手工杀毒

系统安全，方法有很多：影子系统、虚拟机、沙箱...但很多时候真的没有必要。

保持良好的上网习惯和用机习惯，做好适当的备份就可以了。

所以这里不讨论那些虚拟技术，主要是真实系统中的一些问题。

虽然谈的是手工杀毒，但还是要列举一下平常会用到的可能有关的一些东西：
——360，卡卡，超级兔子，window清理助手，超级巡警，黄山IE修复，恶意软件清理助手......虽然并不讨论，但是这些日常所用到过的东西很有帮助。

对于杀毒软件的优劣没什么多评判的，主流我几乎都算是用过一遍了，也只是觉得各有所长。

对于防御，最重要的无非还是补丁和好的习惯，手工只是辅助，杀毒软件仍然只是辅助吧。

下面是一般处理的方式（一层进一层地处理）：
安全模式下全盘查杀。

将硬盘挂接到其它机器上全盘查杀。

重装系统后，仅操作桌面的情况下，安装杀毒软件全盘查杀。

依靠杀毒软件是对的，因为手工来杀意味着麻烦和很可能的失败，但是完全交给杀毒软件也不妥当。

在病毒成功干扰杀毒软件之后，我们就要手工尽可能去排除干扰。

一旦病毒进来了，难说病毒不会把杀毒软件先干掉。

即使不用，了解下也没有坏处。

进入手工杀毒的主题：
当中毒之后，第一步，就是断网，并且千万不能系统重启(即使重启也不要正常重启)。

中毒后的症状现在也出奇的有一致性，干扰如360这类安全工具，禁用任务管理器等等。

平时多注意任务管理器多注意进程，熟悉系统盘里的文件，以及文件的修改时间，会为手工杀毒带来方便，第一时间知道中毒，第一时间划定可疑范围。

在杀毒里最开始也是最重要的一步，就是干掉病毒的进程。

这就涉及到很多工具。

没有这些工具，手工杀毒根本无从谈起。

首先是我们平时用的最多的任务管理器。

用Ctrl+Shift+ESC调出(似乎平时人们都更喜欢Ctrl+Alt+Delete)。

最大的缺点是不能同时结束两个以上的进程，而且可以说一直是病毒的首要目标，功能比较鸡肋。

但是通常可以是一个信号灯，一旦其失效，就要考虑是不是中毒了~
我强烈推荐Sysinternals的Process Explorer和Process Monitor，因为这两个软件实在是太好了。

自从Winternals被微软收购后，Sysinternals也被并入微软名下，所以其工具对于windows系统的支持非常好。

Process Explorer可以完全取代系统自带的鸡肋般的taskmanager，提供的功能之强，使得这款软件历经多年仍然难有出其右者。

对于进程信息的提供真是应有尽有了，详细而透彻。

虽然近一年时间似乎也逐渐成为病毒屏蔽目标之一，但是强大功能和实用性，我一直无法放弃使用。

按Ctrl+H,还可以切换到Handler视图进行更加高级的操作。

早些时候使用process explorer可以说是百试百灵的，可以逃脱的病毒并不多，现在情况就差很多了。

下面是我以前碰到的一个例子:U盘上总是会被写上一个文件，文件大小是655k，删除之后过会又会重建。

在任务管理器中看不出什么问题，但是在process explorer 下却是一目了然。

有一个进程作为用户进程居然没有父进程，看其行为，居然每隔一定时间就有一次IO操作，大小刚好也是655k。

于是找到位置，删除之。

同时用Process Monitor 追踪了一下找到其他一些文件删除，系统恢复。

可以说杀的并不完整，但是病毒已经无效化了。

Process Monitor实际上是对进程的文件系统和注册表调用的监视。

对于特定进程可以完全跟踪文件读写和注册表的读写，这对于排查病毒极为有用。

同时也提供了一个进程查看器，其虽然不如专门的进程查看器process explorer强大，却也十分实用，特别是存活时间可以说是一目了然。

在熊猫烧香肆虐的时候，可以说是IceSword大显神威的时候。

对于这款软件就不多说了，到了1.22后软件作者就没有再更新了，功能之强大也是沿用至今的利器。

但是我一直是用不好的，因为自从用起Sysinternals的工具后，用冰刃的时候就少了很多。

强大的工具，要小心使用，不然会危及系统。

也许以上我都是在介绍软件，但是事实就是这样。

我们必须借助软件工具找到病毒进程，找到病毒位置。

其实很有意思，杀毒的大部分时间都是花在寻找病毒之上的，不论是杀毒软件，还是手工处理。

很多时候也许没有这么多工具可用，那么就只能考虑CMD了。

运行中输入cmd进入命令行，命令tasklist可以显示当前进程信息，而命令taskkill则可以杀掉指定PID的进程。

详细的可以键入tasklist /?看帮助，说明和用法都很详细。

另外记得还有个tskill，和一个ntsd，记不怎么清楚了，我不常用。

常常还用一些辅助软件，因为觉得很多时候工具都是不够用的。

比如一个网络工具——Tcpview，可以查看网络信息和链接，这对于系统诊断也是相当有效。

看看哪个进程在做坏事吧，这个工具总是可以给我带来惊喜，尽管它不仅仅可以用于查毒。

与之对应的是，CMD也是又命令可以达到类似效果的，但是比较麻烦。

命令netstat，并配合其参数也可以有比较好的效果。

对于这些工具，用着用着就会上手的。

即使不精通的话，时间长了观察熟了抓毒就越快越准了。

所以我不打算再讲简单用法了，使用这些工具仅仅只需要一些计算机的知识，或者说想要做高级一点的操作，需要的是编程方面的储备，特别是操作系统那一块。

病毒侵入计算机后，通常都会实现自启动。

找到并清除其自启动项将极大的限制其危害。

通常最简单的方法是系统自带的“系统配置实用程序”。

在运行里输入msconfig回车，在启动标签里，显示了一部分的系统启动项目，通过简单的勾选可以选择要启动的项目。

然而对于系统本身来说，这里没有一个启动项是必须的，可以全部去掉也没什么关系。

通常的做法是保留ctfmon(系统输入法)，选择保留其他的自己的程序。

更加多的启动项就要到注册表里寻找了。

运行regedit启动注册表编辑器，查找定位到一些启动位置看看是否又异常。

以比较常见的位置来说，
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion下的Run、RunOnce、RunOnceEx、RunOnceSetup、RunServices、RunServicesOnce以及HKEY_CURRENT_USER分支下对应的这些位置，都可以被利用，其中又尤以Run下的改动最为常见。

事实上msconfig 所列出的也就是注册表里的东西。

另外还有
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun及HKEY_CURRENT_USER对应位置等，网上搜索应可以找到一些更加偏的位置，虽然同样可以利用，但是通常比较少见。

而对于“C:Documents and Settings用户名开始菜单程序启动”里的所有快捷方式，系统会自动启动。

这可以方便的先自己希望自启动的程序。

此位置并不常被利用，但还是要留意下。

更详细的启动项位置关系可以google下，知道了启动的顺序、作用可以更清楚地了解这个过程，在此不再复述。

对于可疑的自启动项，可以直接删除。

并且还要对注册表全面关键字搜索，直接确定的就删除，无法确定的就上网查找信息。

而在修改之前，对于犹如系统数据库般的注册表，同
样要本着备份的思想。

备份的方法是在注册表编辑器里右击要备份的分支，然后“导出”。

现在形形色色注册表备份工具，也给注册表的备份和恢复提供了便利。

运行services.msc可以启动系统服务配置。

如果病毒成功的获取了系统权限，成功的注册成了系统服务，那么这里也是不能放过的。

通常在这里优化系统的服务可以减少必要的进程从而达到优化系统的目的。

这些服务设置为自动则会在开机时自启动，设置为手动则是在必要是调用启动。

对于危险项(比如Remote Registry)则通常是禁用的。

病毒注册成服务后，有些很明显，没有描述启动位置也很可疑，有些则会伪装。

下图是我以前遇到过的一个例子，这让人想起了进程里的伪装，虽然拙劣但是用心良苦。

修改服务时，最好也做好备份，可以导出注册表对应分支
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices。

还有一个地方值得一看，那就是启动/关机脚本。

运行gpedit.msc启动组策略编辑器，在位于用户配置-Windows设置-脚本(登录/注销)位置，在这里设置的脚本将会在登录或注销自动执行。

但是很多时候处理问题并不是这么复杂，使用集成工具可以大大简化这些操作。

我用的是功能强大的Autoruns(呵呵，又是一个Sysinternals的东西)。

这个工具把系统的启动项统统笼络在一个界面里提供管理和查询，有用的描述和映像路径帮助我们找出可疑文件。

当然，工具越是强大也就越是危险，以前我还在琢磨Autoruns的使用的时候就搞的系统崩溃了，以后用的时候格外小心...
很多系统优化工具也提供启动项的管理，包括360在内的很多软件的这种功能也很好用。

但是关键之一就是中毒之后，360很多时候都不能用（当然也可以选择修360），那个时候就是有什么能用就用什么的境地了，多几种方法绝对有好处。

说完了自启动，下面就要杀毒了。

其实所谓的杀毒或者说删除是在是杀毒过程中的一小部分。

通过上面的方法——不论是在进程中还是启动项里查到或者是跟踪得到的位置信息(总之寻到蛛丝马迹是上面的主要任务)，现在就是找到那个位置，把病毒delete。

直接删除，很少可以成功，即使删除成功，病毒也大多不会终结。

无法删除，不管是由于进程没有清理完整，或者驱动级病毒的文件保护以及系统进程的注入等都会导致这种情况。

借助于Unlocker这种解除锁定的工具
再配合如文件粉碎机或者文件强行删除工具强制删除，效果较好。

同时在安全模式下操作可以保证成功率，尽管很多时候安全模式都被破坏，但是应该尽可能地使用安全模式。

实在无法解决只能诉诸于DOS，或者WinPE，系统之上的系统可以干掉所有非底层病毒。

DOS 下相对操作较为繁琐，PE系统则易用很多，许多PE系统还提供很多有用的工具。

但是关于删除，我想我还又别的思路，那就是在定位病毒文件磁盘扇区后，强制使用MHDD调硬盘直接把那个地方erase掉！对此我尝试过，但是步骤显得太繁杂，还不如纯DOS，所以只能说是一种噱头。

另一个问题是如何揪出病毒的残余？对此我个人的方法十分有限，除了盲目地跟踪加载项(很少有人对此有兴趣并且擅长)，以及没头没脑地使用各种工具寻找蛛丝马迹外，没有很好的方法。

平常还用一种手段，就是编写一小段脚本找出系统可疑的近期创建的文件。

如果是在中毒后立即发现并查杀的话，此方法尤其奏效。

但是局限于程序员和对系统环境熟悉并且敏感的人。

所以说，手工杀毒，并非是推荐方法。

最后的步骤，我想说，让杀毒软件来解决吧......虽然本文写的是手工，但是作为非专业杀毒的区区网管，我感觉自己所能做的实在是很有限的。

尽可能地阻止病毒的进程和启动，解除病毒体对于杀毒软件的干扰，我认为是作为手工杀毒的主要任务，这是由于我个人能力比较有限。

虽然已经过了牛人辈出的时代，但是牛人的数量却是惊人，如果是他们的话，一定可以妙手摘毒的吧。

本文的最后，我再写一些个人感想和建议。

感想：
重装系统作为最后的手段，效果其实最好。

如果不是有什么麻烦的情况的话，不如直接重装。

因为手工杀个把病毒的时间通常超过重装，而且面临失败的危险从而浪费了宝贵的时间（当然喜欢研究就不一样了）。

必须权衡时间上的利弊，干脆重装，然后在不点击盘符的情况下，安装杀毒软件后全盘扫描。

备份，还是备份！如果数据珍贵，千万不可偷懒。

刻盘很安全，磁盘的话也要分开放置。

所谓真正的数据备份，必然是存储介质相分离的。

建议：
及时打上所有系统必要补丁，使用FF浏览网页，并及时清理临时文件夹，将大大减少中毒几率。

平时使用时开一个低权限的用户，做什么操作使用什么权限，将大大降低中毒后的危害。

麻烦和安全通常唱反调~
保持系统精简高效的运行，将会在最快时间发现中毒症状，使破坏和感染都减到最低的同时方便查杀。

备份，再提备份！无论是windows自带的还原(虽然有点鸡肋)还是ghost的快速犀利，
甚至是动用veritas等等,总之备份是计算机使用者最好的习惯！
关于杀毒软件：
杀毒软件的备份通常可以有磁盘备份和增量备份，请经常备份杀毒软件的病毒库
通常杀毒软件可以全部复制到其它文件夹，等重装软件后在全部复制回来，是比较通用的备份方式
个人推荐avast+360的组合，理由是免费+好使......
最后，定期处理木马，为此需要有一款专门的反木马软件。

希望此出自一半吊子程序员和半吊子网管的文字，对各位有些用处。

当杀毒软件无法彻底杀毒的时候，我们不得不面对两个选择：
1. 重装系统
2. 手工杀毒
重装系统，对于大部分菜鸟来说，自然是跟天书奇谭一样，遥不可及～虽然。

其实。

真的。

它没有大家想象中的那么复杂。

但大部分人，还是希望选择后者：手工杀毒。

经常有人在QQ群上问我，想学手工杀毒，该从何入手。

鉴于这不是一句两句就能说清楚的，我就把简单的“入门”方法，写出来给大家。

对于那些希望学习手工杀毒的朋友，带你们“入门”。

一。

进行手工杀毒的前提条件
这个很重要，中毒后，在什么条件下，可以进行手动杀毒呢？很简单，一句话：不管你中的什么病毒，一定要能进入系统，才行。

系统都进不去，自然也无法手工杀毒了。

（有一个例外，我后面会说）
二。

学习手工杀毒，需要先学习的知识
1.必须事先了解Windows系统常见的进程名称，以及他们确切的位置。

不知道什么是进程？不知道具体位置？
去下载这个进程查看工
具:/html/fuzhugongju/20080314/28.html
以 windows xp系统为例，常见的进程名称包括：smss.exe;
winlogon.exe;services.exe;lsass.exe;svchost.exe;explorer.exe;alg.exe
这几个，必须死记下名称，以及相应的路径！这个没有“商量”的余地，是死知识！通过上面的任务管理器，可以直接看到这些进程的所在位置。

2.学习 IFEO 技术，以及清理方法
三.手工杀毒，需要借助的“辅助软件”
虽然说是“手工”，但也还是得依靠第三方软件的，当然，以后积累的多了，也可以做到像我这样“大胆”，直接拿肉眼，去看系统文件夹，看的多了，积累的多了。

自然能挑出病毒的。

手工杀毒，需要具备的辅助软件有：（不一定在杀毒过程中会全部用到）
1.System Repair Engineer
就是我常说的 SRE了，其常见功能，也就是做完手工杀毒的人，必须会用的功能包括：
⑴ 做系统报告
⑵ 删除服务、删除驱动程序
⑶ 修复 winsock
⑷ 删除浏览器加载项
⑸ 删除注册表启动项目
⑹ 删除多余的 HOST 项目
上述6项，是很全面的，对于不同的病毒，上述6种操作，用到的自然也不同。

有条件的话，可以进行试验，然后学习。

当然，不是让你试验病毒。

举例来说：删除服务和驱动。

不知道你的电脑里面装没装流氓软件。

嘿嘿，360可是不能彻底清除的，用360清除后，可以利用此功能，删除流氓软件，如中文上网，创建的服务（或者驱动程序）哦！
2.Xdelbox或WSYSCHECK
这个，虽然其功能是：删除“删除不了的文件”，但为了学习用，你也可以拿一些普通文件，让它来删除。

只要学会实用方法即可。

3.System Detector
这个，学会用“工具箱”－IFEO，里面的一键修复即可，其他不需要学。

4.雨林木风PE工具箱
需要学习的操作：
⑴ 额。

删除文件
⑵ 额。

复制文件
⑶ 额。

移动文件
⑷ 额。

没了
PS：PE下的操作，和xp下完全一样。

这3个，有人不会么？
四。

手工杀毒的过程
SRE做报告－精简报告，得出需要删除的项目－SRE 删除服务或驱动－Xdelbox （或者安装PE）删除文件－重启进入安全模式，SRE里删除注册表启动项目－查看服务、驱动是否已经正常删除－修复 winsock－修复host－修复IFEO－修复文件关联－收工！
上面这个过程，是手动杀毒，最完整的过程了。

根据病毒的“症状”不同，操作也自然会不同。

当然，只会比上面的过程，步骤少！
比如：有些病毒，没涉及到IFEO，那就自然不需要用 System Detector 修复了。

在最完整的过程中，重点中的重点，难点中的难点，自然还是落到了：精简报告，得出需要删除的项目，这个步骤上。

刚入门的时候，建议还是大家把报告，发到网上，QQ群，或者论坛。

找人帮忙看。

自己的首要任务，是先学会上面提到的，辅助软件的用法。

因为，只要是手工杀毒，不管你找谁帮忙，都必须借助这些工具！
五。

手工杀毒学习方法总结
第一步：死记 windows 系统常见系统进程的名称和路径
第二步：学习了解 IFEO 技术
第三步：学用辅助软件，包括：SRE，Xdelbox，System Detector，PE
第四步：拿正常的文件，试验上述软件。

如：在SRE里面，删除某个程序的注册表启动信息。

（删除后，自己还可以从软件里面，添加回来的）
第五步：学看 SRE 报告。

这步，不是必须的，根据自己的爱好了。

我想，每个人都不想一辈子求助别人帮忙吧？^_^。