巧用记事本让病毒白白运行

手工清理病毒原来可以如此简单今天我们以今年泛滥比较严重的病毒之一的“AV终结者”的手工清理方法来像大家讲述如何手工清理这类非感染exe文件类型的病毒（本次讲述的办法在清理完病毒源头以后借助专杀工具依然可以适用于清理感染exe类病毒）。

第一步：知己知彼，百战百胜要战胜AV终结者，我们先要了解自己的处境和它的特性还有弱点。

首先我们来了解下AV终结者的执行以后的特征：1.在多个文件夹内生成随机文件名的文件旧版本的AV终结者在任务管理器里可以查看2个随机名的进程，新的变种文件名格式发生变化，目前我遇到过2种。

一种是随机8个字母+数字.exe和随机8个字母+数字.dll；另一种是6个随机字母组成的exe文件和inf文件。

不管变种多少它们保存的路径大概都是如下几个：C:\windowsC:\windows\helpC:\Windows\TempC:\windows\system32C:\Windows\System32\driversC:\Program Files\C:\Program Files\Common Files\microsoft shared\C:\Program Files\Common Files\microsoft shared\MSInfoC:\Program Files\Internet Explorer以及IE缓存等这个是我个人总结出来的，随着病毒的变种。

获取还有其他的。

我这里只提供参考。

2.感染磁盘及U盘当你的系统中了AV终结者，你会发现你的磁盘右键打开时将出现一个”Auto”也就是自动运行的意思，此时你的电脑已经中毒了，而且如果你这个时候企图插入移动硬盘、U盘，或者刻录光盘以保存重要资料，都将被感染。

这也就为什么许多用户重装完系统甚至格式化磁盘以后病毒依然的原因。

当你重装完系统，必定会有双击打开硬盘寻找软件或者驱动的时候，这个时候寄生在你磁盘根目录内的Autorun.inf文件就起到让病毒起死回生的功能了。

网络时代可不太平，谁没有遭遇过病毒或木马？从CIH、I Love You到红色代码、Nimda，从BO到冰河，无一不是网友经常懈逅的对象。

怎么避免这些“艳遇”是广大用户孜孜以求的目标，不过，“道高一尺，魔高一丈”，“防”永远是落后的，主动消灭它们才是积极主动的。

要消灭它们，首先就要掌握病毒及木马是怎么入侵我们的"爱机"的。

有关病毒及木马的入侵招数的文章很多，但都不太全面，编者偶然间发现了一篇作者不详，但内容颇为全面的文章，特意整理出来，希望对大家有所帮助。

一、修改批处理很古老的方法，但仍有人使用。

一般通过修改下列三个文件来作案：Autoexec.bat(自动批处理，在引导系统时执行)Winstart.bat(在启动GUI图形界面环境时执行)Dosstart.bat(在进入MS-DOS方式时执行)例如：编辑C:\windows\Dosstart.bat，加入：start Notepad，当你进入“MS-DOS方式”时，就可以看到记事本被启动了。

二、修改系统配置常使用的方法，通过修改系统配置文件System.ini、Win.ini来达到自动运行的目的，涉及范围有：在Win.ini文件中：[windows]load=程序名run=程序名在System.ini文件中：[boot]shell=Explorer.exe其中修改System.ini中Shell值的情况要多一些，病毒木马通过修改这里使自己成为Shell，然后加载Explorer.exe，从而达到控制用户电脑的目的。

三、借助自动运行功能这是黑客最新研发成果，之前该方法不过被发烧的朋友用来修改硬盘的图标而已，如今它被赋予了新的意义，黑客甚至声称这是Windows的新BUG。

Windows的自动运行功能确实很烂，早年许多朋友因为自动运行的光盘中带有CIH病毒而中招，现在不少软件可以方便地禁止光盘的自动运行，但硬盘呢？其实硬盘也支持自动运行，你可尝试在D盘根目录下新建一个Autorun.inf，用记事本打开它，输入如下内容：[autorun]open=Notepad.exe保存后进入“我的电脑”，按F5键刷新一下，然后双击D盘盘符，怎么样？记事本打开了，而D盘却没有打开。

如何利用系统自带命令搞定手工杀毒如何利用系统自带命令搞定手工杀毒电脑病毒看不见，却无处不在，有时防护措施不够或者不当操作都会导致病毒入侵。

电脑用户最害怕的就是一些病毒，虽然我们的电脑上安装有各种的杀毒软件，但是也抵制不了病毒的恶性侵入，下面小编教你如何自己亲自动手来用系统自带的工具绞杀病毒，快来看看吧方法步骤一、自己动手前，切记有备无患——用T askList备份系统进程新型病毒都学会了用进程来隐藏自己，所以我们最好在系统正常的时候，备份一下电脑的进程列表，当然最好在刚进入Windows时不要运行任何程序的情况下备份，样以后感觉电脑异常的时候可以通过比较进程列表，找出可能是病毒的进程。

在命令提示符下输入：TaskList /fo:csv>g:zc.csv上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中，g:为你要保存到的盘，可以用Excel打开该文件.二、自己动手时，必须火眼金睛——用FC比较进程列表文件如果感觉电脑异常，或者知道最近有流行病毒，那么就有必要检查一下。

进入命令提示符下，输入下列命令：TaskList /fo:csv>g:yc.csv生成一个当前进程的yc.csv文件列表，然后输入：FC g:\\zccsv g:\\yc.csy回车后就可以看到前后列表文件的不同了，通过比较发现，电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。

三、进行判断时，切记证据确凿——用Netstat查看开放端口对这样的可疑进程，如何判断它是否是病毒呢?根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒，可以查看一下端口占有情况。

在命令提示符下输入：Netstat -a-n-o参数含义如下：a:显示所有与该主机建立连接的端口信息n:显示打开端口进程PID代码o：以数字格式显示地址和端口信息回车后就可以看到所有开放端口和外部连接进程，这里一个PID 为1756(以此为例)的进程最为可疑，它的状态是“ESTABLISHED”，通过任务管理器可以知道这个进程就是“Winion0n.exe”，通过查看本机运行网络程序，可以判断这是一个非法连接!连接参数含义如下：LISTENINC：表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接，只有TCP协议的服务端口才能处于LISTENINC状态。

怎么制造一个小电脑病毒推荐文章怎么做一个简易的病毒热度：与死神共舞观后感2000字热度：独自一个人的说说心情短语热度：优秀领导干部一个树牢三个看齐发言稿热度：党员领导干部一个树牢三个看齐发言稿范文热度：想捉弄一下朋友吗?下面就让店铺教大家制造一个小电脑病毒吧。

制造电脑病毒的方法创建病毒运行“记事本”。

利用“记事本”程序，您可以快速输入文本而无需设置过多格式。

单击“开始-> 所有程序 -> 附件-> 记事本”。

如果您用的是 Mac 电脑，则请使用 TextEdit。

输入一个小型批处理文件。

将以下内容复制到您的txt 文件中(删除项目符号)：@echo offecho Message here.shutdown -s -f -t 60 -c "此处键入您要显示的消息。

"单击“文件”，选择“另存为”。

为文件命名。

将文件扩展名 .txt 更改为 .bat 或 .cmd。

将保存类型“文本文档(*.txt)”更改为“所有文件”。

单击“保存”。

关闭“记事本”。

方法制作一个伪图标在桌面单击右键，移动至右键菜单中的“新建”，然后单击“快捷方式”。

在快捷方式的项目位置中，选择刚才创建的病毒文件。

单击“下一步”。

为快捷方式命名，取一个使您的捉弄对象容易上当去点击的名称。

单击“完成”。

右键单击您刚才制作的快捷方式，选择“属性”。

单击“选择图标”按钮，浏览图标列表。

选择与文件名称相匹配的图标。

单击该图标，然后点击“确定”。

注意：在 Windows 7 Pro 上无法使用此功能。

妙用“记事本”清除顽固病毒在现在这种网络环境下，电脑要不感染病毒和流氓软件可真是挺难的。

那中了病毒咋办？用杀毒软件吧。

可是有些病毒就是那么顽固，你在“任务管理器”里刚把它的进程给结束了，它又马上重新运行了，当你把病毒文件删掉，重启系统后它又死灰复燃。

这种病毒是最让人抓狂的，因为杀毒软件和流氓软件清除工具似乎对这样的病毒都毫无办法。

那么要如何对付它呢？请出我们的“大杀器”——记事本吧。

改变文件关联让病毒不再启动为什么病毒会死灰复燃，清除不掉？那是因为没有清除干净，没有删除病毒相关的启动信息，这样病毒在下次系统启动时又会运行了，周而复始，整得你精疲力荆那么有什么办法可以在未清除干净病毒的情况下让它不再自动启动呢？改变文件关联点击“开始”菜单→“运行”，输入“cmd”运行“命令提示符”，输入：“ftype exefile=notepad.exe %1”，回车就可以了。

这条命令的作用是改变exe程序的文件关联，让所有的exe可执行文件都用“记事本”程序进行打开。

这样即使我们未彻底清除病毒，当系统重启后，病毒的运行将不会再产生任何的效果，而是打开记事本程序。

小贴士：如果病毒是cmd或者vbs类型的文件，那么只需将上述命令中的“ftype exefile”改为“ftype cmdfile”和“ftype vbsfile”即可。

●修改exe程序文件关联清除顽固病毒改变文件关联后，让我们来看下效果如何吧。

重启系统，登录后我们会发现系统自动弹出了不少记事本窗口，这其中就有自动运行的病毒，只不过现在以记事本形式打开，没有任何作用了。

不过这其中也有不少正常的程序，例如系统自带的输入法程序ctfmon.exe，以及QQ.exe这样的应用程序等，我们要注意鉴别。

●病毒会以记事本形式打开在现在的系统中，病毒是没有运行的，可以说是一个纯净的系统。

这时是清除顽固病毒最好的时机，那么病毒文件在哪呢？通过记事本我们就可以把它找出来，点击病毒记事本文档菜单中的“文件“→”另存为”，这时我们就可以看见病毒所在的路径以及文件名了。

使用Windows自带的记事本编写简单代码在如今数字化的时代，编程不再是专业程序员的专属技能，普通人也可以通过简单的工具和基础的知识来体验编程的乐趣。

Windows 自带的记事本就是这样一个容易上手的工具，它虽然看似简单，但却能帮助我们编写一些简单的代码。

首先，让我们来了解一下记事本。

记事本是 Windows 操作系统中一个基本的文本编辑工具，它没有复杂的功能和花哨的界面，只有纯粹的文字编辑区域。

但这恰恰为我们编写代码提供了一个干净、简洁的环境。

当我们决定使用记事本编写代码时，第一步就是打开它。

在Windows 系统中，您可以通过点击“开始”菜单，然后在搜索框中输入“记事本”来找到并打开它。

或者，您也可以按下快捷键“Windows ＋R”，在弹出的“运行”对话框中输入“notepad”并回车。

接下来，让我们从一个简单的 HTML 代码开始入手。

HTML（超文本标记语言）是用于创建网页的基础语言。

以下是一个简单的 HTML代码示例，用于创建一个包含标题和段落的网页：｀｀｀html＜！DOCTYPE html>＜html>＜head>＜title>我的第一个网页<／title>＜／head>＜body>＜h1>这是一个标题<／h1>＜p>这是一个段落。

＜／p>＜／body>＜／html>｀｀｀在记事本中输入上述代码后，点击“文件”菜单，选择“另存为”。

在“文件名”框中，输入“my_first_webpagehtml”（注意，一定要加上“html”扩展名，否则浏览器无法正确识别它为 HTML 文件），然后选择保存类型为“所有文件”，最后选择一个您想要保存的位置，点击“保存”。

保存完成后，找到您保存的文件，双击它，它应该会在您的默认浏览器中打开，显示出您刚刚编写的网页内容，包含一个标题和一个段落。

除了 HTML，我们还可以使用记事本编写 Python 代码。

⾃⼰动⼿写病毒引：前些天学病毒这门技术着实吃了⾮常多苦头，⾛了⾮常多弯路，虽然按我的知识⽔平，病毒已经是⽔到渠成的学习内容了。

可是我如今学了⼊门才发现这门技术实际上隐藏着⾮常多⽞机，包括着很多技术，不专门学习研究根本⽆法达到“⽜”的境地上去。

如今写了这篇⽂章，介绍的都是相当有⽤的东西，能够让你少⾛很多弯路（有时侯⼀个错误够你找⼏个⼩时的）。

只是须要些基础知识才⼲看懂。

假如你有天知识储备够了。

不学学病毒将是你的遗憾。

另。

由于是写给协会会员參考的。

也没写的多“专业”，多了些赘述。

在你看之前，你应该知道这仅仅是篇能够带你⼊门的⽂章，假设你已经会了就不⽤看了。

看的时候最好准备个PE表在旁边。

写病毒程序能够使⽤⾮常多种语⾔来写⽐⽅C,汇编，甚⾄有⼈⽤Dephi这样可视化编程⼯具都能写出来。

可是最适合写病毒程序的还是汇编语⾔。

汇编语⾔底层。

灵活，速度快。

体积⼩的优势能将⼀个病毒程序发挥到极⾄，通常⼀个程序写出来才⼏千字节就包括了全部的功能。

⼀般⼀个病毒都有例如以下⼏个功能：⼀代码重定位⼆⾃⼰找到所需API地址三搜索⽂件、⽂件夹四感染⽂件五破坏系统或⽂件（随便你了）当中⼀。

⼆项功能是必要的。

五项功能是可选的。

⽽⼀个病毒程序感染⽂件的功能是它的核⼼。

是衡量它质量的重要标准。

（⼀）代码的重定位⼀个变量或函数事实上是⼀个内存地址，在编译好后。

程序中的指令通过变量或函数的内存地址再去存取他们，这个地址是个绝对地址。

假设你将代码插⼊到其它不论什么地⽅，再通过原来编译时产⽣的地址去找他们就找不到了，由于他们已经搬家了。

可是，你在敲代码时考虑到这个问题，你就能够在代码最開始，放上⼏⾏代码取得程序基地址，以后变量和函数作为偏移地址，显式的加上这个基地址就能顺利找到了，这就是重定位。

就象这段代码。

Call getbaseaddressGetbaseaddress:pop ebxSub ebx,offset getbaseaddressMov eax,dword ptr [ebx+Var1]假设你使⽤宏汇编语⾔写病毒。

亲自打造"TXT"病毒制作[本站原创]"TXT"，即大家最熟悉的纯文本格式，它是一种最基本的文本文件保存格式。

有体积小、兼容性好、无病毒等优点。

实话说树大招风，黑客们却利用人们对TXT这份信任搞起了TXT"炸弹"。

TXT炸弹其实是披着".txt"外皮的"碎片对象"(扩展名为SHS)的文件，它通过邮件附件的形式，悄悄的进入你的系统。

善良的人们以为光临的是TXT文件，没有任何的考虑便双击运行。

这时这只披着羊皮的"老狼"，却脱掉"羊皮"，露出原形，干起破坏计算机系统的勾当。

为了保护自身的安全，摸清的"对方"的底细。

今天我们向大家展示如何制作一个格式化软盘的TXT炸弹。

我们的目的在于知已知彼，百战百胜。

实战"TXT"病毒步骤1 打开记事本，创建一个只包含一个空格(为了减小文件体积)的文本文件，任意取名。

步骤2 打开写字板，将此文件拖放入记事本。

也可以单击记事本菜单栏中的【插入】|【对象】，弹出【插入对象】对话框，选中【从文件创建】，然后单击【浏览】按钮选择要插入的文件（如图1）。

图1 插入对象步骤3 选中该插入对象的图标，选择菜单栏中的【编辑】|【包对象】|【编辑包】(如图2)。

图2添加图标在弹出的【对象包装程序】对话框中，选择菜单栏中的【编辑】|【命令行】，然后输入如下命令： a: /autotest，单击【确定】，此时，内容栏中会显示出命令内容（如图3）。

图3 添加命令步骤4 单击外观栏中的【插入图标】按钮，会弹出一个警告对话框，确认，然后任选一个图标（如图4）。

图4 选取图标步骤5 选择菜单栏中的【编辑】|【卷标】，为此嵌入对象取一个名称(会替换原来的文件名称)（如图5）。

单击【文件】菜单中的【更新】，然后关闭此对话框。

u盘中病毒隐藏文件夹如何是好
u盘中病毒后将文件夹隐藏了，此时重要文件都会找不到，u盘文件夹被隐藏就会给用户带来很大的烦恼。

那么u盘中病毒隐藏文件夹怎么解决呢？来看看下列的解决方法吧。

1、按快捷组合键win+r打开运行窗口，输入notepad字符，点击确定按钮，如图：
2、在弹出的记事本中，将下列的代码复制进去，格式也要一样，如图：
for/f"delims=?"%%a in('dir/a/b')do attrib-a-s-h-r"%%a"
@echo off
pause>nul
exit
3、接着将这个记事本另存为“病毒隐藏文件夹.cmd”，保存类型为所有文件，点击保存按钮，如图：
4、然后将桌面上的“病毒隐藏文件夹.cmd”文件拷贝到u盘中，并且双击打开它，如图：
5、打开cmd文件后，程序会对u盘执行attrib命令操作，这样所有被病毒隐藏的文件夹就恢复了。

如图：
上述方法可以解决u盘文件夹被隐藏问题，但是建议用户谨慎使用u盘，尽量不要用u盘去操作危险的、不信任的操作。

文章来源：u启动官网。

木马病毒是什么怎么手工清除木马病毒手工清除木马病毒具体方法如下：提示：以下修改注册表等相关操作具备风险，请慎重操作。

1.清除每次开机时自动弹出的网页其实清除每次开机时自动弹出的网页方法并不难，只要你记住地址栏里出现的网址，然后打开注册表编辑器(方法是在点击开始菜单，之后点击运行，在运行框中输入regedit 命令进入注册表编辑器)，分别定位到：HKEY_CURRENT_USER/Software/Microsoft/Windows/Curre ntVersion/Run和HKEY_CURRENT_USER/Software/Microsoft/Windows/Curre ntVersion/Runonce下，看看在该子项下是否有一个以这个网址为值的值项，如果有的话，就将其删除，之后重新启动计算机。

这样在下一次开机的时候就不再会有网页弹出来了。

不过网页恶意代码的编写者有时也是非常的狡猾，他会在注册表的不同键值中多处设有这个值项，这样上面提的方法也未必能完全解决问题。

遇到这种情况，你可以在注册表编辑器的选项菜单里选择编辑查找，在查找对话框内输入开机时自动打开的网址，然后点击查找下一个，将查找到的值项删除。

2.IE标题栏被修改具体说来受到更改的注册表项目为：HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/Window TitleHKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main/Window Title解决办法：①在Windows启动后，点击开始运行菜单项，在打开栏中键入regedit，然后按确定键;②展开注册表到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main下，在右半部分窗口中找到串值Window Title ，将该串值删除即可，或将Window Title的键值改为IE 浏览器等个人喜欢的名字;③同理，展开注册表到HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main然后按②中所述方法处理。

自制记事本杀毒软件一.清理垃圾在Windows在安装和使用过程中都会产生相当多的垃圾文件，包括临时文件（如：*.tmp、*._mp）日志文件（*.log）、临时帮助文件（*.gid）、磁盘检查文件（*.chk）、临时备份文件（如：*.old、*.bak）以及其他临时文件。

特别是如果一段时间不清理IE的临时文件夹“Temporary Internet Files”，其中的缓存文件有时会占用上百MB的磁盘空间。

这些LJ文件不仅仅浪费了宝贵的磁盘空间，严重时还会使系统运行慢如蜗牛。

这点相信你肯定忍受不了吧！所以应及时清理系统的LJ文件的淤塞，保持系统的“苗条”身材，轻松流畅上网！朋友来吧，现在就让我们一起来快速清除系统垃圾吧！！下面是步骤很简单就两步！在电脑屏幕的左下角按“开始→程序→附件→记事本”，把下面的文字复制进去（黑色部分），点“另存为”，路径选“桌面”，保存类型为“所有文件”，文件名为“清除系统LJ.bat”，就完成了。

记住后缀名一定要是.bat，ok！你的垃圾清除器就这样制作成功了！双击它就能很快地清理垃圾文件，大约一分钟不到。

======就是下面的文字(这行不用复制)=============================@echo offecho 正在清除系统垃圾文件，请稍等......del /f /s /q %systemdrive%\*.tmpdel /f /s /q %systemdrive%\*._mpdel /f /s /q %systemdrive%\*.logdel /f /s /q %systemdrive%\*.giddel /f /s /q %systemdrive%\*.chkdel /f /s /q %systemdrive%\*.olddel /f /s /q %systemdrive%\recycled\*.*del /f /s /q %windir%\*.bakdel /f /s /q %windir%\prefetch\*.*rd /s /q %windir%\temp md %windir%\tempdel /f /q %userprofile%\cookies\*.*del /f /q %userprofile%\recent\*.*del /f /s /q "%userprofile%\Local Settings\Temporary Internet Files\*.*"del /f /s /q "%userprofile%\Local Settings\Temp\*.*"del /f /s /q "%userprofile%\recent\*.*"echo 清除系统LJ完成！echo. pause=====到这里为止(这行不用复制)======================================= =======以后只要双击运行该文件，当屏幕提示“清除系统LJ完成！二,优化开机方法基本同第一,在电脑屏幕的左下角按“开始→程序→附件→记事本”，把下面的文字复制进去（黑色部分），点“另存为”，路径选“桌面”，保存类型为“所有文件”，文件名为“优化开机.bat”，就完成了。

记事本使用技巧记事本使用技巧 (1)1、让记事本自动记录上次打开的时间 (1)2、利用记事本浏览网页特效 (1)3、利用记事本过滤非文本信息 (1)4、批处理 (2)5、页面设置自动保存 (3)6、批量重命名 (4)7、让你的硬盘弄个漂亮的背景 (6)1、让记事本自动记录上次打开的时间方法：在记事本的第一行写上“.LOG”（不包括引号并且为大写字母，注意前面有个点），这样今后打开记事本文件就知道上次最后的打开时间了。

2、利用记事本浏览网页特效做网页的朋友一定会经常测试一些网页特效，反正做博客我就是经常测试一些好玩的代码，每次打开一些网页编辑器或者软件实在麻烦（速度实在是慢！），其实利用记事本就可以轻松完成，而且记事本的速度可是超快。

方法：将想要测试的网页代码粘贴到记事本，选择“文件”--“另存为”，文件名选择英文或者英文+数字的形式，后缀为.html，比如haha.html,然后打开IE浏览器选择“文件”--“打开”，找到刚才的haha.html文件并且打开，这样就可以在浏览器中预览网页效果了。

3、利用记事本过滤非文本信息记事本只能记录纯文本，利用这点我们可以将网上复制来的东西（可能包括文本，图片，表格等等）中的非文本信息滤除掉，而使用Word会发现什么表格，人工分行符，段落格式标记等等一系列的琐碎问题非常多，手工删除又特别麻烦。

如果只是想复制文本，那么可以先将网页中的内容复制到记事本中以过滤图片等多余信息，然后再从记事本将文本复制到WORD做进一步的编辑，这样就可以获得真正纯净的纯文本了。

4、批处理这应该是记事本最常用的方式了，批量处理自然能省去好多宝贵的时间以及烦琐的过程。

就比如复制文件，从E盘上复制1G的电影到D盘，为这我亲自测试过了，如果还是在E盘和D盘之间使用“复制-粘贴”等老掉牙的方式，需要3分30秒，而如果利用记事本，在记事本中编辑：“copy e：\电影d：”然后另存为诸如copy.bat的文件形式，只要后缀名为.bat就可以了，然后运行该文件进行批处理，复制相同的1G电影需时只要1分20秒，节约了大半时间，由此可见其效率之高。

剑出偏锋，记事本也能杀病毒本文可以学到 1 杀软不能运行如何杀毒 2 记事本的另类用法本文推荐阅读今年网络病毒木马活动异常频繁，而反病毒、反黑客软件的反应速度却远没有这些木马出现的速度快，通常情况下都是木马已经悄悄地出现许久，安全厂商才会有反应，如果在这段时间你中了木马又该怎样清除呢？如果自己懂得手工查杀木马的方法，就可以应付自如了。

之前CFan一直在为大家提供各种手工查杀病毒的方法和案例，今天为大家提炼一下。

手工查杀病毒木马的重点案例★2006年上半年手工杀毒完全版：2006年第16期和第17期《将病毒赶尽杀绝！手工肃清2006年上半年十大病毒（上）（下）》。

★铲除恶霸AV终结者：请看2007年15期《以彼之道还施彼身――终结AV终结者》对付毒瘤熊猫烧香：请看2007年第4期《不用烧香拜佛自己动手消灭“熊猫烧香”》、2007年第8期《手刃熊猫烧香不留情》。

★搞定全部Autorun.inf类病毒：2006年第23期《解救U 盘 Autorun.inf危情》、2007年第7期《妙用Autorun.inf 让“闪存盘”远离自动运行》★2007年第5期特别话题《一本人人都能看懂的杀毒杂志》你能学到很多针对流行病毒的手工杀法。

独特的手工查杀法★组策略杀毒：2007年第10期《杀软无奈时组策略便是最强的“杀毒软件”》★利用Windows用户权限杀毒：2007年第1期《从源头入手另类绝招让你无惧病毒》★2007年第7期《以身试毒打造自己的病毒实验室研究病毒》我们可以了解到木马潜入系统的全过程以及反过来就可以轻易将它们请出去的方法。

★2007年第15期上《按图索骥查杀顽固病毒》一文为大家设计了一套手工清除病毒木马的通用流程，用图解方式解说，大家很容易理解。

★2006年第15期《用IceSword的火眼金睛识别隐秘木马》大家可以学到IceSword杀木马的基本用法。

面对病毒，在杀毒软件都束手无策的情况下，除了绝望我们还能怎样？不如抄起记事本跟它拼了。

木马病毒在windows系统中的几种启动方式如果你的电脑中一种新型的木马病毒你能怎么办？特别是一些未知类型的木马病毒，使用一般的杀毒软件或防木马软件是很难将其根除的，这时候我们就需要手动来清除这些病毒文件了。

其实我们只要能破坏这些病毒的启动条件，就可以达到清除病毒的目的，为此，就本人在这方面的一些经验提供给大家，以供参考。

病毒的启动主要分为3类，分别是：一、随windows系统启动，二、映像劫持启动，三、捆绑和嵌入正常程序中启动。

下面我们主要就第一和第二点进行详细介绍。

第一部分：Windows自启动程序一、经典的启动——“启动”文件夹单击“开始→程序”，你会发现一个“启动”菜单，这就是最经典的Windows启动位置，右击“启动”菜单选择“打开”即可将其打开，如所示，其中的程序和快捷方式都会在系统启动时自动运行。

最常见的启动位置如下：当前用户：所有用户：二、有名的启动——注册表启动项注册表是启动程序藏身之处最多的地方，主要有以下几项：1.Run键Run键是病毒最青睐的自启动之所，该键位置是[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Run]和[HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run]，其下的所有程序在每次启动登录时都会按顺序自动执行。

还有一个不被注意的Run键，位于注册表[HKEY_CURRENT_USER\Software \Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]和[HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersionPolicies\Explorer\Run]，也要仔细查看。

2.RunOnce键RunOnce位于[HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\ RunOnce][HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\RunOnce]键，与Run 不同的是，RunOnce下的程序仅会被自动执行一次。

记事本也能清病毒
刘景云
【期刊名称】《网络运维与管理》
【年(卷),期】2013(000)015
【摘要】提起记事本程序，很多人都觉得它是一个无足轻重的小角色，但在遇到会采用多进程守护的病毒，在杀毒软件无法应对时，记事本其实也可以帮助我们徒手清除病毒。

【总页数】2页(P102-103)
【作者】刘景云
【作者单位】河南
【正文语种】中文
【中图分类】TP311.56
【相关文献】
1.用记事本消灭病毒木马
2.巧用"记事本"让病毒白白运行
3.中药热毒清抗单纯疱疹病毒、巨细胞病毒、柯萨奇病毒的实验研究
4.巧用记事本终结顽固病毒
5.二根清肺饮加减联合痰热清注射液治疗甲型H1N1流感病毒性肺炎50例
因版权原因，仅展示原文概要，查看原文内容请购买。

所有U盘染病毒，文件变成.exe执行文件，并且不能取消隐藏的朋友们，速速分享我这个日志，简单快速。

方法一：1：下载360安全卫士，这个一般电脑上都有吧，或者别的杀毒软件都OK。

（推荐360是因为它比较小，下的方便，还不用掏钱。

）2：用杀毒东西把U盘先杀毒，除去.exe那些执行病毒3：打开记事本然后输入Windows Registry Editor Version5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Explorer\Advanced\Folder\Hidden\SHOWALL]"CheckedValue"=dword:000000 01然后保存，再把记事本重命名为显示被隐藏的文件.REG，然后运行。

4：打开记事本然后输入for /f "delims=" %%iin ('dir /ah /s/b') do attrib "%%i" -s -h然后保存，再把记事本重命名为取消隐藏文件.bat，然后把它放在U盘根目录，也就是一打开U盘的那个目录，再运行。

等几秒钟它才开始取消隐藏文件，然后就OK啦~~~~为了让你U盘不再受这个破病毒侵害，要分享噢~~再发个相对简单的方法，而且更有效方法二：中了这个病毒不要随便格式化，没有必要，给个网址/这个是USB Cleaner的官方网站，下载USBCleaner6.0，打开USBCleaner，找到“检测移动盘”，进去运行“检测U盘”“恢复被病毒恶意隐藏文件”“强制去除文件夹目录系统隐藏属性”，就OK啦！那些被病毒强制隐藏掉的文件就出来了，至于那些.exe的东东，我直接删掉，发现没什么问题！！！一点小小的心得，说出来大家分享一下，下次有朋友中这种毒不要担心，资料不会丢失的！！！！！PS:建议大家在查杀掉U盘病毒后对电脑用杀毒软件（推荐卡巴斯基）进行全面查毒，这样才能从根本上查杀掉病毒在电脑上的源程序和副本。