个人心得-关于手动杀毒

wzspg

个人心得-关于手动杀毒

经常看到用户说发现某某病毒或木马，杀不掉；自己也碰到过，也参考了些资料，经过自己实际操作，觉得还比较简单实用，写出来大家分享一下：

个人认为病毒无非是：病毒文件、注册表、启动项、服务四大块，既然如此，只要把这四方面都干掉了也就差不多了；
当然要借助些工具：扫描用hijackthis和SREng，强制删除有killbox、Icesword和unlocker，前提是对一些系统的正常的进程或文件能知道个大概，当然不太清楚的就百度。新形成的文件只要不是自己安装的，几乎都可以删除；
当然病毒有时会同时生成多个关联文件或注册表项，需要用病毒样本进行分析----这就不会了，可以到影子系统或虚拟机环境下进行分析，但没试过，也应该有一些可以进行比对的软件，比如对注册表和文件监控之类的，应该比较专业了吧......

建议大家还是要装个杀软，这样即便有些杀不掉的病毒木马，它在告知你病毒木马名称的同时，也会告诉你病毒木马对应的文件和路径，这样我们就好对付这些病马了：
1、删除病毒文件的注册表项目：开始--运行--regedit，打开注册表，用光标选定注册表中的“我的电脑”----这样做是为了从头到尾完整查找；菜单--编辑--查找，把病毒文件的名字复制到查找栏里搜索，找到后右键---删除，这时可以看看，有时是找到的一个项目的键值，但其实整个项目是都可以删除的（没信心可只删除有这个文件的键值或修改为空）；F3继续，直至查完删完。
2、删除文件：从硬盘上按路径删除这些病毒的文件。
3、取消启动项：hijackthis修复、msconfig取消、兔子的启动程序里删除.....都可以完成，但病毒并不都有启动项。
4、禁用或删除病毒服务：并不是所有的病毒木马都有对应的服务，有些病毒也只有服务但并没有其进程或启动（对于这种情况，其对应的文件按第一步操作），所以一定要仔细看，可通过hijackthis或SREng扫日志来看；对于明确的病毒木马服务，建议直接删除，介绍两种方法：
（1）兔子----魔法设置----启动程序---服务，找到对应的服务点右键---删除，会在下次启动时删除；
（2）SREng----启动项目---服务---win32服务应用程序，找到对应的服务---删除服务---设置----否（看清楚说明哟），下次启动删除。

对以上操作中不让删除的注册表项目或文件，一般都是dll或sys文件，都可以用IceSword对照位置删除。
因为Icesword的注册表功能没有查找功能，所以对运行regedit找到的不能删除的病毒文件项目，用Icesword的注册表功能对照那个不能删除项目的位置删除就是了-----不知说清楚没，就是regedit注册表和Icesword的注册表两个对照着删除；删除文件相对简单些，用Icesword的文件功能按照路径查找病毒文件删除就是了。
曾经看到有人说有文件就是Icesword也不能删除，如果真有这样的，可以试试金山2007文件粉碎器或文件删除终结者。
当然如果只是单独删除文件，用系统盘启动到纯dos下删除就小意思了。

不妥或遗漏之处请大家指正完善

hj1111111

顶，不错
心得体会啊
我也差不多

yourong

感谢楼主的分享，谢谢。

龙井茶

我有过在正常模式下不能用冰刃删除文件的情况，安全模式搞定了。

hnhkxywl

有的文件不但Icesword删不掉，连在DOS下也删不掉只能挂到别的主机上删除，没有一定的编程基础，很多病毒是很难清除的

stevenji2000

手工清毒很难清干净,很多是衍生病毒杀掉还会重生,建议按照创建时间查找
采用驱动级技术的病毒很难被发现和杀除,似乎除了ICESWORD也没太好的工具了
对注册表的操作需格外注意,有些依附于正常键值之上,误删恐怕要导致未知问题