SiS001! Board - [第一会所关闭注册]

标题: [交流] 手工清除后门、病毒程序大法 [打印本页]

作者: CoolCock 时间: 2011-5-21 09:05 标题: 手工清除后门、病毒程序大法

最近不少人都在说这个，把自己的一些经验说一下吧。这里只用到Windows的系统程序如资源管理器、任务管理器、注册表编辑器等，没有用到多少特殊工具。由于涉及较多系统知识，大家操作时要慎重，免得造成系统无法引导。

第一步：你的计算机有问题吗？

为了便于发现，不要运行任何软件，确保防毒软件没有在扫描硬盘。此时，观察一段时间，一般来说，运行速度慢得不合理、硬盘灯闪个不停的计算机就很可能有问题。

第二步：找出有问题的程序

这是最难的一步，如果看错、删除错了，轻着程序运行不正常，重则系统玩完，务必小心。

后门、病毒程序一般都是内存驻留程序，计算机感染以后就会一直在后台运行。一般识别它们需要一定的技巧。以我的经验，以下类型的程序最可疑：

大量占用系统CPU资源、内存资源的程序。打开任务管理器，可以看到各个任务占用内存、CPU的情况。先说CPU，一般是"System Idle Process"这个任务占到95％以上（由于没有运行任何软件，因此CPU都闲着没事的）。如果还有进程较多占用CPU时间的话，有可能就是有问题。

再说内存，大量占用内存，随着运行还不断增加的进程，往往就是"蠕虫"病毒。

（Windows大量占用CPU、内存、硬盘，使得计算机运行慢，那也是病毒？----瀑布汗……）

还有一种有趣的鱼目混珠的进程：例如我在一台有问题的计算机的任务管理器里曾发现有个进程叫做"iexpiorer.exe"，和IE的程序名只差一个字符。还有一个叫"intrenat.exe"的，是不是很眼熟啊（跟输入法的程序"internet.exe"很相似）！？对这两个程序，有一些杀毒软件并没有报告有问题。这种做法对一般用户很有效，如果是计算机高手，反而容易暴露---装腔作势狐假虎威故弄玄虚肯定不是好东西。

因此，给大家一个建议，平时注意留意正常计算机都有些什么进程，到了不正常的时候就比较容易分辨出有问题的进程。

第三步：清除

这一步需要一些技巧，但是并不难操作。

确认有问题的程序以后，首先在任务管理器里把它结束掉。

做的绝的后门、病毒有时结束不了。这就要使用绝招了。嘿嘿，夸张点，后面再说。

成功之后，用"文件搜索"工具找出程序文件（文件名在任务管理器里面看到），将其删除。再到Windows的"开始"菜单下的"程序"－"启动"下面或注册表编辑器里面把调用这个程序的项目删除。在注册表里一般在一下路径里面保存：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

还有一种情况就是后门、病毒程序作为windows"服务"运行，删除它可用一些专门工具。如用过vxWorks的朋友可能不知道，Tornado就有个程序叫"servutil.exe"的，可以删除Windows"服务"。好像超级兔子、Windows优化大师之类的也可以，我没试过。

最后：对于"死硬分子"

对于结束不掉的程序，例如我遇到过的，两三个病毒进程互链，如过结束掉其中一个，意外一个会吧它重新启动，怎么也结束不了，注意Windows系统中还在运行的程序文件是不可以删除的，这时可以用360安全卫士的工具，同时勾选这几个进程然后结束掉。还可以这样：用"文件搜索"工具找出后门、病毒程序文件，记下所在的文件夹。然后重启系统，在初始引导时按F8键，选择进入"带命令行的安全模式"，引导后在命令行提示符下，进入刚才记下的后门、病毒程序所在文件夹，用DOS命令"del"删除。最死硬的可能还更改了文件属性（隐藏、只读、系统），这时还删不了。还得用"DOS"命令"attrib"，然后再"del"（什么？不会用，晕倒），格式如下：
attrib -h -s -r <文件名>
del <文件名>

这样删除操作是十拿九稳的。

完成后，重启系统，清理注册表、启动菜单或系统服务，这才算完成。

[ 本帖最后由 CoolCock 于 2011-5-21 09:16 编辑 ]

作者: zhengayi 时间: 2011-5-21 09:11

呵呵，楼主发的好东西，又是一条解决问题的好办法啊。谢谢了。

作者: zhang76t5 时间: 2011-5-21 09:55

我的电脑就是没运行程序硬盘的灯就会闪啊，看来真得用楼主的办法查查了啊

作者: wraithkings 时间: 2011-5-21 10:50

autoruns也是一个非常不错的工具，可以看见很多的常规方法看不见的

作者: 辛渐 时间: 2011-5-21 10:57

其实好多木马和病毒真的只有手动来杀，这样才有效

作者: maikelaolang 时间: 2011-5-21 11:25

进来学习一下，楼主的办法很好，以后遇到了一定试试！谢谢分享

作者: indexwang 时间: 2011-5-21 11:29

呵呵，下回中招的时候试试吧，好歹不用格式化了！

作者: angel2043 时间: 2011-5-21 19:01

学习了，感谢LZ无私奉献。增加广大人民群众的病毒免疫力

作者: md52 时间: 2011-5-21 19:26

好东西丫。呵呵，学到了，谢谢楼主分享，以后就方便多了

作者: clh01s 时间: 2011-5-21 19:35

这样的帖子应该记下来以防万一啊~复制去~

作者: panunu 时间: 2011-5-21 19:48

强帖保存以备不时之需，其实联网的电脑不适合房什么重要东西

作者: 回忆无痕 时间: 2011-5-21 21:05

主要还是防把。一般装个防火墙和主动防御的杀毒软件就好了

作者: 西瓜杰少 时间: 2011-5-21 21:23

已经复制收藏起来了，以后电脑出现问题可以拿出来参考下，值得学习

作者: mikeaakk 时间: 2011-5-21 21:24

是还不错的方法，值得借鉴，可以试试。

作者: yoyoT2199 时间: 2011-5-21 22:08

这方法很早了不过很麻烦的在没有安全工具的时候可以试试看

作者: fwz723 时间: 2011-5-21 22:20

最郁闷的就是电脑中招，360，KB什么都用上了，一不小心，还是完完

作者: 167842 时间: 2011-5-21 22:40

哇..学会了可能连杀毒都不用了..哈哈.

作者: yjjata 时间: 2011-5-21 22:58

不会用DOS啊，有格式也不会用，der?..

作者: werefast4 时间: 2011-5-21 23:27

看了学到一点东西了,以后中毒就去运用下了

作者: 那活真大 时间: 2011-5-21 23:33

学到个好法，以前遇到顽固的病毒木马什么的只能用360急救箱，还杀不出来就重做系统

作者: sese2009VIP 时间: 2011-5-22 01:55

其实有些并非这么简单的，如usp10这些感染类型的手工清除是很容易的，但会非常累人，但是像落雪木马之类一些很顽固的，有N个关联文件的，会十分麻烦，因为要追本溯源删了源头那个，否则又会自动生成、感染，并且不一定都在注册表那里有信息。

作者: cubesuger 时间: 2011-5-22 10:31

收藏了，这真是好东西啊

作者: hnllyzsdn 时间: 2011-5-22 10:41

感谢楼主的无私分享，我的硬盘动不动就狂闪,是怎么回事呢？

作者: dntg777 时间: 2011-5-22 11:26

曾经用过一个叫做icesword的工具，启动后可以禁止新建进程，虽然不是专门的杀毒工具，但是效果也不错。确定病毒进程后，使用icesword工具关闭其进程，然后再使用杀毒软件清理一下硬盘就可以了。当然最重要的还是如何确认病毒进程。我基本就是挨个进程按名字在百度中搜索。基本也就确认了。

作者: slmy 时间: 2011-5-22 11:46

这个帖子技术性太大,有点看不懂,复制下来慢慢研究

作者: qa2080639 时间: 2011-5-22 16:26

上次我家装了一个其他网站下的IE8，结果IE用不了了。然后用360检测是病毒篡改很多东西，360非常强大，我用它修复两次之后，再开机就提示“系统错误了“ 汗... 越修修烂

作者: ddfans 时间: 2011-5-22 17:03

其實宜家好多工具都唔洗自己慢慢去搞呢D野了
尤其出眾系360安全衛士
呢D方法可能慢慢要淘汰了

作者: dj163 时间: 2011-5-22 17:59

值得学习学习,计算机经常会中招,不得不防

作者: quker12345 时间: 2011-5-22 18:06

这些都只能对付一般的病毒，现在新型病毒可不会取那么傻的名字，比如说在系统关键进程里注入个dll，你没有正好安装着工具能知道是哪个吗，很多病毒现在根本搞不定，遇到只能低格重装

作者: 3gs2010 时间: 2011-5-22 18:08

学习了，感谢楼主分享

作者: w13273530 时间: 2011-5-23 01:41

学到东西啦....谢谢楼主分享.....真是大好人啊

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://67.220.92.23/bbs/)