手动杀除病毒方法

病毒种类很多现在给大家介绍下常见类型的手工清除方法

一EXE后缀型病毒文件

这类病毒一般是以进程的方式运行，这类病毒一般是比较好被发现的。下边先说下这类病毒，是在哪里启动的。

1/注册表如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可以的程序进行删除

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServicesOnce

HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER \Software \Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\Run

HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion

Explorer/ShellFolders Startup="C:/windows/start menu/programs/startup

2/系统WIN.INI文件内在win.ini文件中，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动件。也许你会问了我是XP系统啊怎么没有这个呢？不必担心给你个正确的你参考下就知道有没有可疑程序了。下边就是正常的WIN.INI(XP)

; for 16-bit app support

[fonts]

[extensions]

[mci extensions]

[files]

[Mail]

MAPI=1

CMCDLLNAME32=mapi32.dll

CMCDLLNAME=mapi.dll

CMC=1

MAPIX=1

MAPIXVER=1.0.0.1

OLEMessaging=1

[MCI Extensions.BAK]

aif=MPEGVideo

aifc=MPEGVideo

aiff=MPEGVideo

asf=MPEGVideo2

asx=MPEGVideo2

au=MPEGVideo

m1v=MPEGVideo

m3u=MPEGVideo2

mp2=MPEGVideo

mp2v=MPEGVideo

mp3=MPEGVideo2

mpa=MPEGVideo

mpe=MPEGVideo

mpeg=MPEGVideo

mpg=MPEGVideo

mpv2=MPEGVideo

snd=MPEGVideo

wax=MPEGVideo2

wm=MPEGVideo2

wma=MPEGVideo2

wmv=MPEGVideo2

wmx=MPEGVideo2

wvx=MPEGVideo2

wpl=MPEGVideo

3/SYSTEM.INI文件中在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。又会有人问了我是XP系统怎么又不一样呢？在给你个正常的XP系统的SYSTEM.INI请大家可以参考下正常的SYSTEM.INI文件

; for 16-bit app support

[drivers]

wave=mmdrv.dll

timer=timer.drv

[mci]

[driver32]

[386enh]

woafont=app936.FON

EGA80WOA.FON=EGA80WOA.FON

EGA40WOA.FON=EGA40WOA.FON

CGA80WOA.FON=CGA80WOA.FON

CGA40WOA.FON=CGA40WOA.FON

4/在config.sys内这类加载方式比较少见,但是并不是没有,如果上述方法都找不到的话,请来这里也许会有收获的。

5/在autuexec.bat内这类加载方式也是比较少见,建议跟config.sys方法一样。

4 和

5 的加载方式建议大家先必须确定计算机有病毒后在并且上边的方法都找不到后，最后来这里进行查找。

总结：这类病毒是比较容易暴露的，建议手动删除时最好进入安全模式下，因为安全模式只运行WINDOWS必备的系统进程，EXE型病毒很容易暴露出来的，下边附上一张WINDOWS安全模式的必须进程表

smss.exe Session Manager

csrss.exe 子系统服务器进程

winlogon.exe 管理用户登录

services.exe 包含很多系统服务

lsass.exe 管理IP 安全策略以及启动ISAKMP/Oakley (IKE) 和IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) ->netlogon

svchost.exe 包含很多系统服务!!!->eventsystem,(SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)

explorer.exe 资源管理器(internat.exe 托盘区的拼音图标)

system

System Idle Process 这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器时间

taskmagr.exe 就是任务管理器了

二DLL型后缀病毒

这类病毒大多是后门病毒，这类病毒一般不会把自己暴露在进程中的，所以说特别隐蔽，比较不好发现。启动DLL后门的载体EXE是不可缺少的，也是非常重要的，它被称为：Loader。如果没有Loader，那DLL后门如何启动呢？因此，一个好的DLL后门会尽力保护自己的Loader不被查杀。Loader的方式有很多，可以是为我们的DLL后门而专门编写的一个EXE文件；也可以是系统自带的Rundll32.exe和Svchost.exe，即使停止了Rundll32.exe 和Svchost.exeDLL后门的主体还是存在的。现在大家也许对DLL有了个初步的了解了，但是不是后缀是DLL就是病毒哦，也不要因为系统有过多的Rundll32.exe和Svchost.exe进程而担心，因为他们不一定就是病毒，所以说这个病毒比较隐蔽，下边来介绍几种判别办法：

1/Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentV ersion\Svchost”每个键值表示一个独立的Svchost.exe组。微软还为我们提供了一种察看系统正在运行在