清理病毒的终极方法

清理病毒的终极方法

【摘要】计算机病毒的泛滥与层出不穷，往往使普通用户深受其害，有时候更是束手无策，也使学生如临深渊，教材中也缺少系统的解决方案。寻找反击病毒的通用方法，尽最大可能恢复系统的正常，使普通用户也能在危机的时候凭最基本的操作能自己处理此类问题，为病毒防杀软件提供纯净平台。

【关键词】病毒可疑进程 DOS 运行权 PE系统釜底抽薪备份忠告

你已经明显的感觉到你的系统出现了问题，比如打开程序缓慢，移动鼠标困难，浏览网页不顺畅，莫明其妙的跳出些窗口，正常的程序不能运行，硬盘上出现了一些你不清楚的文件与目录，但是你却束手无策，因为你的杀毒软件已经不能正常运行，你的各种流氓软件清理工具也已经失灵，甚至你想登录到一些病毒防杀治理的网站都不可能。这个时候的病毒已经一手遮天，对它产生“危害”的程序及操作它都要想方设法阻止，它在大模大样的狞笑，怎么办？去找“高人”吗，好象也可以，但恰巧“高人”有事去了，你却心急如焚；去重装系统吗，好像绝大部分人不想这么做，恐怕你也不想这么做。怎么办？自己办！

一点预备知识。病毒本质上也是一个计算机程序，它再厉害还不能达到你对它不能进行任何操作的程度，脱离了系统环境，它的一切功能就将消失，随你来“修理”它。得不到系统的支持它没有任何威胁，只要我们不让它运行，就为我们来清理它创造了有利的条件。

病毒要挟持系统，无外乎是在杀毒软件及流氓软件清理工具掌管系统之前优先占领系统，在系统的制高点上来狙击对它自身产生“危害”的程序及操作，从而获得系统至高无上的权利，使自己随时处于保护与传播及破坏的状态。要想抢先运行，无外乎依赖系统提供的方式，都要在系统启动的时候加载自己，尽可能的利用系统存在的漏洞，既要保证系统工作又要使自己隐身其中，都要在内存及系统的关键位置留下蛛丝马迹，这就为我们消灭它提供了线索。摧毁其“政权”，支解它的体系，反其道而行之就是我们来发现它、战胜它的途径。下面我们就来见招拆招，练就清理病毒的终极方法。

第一招，抢占制高点，终止可疑进程。不要被“进程”这个专用名词吓倒，你可以简单的理解为一个在计算机中运行的程序。打开“任务管理器”，可以看到很多计算机中运行的进程，查看可疑的进程，然后终止它。

什么是可疑进程需要经验来判断，一个通用的法则就是进程的名称很奇怪或者非常简单，或者进程对应的程序体处在特别的位置，为了炼成火眼金睛，不防在平时多看看你的系统在正常情况下到底有些什么进程在运行。

要知道进程对应的程序体放在硬盘的什么位置，可以依靠其它的进程管理软件，比如冰刀进程管理器、360安全卫士、金山清理专家或者其它的专用进程管理软件来查看，特别是金山清理专家的进程管理模块还对已知的进程进行简要说明、评价，非常直观，当然也可以利用系统提供的MSCONFIG及REGEDIT这两个配置命令。打开“注册表编辑器”查看系统注册表\Run这个子键值下的内容，\Run 这个子键有多处，应进行“全字匹配”查找，总能发现一些线索。一个正常进程的程序体一般处在Windows\SYSTEM32下，或者是你安装的程序目录内，如果指向了一个莫名其妙的位置，或者更深的系统目录内，特别是指向了一个临时目录或者是隐藏目录，大致上可以怀疑为可疑的进程。不要害怕关闭了正常的系统进程，大不了系统重新启动而已。结束可疑进程后，如果幸运的话，你再去运行防杀病毒软件，如果它们能正常工作那就太好了，接下来的事你就按步就班的进行正常的病毒防杀治理，升级你安装的防杀病毒软件进行全面的杀毒处理。如果运行防杀病毒软件不成功，可以试着改变一下防杀病毒软件的主程序名称再运行，也许会有很好的效果。如果仍然不成功，多半病毒采用了“映像劫持”技术，追查劫持来源不失为较好的解决方案，但操作复杂一点，这里不作讨论。

第二招，取消病毒的优先运行权。使用第一招后往往效果不理想，因为你刚才终止的那些个可疑进程可能等不了几秒钟它们就又自动启动了，显然病毒们还采用了保护措施，有多个模块在相互帮忙，有很多暗贴、钩子，你不经意的操作就又中了招。如果能同时终止多个进程就好了，可惜“任务管理器”不支持，所以要在系统重新启动的时候取消它的优先运行权，切断系统资源对它的支持。取消病毒的优先运行权就是从系统的启动队列里将它们剔除出去，管理启动队列是系统提供的。得使用两个工具：MSCONFIG及REGEDIT(均在开始菜单的运行项里运行它们)，当然其它类似的可管理启动项的软件也行，比如前面提到的360安全卫

士、金山清理专家等等。MSCONFIG是图示化的操作，每个启动项对应的程序存放的位置也显示得很清晰，你要做的就是将启动页里的那些可疑项的小对勾去掉就行了，如果去掉有误也不必太过操心，重启后有机会来重新启用。REGEDIT则要到HKEY_LOCAL_MACHINE_SOFTWARE\Microsoft\Windows\CurrentVersion\Run这个子键里找到那些可疑的启动项，删除它们。这时一定要重新启动电脑，启动后的操作当然你也会了，安装或者使用你的病毒防杀软件，进行正常的病毒防杀治理，清理带毒的文件。

第三招，釜底抽薪。头都大了，好烦人，进行了上面的操作可那些垃圾在还欢歌，怎么回事？显然前面进行的取消优先运行权没有成功，可能你在清除，而躲在暗处的病毒却在重写，因为我们没有脱离病毒环境。

既然当前的系统带毒了，不启用它不就没事了，没办法我只好请出“DOS爷爷”或者用光碟进入迷你的PE系统。管不了那么多了，我要直接将病毒体文件干掉了。重新启动电脑，进入DOS状态（怎么进入那又是一个话题）。通过前面的操作我们基本知道病毒文件的藏身处了，进入DOS后就是要去删除它们。记住三个命令：CD、ATTRIB、DEL。CD用于切换磁盘与目录，ATTRIB用来改变文件的属性。

病毒为了保护自己往往是隐藏自己的，所以要用这个命令来清除这些文件的系统、隐藏、只读等属性，将病毒文件显影；DEL用来删除文件，它可不管被删者是不是病毒程序（所以是有危险性的），这些个命令通常都有即时的帮助，运行命令时加上/?帮助文件就出来了，虽然是英文，但简单的几句话，你当然能搞得定。好在现在很多工具光碟启动进入DOS的时候已经是中文状态了，当然就非常方便了。切换到病毒文件的藏身之处，将它们删除好了。当然用光碟进入迷你PE 系统也可以来删除它们，而且方便得多，但由于后述的原因，你操作的时候要谨慎，而且最好也将System Volume Information目录下的文件也删了。如果你的系统是双系统那这样的操作就易如反掌了。

可千万不要以为删除病毒文件就万事大吉了，在系统启动后它们相互之间有保护，在静态状态下也有可能有保护陷井，通常都是借助AUTOEXE.BAT及AUTORUN.INF文件。AUTOEXE.BAT是从DOS时代起就有的文件，系统启动的时候会自动执行里面配置的命令行；AUTORUN.INF是WINDOWS时代的产物，例如我们插