電腦病毒清除軟體

　　有什麼好的呢!小編來教你!

　　：

　　一 EXE字尾型病毒檔案的手工防毒的方法教程：

　　這類病毒一般是以程序的方式執行，這類病毒一般是比較好被發現的。下邊先說下這類病毒，是在哪裡啟動的。

　　1/登錄檔 如果發現計算機有不名的程序和異常情況請在登錄檔內下列地方進行核實找住可以的程式進行刪除

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServicesOnce

　　HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_CURRENT_USER \Software \Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\Run

　　HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion

　　Explorer/ShellFolders Startup="C:/windows/start menu/programs/startup

　　2/系統WIN.INI檔案內在win.ini檔案中，“run=”和“load=”是可能載入“木馬”程式的途徑，必須仔細留心它們。一般情況下，它們的等號後面什麼都沒有，如果發現後面跟有路徑與檔名不是你熟悉的啟動檔案，你的計算機就可能中上“木馬”了。當然你也得看清楚，因為好多“木馬”，如“AOL Trojan木馬”，它把自身偽裝成command.exe檔案，如果不注意可能不會發現它不是真正的系統啟動件。也許你會問了我是XP系統啊怎麼沒有這個呢?不必擔心給你個正確的你參考下就知道有沒有可疑程式了。下邊就是正常的WIN.INI***XP***

　　; for 16-bit app support

　　[fonts]

　　[extensions]

　　[mci extensions]

　　[files]

　　[Mail]

　　MAPI=1

　　CMCDLLNAME32=mapi32.dll

　　CMCDLLNAME=mapi.dll

　　CMC=1

　　MAPIX=1

　　MAPIXVER=1.0.0.1

　　OLEMessaging=1

　　[MCI Extensions.BAK]

　　aif=MPEGVideo

　　aifc=MPEGVideo

　　aiff=MPEGVideo

　　asf=MPEGVideo2

　　asx=MPEGVideo2

　　au=MPEGVideo

　　m1v=MPEGVideo

　　m3u=MPEGVideo2

　　mp2=MPEGVideo

　　mp2v=MPEGVideo

　　mp3=MPEGVideo2

　　mpa=MPEGVideo

　　mpe=MPEGVideo

　　mpeg=MPEGVideo

　　mpg=MPEGVideo

　　mpv2=MPEGVideo

　　snd=MPEGVideo

　　wax=MPEGVideo2

　　wm=MPEGVideo2

　　wma=MPEGVideo2

　　wmv=MPEGVideo2

　　wmx=MPEGVideo2

　　wvx=MPEGVideo2

　　wpl=MPEGVideo

　　3/SYSTEM.INI檔案中在system.ini檔案中，在[BOOT]下面有個“shell=檔名”。正確的檔名應該是“explorer.exe”，如果不是 “explorer.exe”，而是“shell= explorer.exe 程式名”，本文發表於pcpxp網站，那麼後面跟著的那個程式就是“木馬”程式，就是說你已經中“木馬”了。 又會有人問了我是XP系統怎麼又不一樣呢?在給你個正常的XP系統的SYSTEM.INI請大家可以參考下 正常的SYSTEM.INI檔案

　　; for 16-bit app support

　　[drivers]

　　wave=mmdrv.dll

　　timer=timer.drv

　　[mci]

　　[driver32]

　　[386enh]

　　woafont=app936.FON

　　EGA80WOA.FON=EGA80WOA.FON

　　EGA40WOA.FON=EGA40WOA.FON

　　CGA80WOA.FON=CGA80WOA.FON

　　CGA40WOA.FON=CGA40WOA.FON

　　4/在config.sys內 這類載入方式比較少見 ,但是並不是沒有,如果上述方法都找不到的話,請來這裡也許會有收穫的。

　　5/在autuexec.bat內 這類載入方式也是比較少見,建議跟config.sys方法一樣。

　　4 和5 的載入方式建議大家先必須確定計算機有病毒後在 並且上邊的方法都找不到後，最後來這裡進行查詢。

　　總結：這類病毒是比較容易暴露的，建議手動刪除時最好進入安全模式下，因為安全模式只執行WINDOWS必備的系統程序，EXE型病毒很容易暴露出來的，下邊附上一張WINDOWS安全模式的 必須程序表

　　smss.exe Session Manager

　　csrss.exe 子系統伺服器程序

　　winlogon.exe 管理使用者登入

　　services.exe 包含很多系統服務

　　lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley ***IKE*** 和 IP 安全驅動程式。***系統服務*** 產生會話金鑰以及授予用於互動式客戶/伺服器驗證的服務憑據***ticket***。***系統服務*** ->netlogon

　　svchost.exe 包含很多系統服務 !!!->eventsystem,***SPOOLSV.EXE 將檔案載入到記憶體中以便遲後列印。***

　　explorer.exe 資源管理器 ***internat.exe 托盤區的拼音圖示***

　　system

　　System Idle Process 這個程序是不可以從工作管理員中關掉的。這個程序是作為單執行緒執行在每個處理器上，並在系統不處理其他執行緒的時候分派處理器時間

　　taskmagr.exe 就是工作管理員了

　　二、DLL型字尾病毒的手工防毒的方法教程：

　　這類病毒大多是後門病毒，這類病毒一般不會把自己暴露在程序中的，所以說特別隱蔽，比較不好發現。啟動DLL後門的載體EXE是不可缺少的，也是非常重要的，它被稱為：Loader。如果沒有Loader，那DLL後門如何啟動呢?因此，一個好的DLL後門會盡力保護自己的Loader不被查殺。Loader的方式有很多，可以是為我們的DLL後門而專門編寫的一個EXE檔案;也可以是系統自帶的Rundll32.exe和 Svchost.exe，即使停止了Rundll32.exe和Svchost.exeDLL後門的主體還是存在的。現在大家也許對DLL有了個初步的瞭解了，但是不是字尾是DLL就是病毒哦，也不要因為系統有過多的Rundll32.exe和Svchost.exe程序而擔心，因為他們不一定就是病毒，所以說這個病毒比較隱蔽，下邊來介紹幾種判別辦法：pcpxp供稿

　　1/Svchost.exe的鍵值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Svchost”每個鍵值表示一個獨立的Svchost.exe組。微軟還為我們提供了一種察看系統正在執行在 Svchost.exe列表中的服務的方法。以Windows XP為例：在“執行”中輸入：cmd，然後在命令列模式中輸入：tasklist /svc。如果使用的是Windows 2000系統則把前面的“tasklist /svc”命令替換為：“tlist -s”即可。如果你懷疑計算機有可能被病毒感染，Svchost.exe的服務出現異常的話通過搜尋 Svchost.exe檔案就可以發現異常情況。一般只會找到一個在：“C:\Windows\System32”目錄下的Svchost.exe程式。如果你在其他目錄下發現Svchost.exe程式的話，那很可能就是中毒了。

　　2/還有一種確認Svchost.exe是否中毒的方法是在工作管理員中察看程序的執行路徑。但是由於在Windows系統自帶的工作管理員不能察看程序路徑，所以要使用第三方的程序察看工具。比如Windows優化大師中的Windows 程序管理 2.5。這樣，可以發現程序到底饔昧聳裁碊LL檔案.

　　3/普通後門連線需要開啟特定的埠，DLL後門也不例外，不管它怎麼隱藏，連線的時候都需要開啟埠。我們可以用netstat –an來檢視所有TCP/UDP埠的連線，以發現非法連線。大家平時要對自己開啟的埠心中有數，並對netstat –an中的state屬性有所瞭解。當然，也可以使用Fport來顯示埠對應的程序，這樣，系統有什麼不明的連線和埠，都可以盡收眼底。

　　4/最關鍵的方法對比法。安裝好系統和所有的應用程式之後，備份system32目錄下的EXE和DLL檔案：開啟CMD，來到 WINNTsystem32目錄下，執行：dir *.exe>exe.txt & dir *.dll>dll.txt，這樣，就會把所有的EXE和DLL檔案備份到exe.txt和dll.txt檔案中;日後，如發現異常，可以使用相同的命令再次備份EXE和DLL檔案***這裡我們假設是exe0.txt和dll0.txt***，並使用：fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt，其意思為使用FC命令比較兩次的EXE檔案和DLL檔案，並將比較結果儲存到exedll.txt檔案中。通過這種方法，我們就可以發現多出來的EXE和DLL檔案，並通過檔案大小，建立時間來判斷是否是DLL後門。

　　DLL型病毒的清除方法

　　1/ 在確定DLL病毒的檔案的話請嘗試下邊方法

　　移除方法：

　　1. 開始——執行——輸入"Regedit"

　　2. 搜尋"*.dll"

　　3. 刪除搜尋到的鍵值。

　　4. 重啟

　　5. 轉到C:\Windows\System32\

　　6. 刪除*.dll

　　2/到登錄檔下列地方尋找DLL的蹤跡

　　HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ WindowsNT/ Currentversion/ Svchost

　　3/如果上邊的地方都找不到的話建議使用優化大勢程序顯示工具 對 RUNDLL32.EXE和SVCHOST.EXE裡邊執行的DLL程式進行核實找到病毒檔案對其進行結束 然後在對他進行刪除 建議使用第1種方法是非常有效的

　　三、$NtUninstallQxxxxxxx$***x代表數字***型病毒的手工防毒的方法教程：

　　這個屬於惡意指令碼檔案病毒。C盤下生成資料夾：$NtUninstallQxxxxxxx$***x代表數字*** 冒充微軟更新補丁的解除安裝資料夾，並且在Win2000/XP下擁有系統檔案級隱藏屬性。下邊說下清楚方法

　　登錄檔手動刪除啟動項，參考：

　　HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run

　　HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run

　　刪除：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer

　　HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\ CurrentVersion\ RunOnce

　　HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft\ Windows\ CurrentVersion\RunOnce

　　刪除：Sys32，值為：C:\$NtUninstallQxxxxxxx$\WINSYS.vbs

　　HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Windows\ CurrentVersion \Run

　　刪除：Sys32，值為：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer

　　刪除：internat.exe，值為：internat.exe

　　刪除整個$NtUninstallQxxxxxxx$ 目錄

　　pcpxp 補充說明：

　　系統資料夾***\WINNT或\Windows***下出現的如$NtUninstallQ823980$ 、$NtUninstallQ814033$ 這類資料夾是Windows Update 或安裝微軟補丁程式留下的解除安裝資訊，用來解除安裝已安裝的補丁，按補丁的編號如Q823980、Q814033 可以在微軟的網站查到相應的說明。請注意與惡意程式碼建立的資料夾區分。

　　四、壓縮檔案防毒工具對其不能刪除的病毒的手工防毒的方法教程：

　　這類病毒大多是在IE臨時檔案裡的，請對臨時檔案進行清除即可清楚此類病毒，建議定時清理IE臨時檔案。

　　補充：

　　1.***檢查登錄檔

　　看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下，所有以 “Run”開頭的鍵值名，其下有沒有可疑的檔名。如果有，就需要刪除相應的鍵值，再刪除相應的應用程式。

　　2.***檢查啟動組

　　木馬們如果隱藏在啟動組雖然不是十分隱蔽，但這裡的確是自動載入執行的好場所，因此還是有木馬喜歡在這裡駐留的。啟動組對應的資料夾為：C:\windows\start menu\programs\startup，***查了下C沒這個東西?希望大家來研究，看你們的有這個目錄沒?***在登錄檔中的位置： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Shell

　　Folders Startup="C:\windows\start menu\programs\startup"。要注意經常檢查這兩個地方哦!

　　3.***Win.ini以及System.ini也是木馬們喜歡的隱蔽場所，要注意這些地方

　　比方說，Win.ini的[Windows]小節下的load和run後面在正常情況下是沒有跟什麼程式的，如果有了那就要小心了，看看是什麼;在 System.ini的[boot]小節的Shell=Explorer.exe後面也是載入木馬的好場所，因此也要注意這裡了。當你看到變成這樣： Shell=Explorer.exe wind0ws.exe，請注意那個wind0ws.exe很有可能就是木馬服務端程式!趕快檢查吧。

　　4.***對於下面所列檔案也要勤加檢查，木馬們也很可能隱藏在那裡

　　C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。

　　5.***如果是EXE檔案啟動，那麼執行這個程式，看木馬是否被裝入記憶體，埠是否開啟。如果是的話，則說明要麼是該檔案啟動木馬程式，要麼是該檔案捆綁了木馬程式，只好再找一個這樣的程式，重新安裝一下了。

　　6.***萬變不離其宗，木馬啟動都有一個方式，它只是在一個特定的情況下啟動

　　所以，平時多注意一下你的埠，檢視一下正在執行的程式，用此來監測大部分木馬應該沒問題的。