多年总结手动杀毒办法

huxiqiuzhen

手动清除病毒的方法          作者 老乡

----------------------------------  我的网站   http://www.dyfanyi.cn

此方法为中毒之后最好的解决办法，请在使用了本方法后，尽快安装和升级您的杀毒软件。
1、参考资料：
   病毒特征：
     A、随操作系统一起启动
     B、无法在任务管理器里结束掉
     C、耗用内存在30M以内，但耗用CPU资源相当大
     D、自我复制和掩饰性
   弱点：因为是随操作系统一起启动，所以当换另一个操作系统后，它就不会自己自动启动
         但要注意，因为它具有自我复制性。如果使用一个操作系统去打开可能存在病毒的
         磁盘时，它可能被启动而感染此时这个操作系统。
   如何判断病毒源文件：
         病毒因为要自我复制和掩饰，故在任务管理器里看到的进程名不是病毒的真正文件。
      这里提一个问题：一个正常的程序，有没有必要自我隐藏？
   文件的一般属性
       A（普通属性）    S（系统属性）    H（隐藏属性）    R（只读属性）
2、相关DOS命令
   如果你要杀U盘里面的病毒，你可直接在WINDOWS下点击开始菜单，点击“运行”，输入：
   win98\winme 中输入  command
   winnt\win2000\winxp\win2003 中输入 cmd
   
   *注意，在进行这些操作时，不要打开我的电脑，然后打开U盘，因为如果这样的话，你就
   完了，"毒发攻芯"
   当你输了命令之后，屏幕上会出现一个DOS命令窗口，在此其中输入你U盘的盘符。
   比如说
   c:\>f:   (如果你的U盘是F盘，就输入F：    如果是G盘，就输入G：   如何得知U盘盘符
           是多少，我不用多讲，如果这都不会，这篇文章到此结束）
   
   然后打回车
   再输入  attrib
   当输完之后，如果显示  没有找到文件  和   没有发现  有  S H R 这三个字母中的任意
   一个时，你就发了。表示没有毒。
   比如说输入attrib  之后显示以下列表

   A              ABC.exe
   A  S           MMM.exe
      S H         PPP.exe
   A  S H R       UUU.exe
        H R       III.exe
          R       TTT.inf
  这样看来，只有ABC.exe可能是安全的，而且有99%的可能是安全的；
  但  MMM.exe     PPP.exe     UUU.exe   III.exe   TTT.exe   都是有问题的。
  此时最好请U盘的上位使用者或其主人确认，是否是他（她）复制的这几个文件，如果他（她）
  自己不知道U盘里有这些文件存在，嗯，那这几个文件，就肯定有问题了。
  同样在DOS命令下输入  attrib 这个命令，不过要加上参数。
  就命刚才那几个文件为例。
  attrib -s mmm.exe
  attrib -s -h ppp.exe
  attrib -s -h -r uuu.exe
  attrib -h -r iii.exe
  attrib -r ttt.inf
  当这五条命令一输后，这些文件就该轮到被删除的地步啦，
  del mmm.exe
  del ppp.exe
  del uuu.exe
  del iii.exe
  del ttt.inf
  哈哈哈，大功告成，病毒就从你的U盘中消失了。

然后我们再来讲讲如何删除系统内的病毒。
准备工作：
   1、Win98 安装启动光盘一张（能启动到纯DOS下的就行啦）
   2、在Windows 下找几个文件名。
详解：
   为什么要找几个文件名，又找什么文件名呢？
   因为病毒具备自我复制性，病毒通常会将自己放在电脑的所有硬盘分区里面。
   比如说，你电脑分了四个区，C盘  D盘  E盘  F盘   可能还会有一个光驱 G盘。
   病毒为防止你重装系统而让自己的主导权丢失，会将自己复制到其它硬盘里面，这样
   就算你重装系统，只要你双击其它盘符，病毒一样会自动重启。结果是刚装的操作系
   统又被感染上了。
   所以，你在windows下，进行DOS命令  （输 command  或  cmd ）
   在C盘中使用 attrib     在D盘中使用 attrib   在E盘中使用 attrib ........
   所得到的带有 S H R 属性的文件记录下来，看看这几个盘中共有的几个文件。
   然后使用  msconfig   (同样在开始菜单下的运行里输入）
   看看   启动   选项卡里面列表里有没有刚才那几个文件名的存在。
   如果有，记录下它们的位置。
   
   当然，有的病毒可能已厉害到不能让你打开 msconfig  那你就只有用 win98 启动光盘
   到DOS下查看注册表喽。
   命令如下：
   regedit 键位名  >  1.txt    由于所要查看信息可能很多，所以导入到一个文本文件中。
   type 1.txt                  查看刚才生成的这个文件
   ***键位名***  参看本文最后部分

   通过这个方法，你可以查看到病毒文件藏在windows的哪个地方了。
   通常地点在：  c:\windows\  （也有可能在  c:\winnt\  这看你安装操作系统时的定义）
                 c:\windows\system
                 c:\windows\system32
   这三个地方
   你使用  attrib 对这三个地方进行一一查看。
   如果在这三个地方也查看到了刚才你记录下的那些文件名的话。

   就用  attrib 删除它们的  S H R  属性。
   再用 del 删除它们。
   再使用这两个命令，将你的其它盘下的这些也删掉。

   至此，你就成功了一半了。
   然后取出你的  win98  启动光盘，重启你的电脑，由DOS状态，变为 windows 状态。
   进入windows 状态之后，不要打开任何盘符。
   在开始菜单下的运行里输入   regedit
   在弹出的新窗口中双击：我的电脑
   
   再点击  编辑菜单下的   查找
   输入你刚才记录下来的，疑似病毒的文件名      并回车。
   程序会找你刚才输的信息，也会在找到一个时停下来，此时就按键盘上的  Delete 键
   程序会请求你的确认，当你确认后再按  F3   如此重复，至到它查找完为止。
   然后你再点击编辑菜单下的   查找
   再输入另外的文件名（病毒通常不可能只有一个文件）
   再次查找，并删除  直到删完为止。



   如果这一切你都做完了。那么在些祝贺你，你成功了

   *********本文最后部份**********

　　一、Load注册键
　　介绍该注册键的资料不多，实际上它也能够自动启动程序。位置:HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load。
　　二、Userinit注册键
　　位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe。这个键允许指定用逗号分隔的多个程序，例如“userinit.exe,OSA.exe”(不含引号)。
　　三、Explorer\Run注册键
　　和load、Userinit不同，Explorer\Run键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有，具体位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run。
　　四、RunServicesOnce注册键
　　RunServicesOnce注册键用来启动服务程序，启动时间在用户登录之前，而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce。
　　五、RunServices注册键
　　RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行，但两者都在用户登录之前。RunServices的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunServices，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices。
　　六、RunOnce\Setup注册键
　　RunOnce\Setup指定了用户登录之后运行的程序，它的位置是:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup。
　　七、RunOnce注册键
　　安装程序通常用RunOnce键自动运行程序，它的位置在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序，运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP，你还需要检查一下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx。
　　八、Run注册键
　　Run是自动运行程序最常用的注册键，位置在:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行，但两者都在处理“启动”文件夹之前。
　　汇总如下:

    ************下面每一行都是病毒可能利用的键位名*************
　　HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\Setup
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

资料来源 http://dyfanyi.bokee.com/viewdiary.16144150.html

[ 本帖最后由 huxiqiuzhen 于 2007-12-21 14:25 编辑 ]

huxiqiuzhen

attrib是dos下设置文件属性的命令：
具体解释如下：  + 设置属性。   - 清除属性。

huxiqiuzhen

如何在XP的DOS下输入汉字？

先打开命令提示符窗口，然后用鼠标左键点通知区域的输入法图表，选择合适的中文输入法。
命令提示符窗口左下角有提示的．

[ 本帖最后由 huxiqiuzhen 于 2007-12-21 16:26 编辑 ]

huxiqiuzhen

刚才试用了一下原作者的提供的怎么＂杀U盘里面的病毒＂方法，遇到ＸＰＤＯＳ下如何输入汉字的问题，最佳答案在３楼，经过检验我的Ｕ盘没有病毒．

於陵闲云

哈哈，我的U盘每次去打印回来，都杀毒，清空所有文件！

huxiqiuzhen

还是您这样做安全啊，呵呵
可是我的Ｕ盘要保存很多文件的，有时候不可以删除．当然了我尽量不随便让他人使用，以免成了传染病毒的东东．

伊の星

开沙盘，进U盘~~

deadend1984

学习了一下  顺便问一下  如何在纯DOS的环境下  输入汉字呢

huxiqiuzhen

去百度查吧,答案不少.
欢迎把最佳答案帖这里作为补充~

荒风

把自动运行的功能禁止掉就不用怕U盘毒了。