关于手工杀毒的一些经验和求助

冰轮

本人经常帮助亲戚朋友处理染毒的系统
在实际处理过程中，用到的
1、辅助区原创工具区的家鸽小助手，这款工具的优点在于集老牌工具的实用功能于一身，并且可以设置开机启动。我通常用到的功能是删除并覆盖文件，这点非常重要，在病毒多进程循环保护中显得非常有用。
关于这个功能，其实就是用一个同名文件夹覆盖，然后建立dos下才能删除的加点畸形文件夹。
在我实际处理U盘病毒的过程中，发现了很多病毒采用了rd命令对免疫文件夹进行删除，因此，我通常会在免疫文件夹中加入一个系统保留字文件夹，比如 com1，com2，con，prn，lpt1，aux，url，这七个系统保留字文件夹，是必须使用对应的命令进行删除的，即，在rd之前，先要对特定的保留字文件夹进行删除才能正常执行rd命令，否则会出错。
2、XUETR，这款工具我不予解释，用的人都知道。
3、超级巡警，unlocker，filemenutools这三款工具作用的是方便处理。
4、Registry Workshop这款工具用于处理注册表编辑器被屏蔽的情况，主要用来处理映像劫持，设置特定项的权限。
5、killprocess，用于根据窗口来识别病毒程序。实际用到的情况比较少。
6、压轴的东西是系统的软件限制策略，几乎无敌。
7、在处理病毒循环保护这个问题上，我一般采用的是利用文件关联的修改来达到阻止运行的目的。比如，有的病毒会改名为txt，却以二进制的形式运行于系统中，有的采用批处理，vbs，js等脚本语言来互相保护，这些都是可以用文件关联处理的例子。
在最纠结的时候，我甚至会执行这个命令    assoc .exe=txtfile，在执行这个命令之前，我通常会运行command.com，command.com这个程序不知道为什么，有的病毒能屏蔽cmd.exe，却不屏蔽command.com，不知为何，希望有高人解释下。
（关于17楼，虽然很高兴你能认同我，但是你要知道，重启进入系统以后，explorer.exe和taskmgr.exe也是用记事本打开的，你要是真的试过，就不会这么说了。
我通常都是将command.com列为自动启动项目以后才敢用这条命令，否则，不光病毒鸟了，你也鸟了。
额，我刚才试验了一下，很幸运，我自己的机器居然能启动explorer.exe，记得给我朋友处理的时候explorer也是用记事本打开的，可能是当时是他的机器受到了病毒的影响吧。）

关于在病毒处理过程中遇到的纠结情况
很多病毒采用winlogon.exe来锁定自身，这让我很纠结。这种情况是不可以直接解锁的，一旦解锁，最容易出现的情况就是无限蓝屏，让人头疼。其实这种情况用PE是可以处理的 ，但是我不能走到哪里都带着PE。
因此，在这里求助高手，如何在尽量不重启，不安全模式，不用PE，在正常系统开机状态下，处理被winlogon.exe锁定的病毒文件。winlogon.exe这个程序实在是太脆弱了。

wwdboy

感谢楼主分享

cc342

嗯，其实手动杀毒我也很喜欢…以前也是在网上找的，杀autorun病毒的，我觉得挺好的。而且杀的也很彻底！

david_ten

学习了

fake5

回复 1楼 冰轮 的帖子

带个live cd……

aa8110806

出了问题直接重装省事

fishack

学习了

素云

不错的教材，慢慢学习中……

kistor

好东西啊  必备

yu1nizai

  感谢 楼主分享  正在努力学习手杀。。。