Erika
2007-12-02, 10:12 AM
手工杀毒的思想其实很简单,就是清理病毒文件和注册表信息。
第一步, 应该做的就是终止病毒进程并且抑制病毒再次启动,在这里我们需要用到KV2007的【进程查看器】,可以通过以下两种方式打开【进程查看器】:
鼠标右键点击右下角任务栏的红K=》系统监控=》进程查看器;
打开KV2007完整模式操作台,工具=》进程查看器;
打开进程查看器后如图03:(注意病毒文件名字为:virus.exe)
http://forum.jiangmin.com/UploadFile/2007-4/200749145841409.png (http://forum.jiangmin.com/UploadFile/2007-4/200749145841409.png)
假设*加亮部分为病毒进程,在该进程上单击鼠标右键,选择【结束进程并加到黑名单】,即结束病毒进程,同时,病毒被添加到了系统监控的黑名单,只要您开启了系统监控,病毒就无法再次启动。如图04:
http://forum.jiangmin.com/UploadFile/2007-4/20074915825724.png (http://forum.jiangmin.com/UploadFile/2007-4/20074915825724.png)
第二步,我们需要想办法清除病毒设置的"开机自启动项"。病毒会通过多种方式达到"自启动"目的,主要为以下四种:添加到开始菜单的【启动】栏;添加到注册表启动项;对系统关键进程挂钩;添加启动类型为“自动”的系统服务。了解到这些,我们需要做的就是清除病毒的自启动项,这样以来病毒就无法开机自动运行。
在这里我们需要用到一款免费软件——Sreng(官方下地址:
http://www.kztechs.com/sreng/download.html),下载后解压运行,点击左边的【启动项目】图标,界面如下:(如图05)<br%20onload=[img]http://forum.jiangmin.com/UploadFile/2007-4/2007491512182.png" border="0" /> (http://www.kztechs.com/sreng/download.html),下载后解压运行,点击左边的【启动项目】图标,界面如下:(如图05)<br/>http://forum.jiangmin.com/UploadFile/2007-4/2007491512182.png)
在【启动项目】的窗口中,我们先检查注册表中的启动项,如图06:
[IMG]http://forum.jiangmin.com/UploadFile/2007-4/200749151447667.png (http://forum.jiangmin.com/UploadFile/2007-4/200749151447667.png)
若发现病毒启动项目(*高亮标注),点击【删除】按钮即可删除病毒的启动项。
点击选项卡中的【启动文件夹】,如图07:
http://forum.jiangmin.com/UploadFile/2007-4/20074915155581.png (http://forum.jiangmin.com/UploadFile/2007-4/20074915155581.png)
若发现病毒启动项目(*高亮标注),点击【删除】按钮即可删除病毒的启动项。
点击选项卡里的最后一项【服务】,再选择【Win32服务应用程序】,在弹出的对话框中选中【隐藏已认证的微软项目】,然后查找病毒注册的系统服务(这种服务通常被称为伪系统服务)。
http://forum.jiangmin.com/UploadFile/2007-4/200749151716228.png (http://forum.jiangmin.com/UploadFile/2007-4/200749151716228.png)
如图KV08,病毒注册的伪系统服务用*高亮表示,要阻止病毒利用伪系统服务自动运行,先修改该服务的启动类型,具体步骤如下:
a.鼠标左键单击病毒服务,将【启动类型】框下拉,设置为【Disabled】(红色高亮)
b.选中【修改启动类型】(红框标示),再点击【设置】按钮。
c.在弹出的对话框中点击【是】按钮,如图09.
http://forum.jiangmin.com/UploadFile/2007-4/200749151745948.png (http://forum.jiangmin.com/UploadFile/2007-4/200749151745948.png)
这时,会弹出对话框提示您修改成功。返回到刚才的应用服务框,如图10:
http://forum.jiangmin.com/UploadFile/2007-4/20074915215089.png (http://forum.jiangmin.com/UploadFile/2007-4/20074915215089.png)
接下来我们删除此项伪系统服务,具体步骤如下:
a. 鼠标左键单击病毒服务,选中【删除服务】,再单击【设置】按钮。
b.在弹出的对话框中按【否】按钮,如图11:
http://forum.jiangmin.com/UploadFile/2007-4/200749152229238.png (http://forum.jiangmin.com/UploadFile/2007-4/200749152229238.png)
这时会提示您说已删除,重启计算机后生效。
如果某些病毒是驱动启动,您也可以使用相同的方法在驱动程序里删除(进入【服务】选项卡后,按【驱动程序】进入)。
至此,我们的第二步已经完成。需要注意的就是在操作过程中需要足够的耐心,要准确辨别病毒的启动项或伪系统服务,因为这里的每步操作都是不可逆的。在辨别过程中,您需要注意病毒的文件名,病毒的文件名往往跟系统正常进程相近,要注意数字0和字母o,数字1和字母l或字母i,除此之外,还要注意文件路径,有些病毒文件名和系统正常文件名相同,但往往路径不一样。您若无法辨别,KV已经为您想到这点,只需打开【进程查看器】,正常的系统进程会在认证栏有“OK”字样认证。如图12:
http://forum.jiangmin.com/UploadFile/2007-4/200749152535418.png (http://forum.jiangmin.com/UploadFile/2007-4/200749152535418.png)
如果某些进程名称与正常系统进程相同,但认证栏没有“OK”认证,请您记录下该进程文件路径。再立即终止该进程,并添加至黑名单。
第三步, 就是清除病毒文件。在这里我们需要使用的是右键菜单里的【重启删除】和【粉碎文件】两个选项。这一步比较简单,您只需按照KV扫描报告(主界面中,点击【查看】按钮,选择【扫描报告】进入)或者历史记录(主界面中,点击【查看】按钮,选择【历史记录】进入)中相关病毒文件的路径,找到病毒文件,然后鼠标右键病毒文件,在右键菜单中选择【粉碎文件】,如图13:
http://forum.jiangmin.com/UploadFile/2007-4/200749152617364.png (http://forum.jiangmin.com/UploadFile/2007-4/200749152617364.png)
之后弹出一系列警告,您点击【确定】或【是】即可,然后粉碎后会显示结果,如图14:
http://forum.jiangmin.com/UploadFile/2007-4/200749152658899.png (http://forum.jiangmin.com/UploadFile/2007-4/200749152658899.png)
关闭该窗口,如果病毒插入了其他线程或者进程,则可能无法删除掉。这时,我们需要使用KV的【重启删除】,鼠标右键病毒文件,在右键菜单中选择【重启删除】,在弹出的警告框中点【是】即可。然后重启计算机,确认是否删除。
第一步, 应该做的就是终止病毒进程并且抑制病毒再次启动,在这里我们需要用到KV2007的【进程查看器】,可以通过以下两种方式打开【进程查看器】:
鼠标右键点击右下角任务栏的红K=》系统监控=》进程查看器;
打开KV2007完整模式操作台,工具=》进程查看器;
打开进程查看器后如图03:(注意病毒文件名字为:virus.exe)
http://forum.jiangmin.com/UploadFile/2007-4/200749145841409.png (http://forum.jiangmin.com/UploadFile/2007-4/200749145841409.png)
假设*加亮部分为病毒进程,在该进程上单击鼠标右键,选择【结束进程并加到黑名单】,即结束病毒进程,同时,病毒被添加到了系统监控的黑名单,只要您开启了系统监控,病毒就无法再次启动。如图04:
http://forum.jiangmin.com/UploadFile/2007-4/20074915825724.png (http://forum.jiangmin.com/UploadFile/2007-4/20074915825724.png)
第二步,我们需要想办法清除病毒设置的"开机自启动项"。病毒会通过多种方式达到"自启动"目的,主要为以下四种:添加到开始菜单的【启动】栏;添加到注册表启动项;对系统关键进程挂钩;添加启动类型为“自动”的系统服务。了解到这些,我们需要做的就是清除病毒的自启动项,这样以来病毒就无法开机自动运行。
在这里我们需要用到一款免费软件——Sreng(官方下地址:
http://www.kztechs.com/sreng/download.html),下载后解压运行,点击左边的【启动项目】图标,界面如下:(如图05)<br%20onload=[img]http://forum.jiangmin.com/UploadFile/2007-4/2007491512182.png" border="0" /> (http://www.kztechs.com/sreng/download.html),下载后解压运行,点击左边的【启动项目】图标,界面如下:(如图05)<br/>http://forum.jiangmin.com/UploadFile/2007-4/2007491512182.png)
在【启动项目】的窗口中,我们先检查注册表中的启动项,如图06:
[IMG]http://forum.jiangmin.com/UploadFile/2007-4/200749151447667.png (http://forum.jiangmin.com/UploadFile/2007-4/200749151447667.png)
若发现病毒启动项目(*高亮标注),点击【删除】按钮即可删除病毒的启动项。
点击选项卡中的【启动文件夹】,如图07:
http://forum.jiangmin.com/UploadFile/2007-4/20074915155581.png (http://forum.jiangmin.com/UploadFile/2007-4/20074915155581.png)
若发现病毒启动项目(*高亮标注),点击【删除】按钮即可删除病毒的启动项。
点击选项卡里的最后一项【服务】,再选择【Win32服务应用程序】,在弹出的对话框中选中【隐藏已认证的微软项目】,然后查找病毒注册的系统服务(这种服务通常被称为伪系统服务)。
http://forum.jiangmin.com/UploadFile/2007-4/200749151716228.png (http://forum.jiangmin.com/UploadFile/2007-4/200749151716228.png)
如图KV08,病毒注册的伪系统服务用*高亮表示,要阻止病毒利用伪系统服务自动运行,先修改该服务的启动类型,具体步骤如下:
a.鼠标左键单击病毒服务,将【启动类型】框下拉,设置为【Disabled】(红色高亮)
b.选中【修改启动类型】(红框标示),再点击【设置】按钮。
c.在弹出的对话框中点击【是】按钮,如图09.
http://forum.jiangmin.com/UploadFile/2007-4/200749151745948.png (http://forum.jiangmin.com/UploadFile/2007-4/200749151745948.png)
这时,会弹出对话框提示您修改成功。返回到刚才的应用服务框,如图10:
http://forum.jiangmin.com/UploadFile/2007-4/20074915215089.png (http://forum.jiangmin.com/UploadFile/2007-4/20074915215089.png)
接下来我们删除此项伪系统服务,具体步骤如下:
a. 鼠标左键单击病毒服务,选中【删除服务】,再单击【设置】按钮。
b.在弹出的对话框中按【否】按钮,如图11:
http://forum.jiangmin.com/UploadFile/2007-4/200749152229238.png (http://forum.jiangmin.com/UploadFile/2007-4/200749152229238.png)
这时会提示您说已删除,重启计算机后生效。
如果某些病毒是驱动启动,您也可以使用相同的方法在驱动程序里删除(进入【服务】选项卡后,按【驱动程序】进入)。
至此,我们的第二步已经完成。需要注意的就是在操作过程中需要足够的耐心,要准确辨别病毒的启动项或伪系统服务,因为这里的每步操作都是不可逆的。在辨别过程中,您需要注意病毒的文件名,病毒的文件名往往跟系统正常进程相近,要注意数字0和字母o,数字1和字母l或字母i,除此之外,还要注意文件路径,有些病毒文件名和系统正常文件名相同,但往往路径不一样。您若无法辨别,KV已经为您想到这点,只需打开【进程查看器】,正常的系统进程会在认证栏有“OK”字样认证。如图12:
http://forum.jiangmin.com/UploadFile/2007-4/200749152535418.png (http://forum.jiangmin.com/UploadFile/2007-4/200749152535418.png)
如果某些进程名称与正常系统进程相同,但认证栏没有“OK”认证,请您记录下该进程文件路径。再立即终止该进程,并添加至黑名单。
第三步, 就是清除病毒文件。在这里我们需要使用的是右键菜单里的【重启删除】和【粉碎文件】两个选项。这一步比较简单,您只需按照KV扫描报告(主界面中,点击【查看】按钮,选择【扫描报告】进入)或者历史记录(主界面中,点击【查看】按钮,选择【历史记录】进入)中相关病毒文件的路径,找到病毒文件,然后鼠标右键病毒文件,在右键菜单中选择【粉碎文件】,如图13:
http://forum.jiangmin.com/UploadFile/2007-4/200749152617364.png (http://forum.jiangmin.com/UploadFile/2007-4/200749152617364.png)
之后弹出一系列警告,您点击【确定】或【是】即可,然后粉碎后会显示结果,如图14:
http://forum.jiangmin.com/UploadFile/2007-4/200749152658899.png (http://forum.jiangmin.com/UploadFile/2007-4/200749152658899.png)
关闭该窗口,如果病毒插入了其他线程或者进程,则可能无法删除掉。这时,我们需要使用KV的【重启删除】,鼠标右键病毒文件,在右键菜单中选择【重启删除】,在弹出的警告框中点【是】即可。然后重启计算机,确认是否删除。