手动杀毒其实很简单

bbsss

手动杀毒很简单~为什么这么说呢？？
因为手动杀毒~无非就是删除病毒文件而已~~
只要删除了基本就搞定了~~对于像熊猫烧香之类的是感染型~也就是再手动删除病毒之后~多了一步修复感染文件而已~~
所以说手动杀毒很简单~~~很简单~~

对于删除文件~可能你就要问~你怎么就知道删除那些文件呢？？
下面我就说说我的一点点体会~~
1、当你运行你的杀毒软件时~它没反应~首先肯定是中毒的~哪么它就有可能是映像劫持杀毒软件了~~
这个时候不要急~再运行冰刃~如果也是没有反应~哪么可以肯定就是映像劫持了~~因为映像劫持一般劫持的不只是杀毒软件~还有一些工具~如wsyscheck，狙剑等等。
  碰到映像劫持怎么办？？？
不用怕，映像劫持是劫持的文件名，如果文件名改变了，它就劫持失效了~~
哪么就可以将冰刃~wsyscheck，狙剑等软件改为，agag.bat，也就是格式改为bat，名字随便自己起。再运行这些工具就好了~~
对于映像劫持可以用专门映像劫持工具修复~
2、运行了这些工具后怎么办？？
这些工具是帮助我们判断那些文件是病毒的。
对于分析这些文件，我更喜欢用wsyscheck+冰刃+sreng+arswp+july
july判断进程，它的进程图很清楚，注入的dll模块也很清晰
wsyscheck很直接可以判断进程，注入的dll模块，和异常驱动，服务，并且这个工具删除文件功能没有冰刃强大，但是比冰刃方便，它的右键菜单，有卸载模块并删除文件，和卸载服务并删除文件，都是很实在的功能。当然还有很多其他的功能。比如非系统模块注入进程显示粉色和红色，文件定位等等，实在太好用了。。。。
sreng主要看启动项，用它查看启动项很方便，
冰刃用其最简单的功能，删除功能，冰刃很强大，但是右键菜单有时候不是很方便，所以病毒分析时我个人更喜欢wsyscheck。。。

对于arswp，除了能杀一些木马，流氓软件什么的~~它还可以扫描出部分被病毒替换的文件~~这个对于中像机器狗之类的病毒时，很有用~扫描一下就知道病毒把系统那个文件给替换了。。。
3、知道用这些工具了又怎样？？？
判断一个文件是否是正常的文件首先，看这个文件属性，是否有正确的信息，正常的文件是有数字签名，版本信息，公司名称等等的
而异常文件却只有常规一项~~这个就可以断定这个文件是异常的~~
还有对于驱动，服务什么的，病毒常用tmp格式文件冒充服务或者驱动（sys格式文件），只要发现服务中对应的文件是tmp格式的哪么这个一定是病毒，，，
当你发现某个进程是病毒的进程，但是删除后，还会再出现，哪么直接删除这个进程和文件是没有用的，需要删除这个病毒对应的服务驱动等等，最后再删除这个病毒进程和文件。。
4、对于注册表中，AppInit_DLLs，这项正常的值是空的~~如果出现某个dll文件那这个文件是病毒（也有个别例外的比如卡卡的iereport），~如果要修改这项值为空，单纯的从sreng中修改是不行的，修改之后还会被改回的，先删除这些dll文件才能修改~~
哪么可以根据sreng扫描的注册表路径，从路径中定位到文件而删除这些dll文件。
5、对于感染型病毒，我相信当一个感染型病毒流行时，网上关于修复这个病毒感染后的工具多的很~~~
6、安全模式下是无法运行冰刃的，wsyscheck可以运行。

sjsj861023

顶楼主说...最好有图文并茂的教程那就更好了...

iezhaoie

说的简单不过动起手来就难了

Beloved

话说，偶主机还没中过毒

所以，没机会

lm91128

我的AppInit_DLLs就不是空的。。。。但基本无异常，什么正常操作会导致applnit-dlls不为空呢？

wangwanle

云里雾里中

lima668

我的AppInit_DLLs项里有COMODO的dll文件

不错 学习下

zhuzi51880

支持楼主，学习一下还是很好滴

annybaby

楼主明显是伪高手，得罪了...

先收藏帖子了...