要是不好判断。
5、Filemon和Regmon,文件监控和注册表监控程序,可以检测病毒行为,
用来根据行为清除病毒,使用困难,这里不介绍了(适合软哥这样比较专业的病毒分析人士使用,哈哈!)。
第三方工具的了解不必要太多,就介绍到这里吧。仅仅有工具是不够的,接下来我们讲讲手工杀毒的过程。首先,你需要判断的是机器到底有没有病毒,如果没有病毒,那你不是瞎折腾了?
1、最菜的方法:杀毒软件是干嘛的?杀毒的啊!首先升级到最新版本,然后全盘扫描!当然,如果打开杀毒软件以后一闪就没了,或者双击以后根本没反应,那么基本可以肯定中毒了。
2、稍高级一点的方法,SReng扫描报告一份,发到论坛上,自然会有高手解答,这个方法比杀毒软件保险的多,因为有可能遇到杀毒软件扫描不出来的,而人就不会那么死板了,人会综合分析,可以根据报告,判断是否有病毒。
3、更高级的办法,也是最好的办法(当然,如果你很菜,这个并不是一个好办法),打开各种工具,对系统诊断一番,没准会收获颇丰哦~好了,不说废话了,如果有病毒,下一步就是杀毒了,那么,我们都不知道是什么病毒,如何杀毒呢?这个好办,我们只需要知道病毒有哪些文件,修改了那些注册表信息,加载哪些服务和驱动,剩下的就是复原病毒修改的地方了!
首先,我们要找到病毒的进程(无进程的除外),可以用任务管理器,发现可疑进程直接喀嚓~不过这并不是一个好办法,因为病毒会“障眼法”,可以伪装系统进程,也可以隐藏进程。那么,我们该怎么办呢?不要忘记了,第三方工具可以显示进程对应文件的完整路径!以冰刃为例,打开冰刃,在左边单击“Process”(中文版应该是进程,我没有中文的,以英文版为例了)在右侧就可以看到当前运行的全部进程了,需要额外注意的就是有红色标注的,他们是隐藏的进程!一般情况下,正常的系统是没有隐藏进程的,如果发现了隐藏的进程,他们一定是有问题的!如果没有见到红色标注的,也很正常,不是每一个病毒都会隐藏进程的,有的可能根本就不存在独立的进程。接下来排查系统进程和正常软件的进程,这个完全是靠经验了,简单列举一下,系统进程有
引用:
C:\Windows\System32\Winlogon.exe
C:\Windows\System32\SMSS.exe
C:\Windows\System32\CSRSS.exe
C:\Windows\System32\Lsass.exe
C:\Windows\System32\svchost.exe(多个,可能被服务型病毒利用)
其他软件的进程太多了,我也不便于列举,大家可以到网上搜索一下。
记下可疑进程的完全路径,然后结束进程,几秒以后刷新列表,看其是否复活,如果复活的话,在冰刃中单击File->Create Process Rule->Add Rule->Forbid->勾选FileName->输入可疑进程名->OK->Close然后再次结束进程即可。(中文版应该是文件,创建进程规则,添加规则,阻止,勾选文件名,输入进程名,确定,关闭)
现在,这个病毒已经不能够再次创建了,接下来要做的就是删除他的病毒文件(建议备份,防止误删系统文件)
