|
殺毒軟件不是萬能的,并不能清除所有的病毒,尤其是哪些新出來的并且能阻止執行文件運行的病毒,它不但能阻止一般的執行文件運行,還能阻止并且先阻止殺毒軟件運行。盡管殺毒軟件都被阻止了運行,但不用害怕,還可以通過手動清除的方式把它徹底清除。清除方法如下:
一、確定病毒的進程 常見的系統進程有 csrss.exe,lsass.exe,explorer.exe,services.exe,svchost.exe,winlogon.exe 等。在任務欄按右鍵,選擇“任務欄管理器”或同時按下 Ctrl + Alt + Delete 組合鍵就可以打開“Windows 任務管理器”,如圖1所示:
圖 1 這么多進程,如何確定病毒的進程,尤其是有些病毒常常偽裝為系統進程?首先,看看有沒異常的進程,可通過進程后的“描述”初步確定;再看看系統進程是不是比平常多了那么一兩個,多了的就要引起注意了。下面舉例說明,如 csrss.exe 和 svchost.exe 進程,正常情況下是在 Windows\System32\ 目錄下,如果出現在 Windows 目錄下或其它目錄下,一般就是病毒。其它進程也是這樣確定,如果還不能確定就上網搜索下。 二、清除病毒 (一)結束進程。 打開“Windows 任務管理器”,在要結束進程的上面按下右鍵,選擇“結束進程”,別管提示,直接結束;若不能結束就要強制結束。 強制結束進程方法(開始——運行——輸入 cmd 回車打開命令執行窗口): 1、ntsd -c q -pn 進程名。如 ntsd -c q -pn csrss.exe 2、ntsd -c q -p PID 號。獲取 PID,“Windows 任務管理器”——“查看”——“選擇列”打開“選擇進程列”窗口,如圖2,在 PID 前單擊打上勾,確定后,進程后就會顯示該進程的 PID。
圖2 (二)刪除病毒文件。 1、刪除病毒執行文件。在病毒進程上按下右鍵,選擇“打開文件位置”,找到后把它刪除。 2、刪除病毒其它文件。病毒文件有可能在多個目錄下,有些文件不容易確定,只能按常規方法來找。 A、確定可疑文件的方法。可根據文件創建時間、文件名和文件版本確定,主要查看 exe、ddl、ini、inf、dat、cfg 文件。此外,還可根據有些目錄下只有一類文件確定,如windows/system32/drivers 目錄下是驅動文件,一般都是 *.sys,若有 exe 文件,可能是病毒。 B、查看各盤根目錄下是否有可疑文件,如 AUTORUN.INF 、_DESKTOP 和 INI 文件。若有,看看文件創建時間,確定是否是自己安裝軟件創建的,不是有可能是病毒;再看看文件名是不是糊亂的字母或數字組合,是就有可能是病毒;最后看文件版本信息是否有張冠李戴的情況。 注意:查看前要顯示所有文件(文件夾窗口——工具——文件夾選項——選中“顯示隱藏的文件和文件夾”),病毒文件常常是隱藏的。若不能選擇“顯示隱藏的文件和文件夾”,說明病毒把它屏蔽了,可以修改注冊表中如下選項: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced\Folder\ Hidden\SHOWALL,雙擊右邊 CheckedValue 鍵值,修改為1;若隱藏文件還是沒有顯示,刪掉CheckedValue,按下右鍵,選擇“新建 Dword 值”,并命名為CheckedValue,設鍵值為1。 C、查看病毒常常出現的系統目錄、軟件安裝目錄、臨時文件夾和IE緩存。 系統目錄:windows、windows/system32、windows/system32/drivers 等; 軟件安裝目錄:c:/program files/internet explorer、c:/program files/internet explorer/plugin、c:/program files/common files/miscrosoft shared 等; 臨時文件夾:c:/documents and settings/用戶名/local settings/temp 和 c:/windows/temp。 還不能確定的可以上網搜索下該病毒進程,一般都有相關說明,確定后再把它的所有文件刪除。 (三)刪除病毒在注冊表中的信息。 1、刪除病毒的執行文件 病毒在注冊表中的信息也可能有多個置,也只能先確定執行文件的位置,方法:開始——運行——輸入“regedit”——打開注冊表,注冊表編輯器——編輯——查找——打開查找窗口,如圖3:
圖3 輸入病毒執行文件名(csrss.exe)查找,直到找到病毒執行文件(鍵值中的目錄[C:\Windows\csrss.exe]與在“Windows 任務管理器”中確定的目錄[C:\Windows\csrss.exe]一致),在該文件名上按下右鍵,刪除。其它位置的查找方法下文僅簡單的列了三種,具體請看《病毒隱藏在注冊表中的位置總結》一文。 2、檢查 Run 啟動項。常見的啟動項如下: A、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run B、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce C、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run D、HKCU\Software\Microsoft\Windows\CurrentVersion\Run E、HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce F、HKCU\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run 確定以上這些啟動項包含病毒的方法: 1)根據已確定的病毒文件確定。鍵值即為該文件的路徑。 2)只有 Run 項是有鍵值的,其它的都只有一個默認串(98除外),所以若其它項中有鍵值,就可能是病毒啟動項。 3)若鍵值是糊亂的文件名,如 1.exe;或路徑是在臨時文件夾的;也可能是病毒啟動項。 3、檢查驅動啟動項 位置:HKLM\System\CurrentControlSet\Services 這里的項比較多,可以根據 windows/system32/drivers 目錄下已確定的文件來確定。 4、檢查 Winlong 啟動項 位置:HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 主要檢查 Userinit、Shell、Notify,看看鍵值是否有異常。 三、重啟計算機,病毒清除。 |
|
|
