手動(dòng)殺毒之準(zhǔn)備:
1、做完系統(tǒng)后,安裝好殺軟和常用的幾款工具軟件后����,給系統(tǒng)打安全補(bǔ)丁���;
2、用備份軟件給系統(tǒng)備份�����;如果磁盤空間比較大���,把備份文件再備份一下�,但要重新命名���,防止病毒木馬搜索刪除備份文件��,導(dǎo)致系統(tǒng)恢復(fù)無法找到備份文件����;
3��、學(xué)習(xí)熟練使用組策略里的軟件限制策略
4���、給初裝系統(tǒng)的任務(wù)管理器進(jìn)程和進(jìn)程用戶名抓圖備份��,保存?zhèn)浞輬D片;
5�����、平時(shí)要留心系統(tǒng)進(jìn)程的用戶名和占有cpu的份額���,建立文本穩(wěn)當(dāng)保存��;
手動(dòng)殺毒步驟:
一���、手殺分析與準(zhǔn)備
1����、打開任務(wù)管理器,選進(jìn)程按鈕�,先雙擊cpu���,讓cpu占有率從大到小排列�����,看那個(gè)進(jìn)程占cpu比較大�,和以往的備份材料對(duì)比,找異常進(jìn)程��;如果應(yīng)用軟件進(jìn)程異常����,考慮有可能是該軟件安裝路徑插入了病毒進(jìn)程,或者軟件關(guān)聯(lián)文件缺損�����,建議卸載��,刪除安裝路徑殘留文件夾��。
2、鼠標(biāo)左點(diǎn)擊任務(wù)管理器“映像名稱”按鈕,讓所有進(jìn)程名字分類排列,看看有沒有同名的進(jìn)程,有幾個(gè),和以前進(jìn)程情況抓圖備份對(duì)比,不懂的重名進(jìn)程,打到百度搜索��,看看進(jìn)程在磁盤文件路徑上有無異常�、是否是系統(tǒng)的進(jìn)程.......;
3、借助端口分析軟件�,如兵刃����,分析端口���、磁盤文件��、遠(yuǎn)程地址與進(jìn)程的關(guān)系����;
4����、揪出可疑進(jìn)程�����,找到進(jìn)程磁盤路徑文件��;
5、對(duì)系統(tǒng)文件不熟悉�����,就把可疑進(jìn)程文件名字打到百度��,百度會(huì)告訴你該進(jìn)程的作用����,屬于什么服務(wù)或者是什么軟件進(jìn)程�,如果是病毒,會(huì)有什么關(guān)聯(lián)的文件���,還有手動(dòng)清除的方法.......
6、在注冊(cè)表中查找����,找到進(jìn)程文件的鍵值����,先不要做什么操作���;
二���、手殺病毒程序
1、先結(jié)束任務(wù)管理器中的可以進(jìn)程’
2、找到磁盤路徑中的病毒文件���,刪除掉���;注意要在“我的電腦”中搜索�����,根據(jù)可疑文件的全稱��,依據(jù)文件建立時(shí)間,區(qū)分是不是系統(tǒng)或者正常軟件文件�,去偽存真哦�����!刪除可以時(shí)間下的病毒文件;
3�、打開注冊(cè)表編輯器�����,查找病毒文件注冊(cè)表鍵值,刪除��,查找下一個(gè)���,再刪除.....
4�����、運(yùn)行msconfig����,打開系統(tǒng)配置使用程序����,清理啟動(dòng)項(xiàng)�����,只留下輸入法(ctfmon)��、殺軟、防火墻����;
5��、如果出現(xiàn)病毒文件無法刪除,回到任務(wù)管理器中,對(duì)比以前備份的進(jìn)程信息��,找其他陌生進(jìn)程�����,結(jié)束它�,再試試���;如果結(jié)束另外一個(gè)進(jìn)程可以刪除掉病毒文件��,說明那個(gè)進(jìn)程也有問題��;如果病毒文件路徑指向系統(tǒng)還原相關(guān)的文件,就關(guān)閉磁盤的系統(tǒng)還原�����,操作提示將刪除所有還原點(diǎn)���,確定�����;
6、手動(dòng)殺毒過程會(huì)出現(xiàn)結(jié)束的進(jìn)程死灰復(fù)燃�,這個(gè)我們就要分析進(jìn)程是不是關(guān)聯(lián)到了系統(tǒng)服務(wù)����,到百度搜索進(jìn)程信息,如果關(guān)聯(lián)到系統(tǒng)服務(wù),就調(diào)出服務(wù)�����,禁止或者變手動(dòng)�,結(jié)束該服務(wù);在結(jié)束進(jìn)程,刪除病毒文件�����;
7���、很多病毒都寫保護(hù)�����,有很多辦法重生�,這時(shí)候��,我們就要用組策略的軟件限制策略��,限制病毒進(jìn)程運(yùn)行;要先在我的電腦中搜索病毒文件名,如和系統(tǒng)文件重名����,就要先建立散列���,瀏覽到正常的系統(tǒng)文件磁盤路徑下,放行系統(tǒng)文件����,選擇不受限制的散列��;如果無系統(tǒng)文件和病毒文件重名,直接新建路徑����,輸入病毒文件名字��,注意,這個(gè)時(shí)候要看你刪除病毒文件的格式���,我遇到過模仿系統(tǒng)更新升級(jí)進(jìn)程的病毒,它前邊的名字和系統(tǒng)文件一至,后邊多了個(gè).ps�����,所以新建路徑是要用通配符����,如新建散列,選擇不受限的����,放行系統(tǒng)的wuauclt.exe(該文件和裝機(jī)時(shí)間相同)���,新建路徑�����,禁止wuauclt.*運(yùn)行,還要針對(duì)wuauclt.exe.2568acp.ps病毒��,建立個(gè)路徑���,輸入wuauclt.*.*��,設(shè)置為不如許的......病毒很狡猾哈!
8�、用超級(jí)兔子清理系統(tǒng)�����,清理病毒殘留的啟動(dòng)項(xiàng),重新啟動(dòng)��,看看任務(wù)管理器中的病毒進(jìn)程在不在了?
9�����、很多殺軟在你手殺成功后�����,它們的作用都發(fā)掘出來了��,掃描一下系統(tǒng),可以發(fā)現(xiàn)N個(gè)病毒殘留��,輕而易舉的殺死些東東
其他方法:
如果可以的話進(jìn)入安全模式,既然殺毒軟件無法搞定你可以采取手工殺毒的方法,
你需要擁有一下軟件(冰刃,超級(jí)巡警,SReng,windows清理助手,注冊(cè)表醫(yī)生)
步驟如下,首先利用超級(jí)巡警+Windows清理助手掃描整個(gè)硬盤,重點(diǎn)在于引導(dǎo)磁盤,掃描完畢后重啟機(jī)器,看看能否進(jìn)入正常桌面
如果不行的話依舊進(jìn)入安全模式,用SReng進(jìn)行智能分析,查找啟動(dòng)項(xiàng)和進(jìn)程中的可疑程序,然后用冰刃搜索隱藏進(jìn)程,并且比對(duì)進(jìn)程內(nèi)核模塊,結(jié)束病毒內(nèi)核模塊,鎖定注冊(cè)表,刪除病毒源文件,刪除病毒啟動(dòng)項(xiàng),最后用注冊(cè)表醫(yī)生修復(fù)注冊(cè)表.
大致流程是這樣,具體細(xì)微方法難以贅述
第三種方法:
上網(wǎng)最恐怖的事莫過于新病毒出來的時(shí)候���,盡管電腦上我們都裝有各種強(qiáng)大的殺毒軟件�����,也配置了定時(shí)自動(dòng)更新病毒庫��,但病毒總是要先于病毒庫的更新的,所以中招的每次都不會(huì)是少數(shù)�,這里列舉一些通用的殺毒方法�,自己親自動(dòng)手來用系統(tǒng)自帶的工具絞殺病毒:
一�、自己動(dòng)手前�����,切記有備無患——用TaskList備份系統(tǒng)進(jìn)程
新型病毒都學(xué)會(huì)了用進(jìn)程來隱藏自己�,所以我們最好在系統(tǒng)正常的時(shí)候���,備份一下電腦的進(jìn)程列表�,當(dāng)然最好在剛進(jìn)入Windows時(shí)不要運(yùn)行任何程序的情況下備份,樣以后感覺電腦異常的時(shí)候可以通過比較進(jìn)程列表�����,找出可能是病毒的進(jìn)程�。
在命令提示符下輸入:
TaskList /fo:csv>g:zc.csv
上述命令的作用是將當(dāng)前進(jìn)程列表以csv格式輸出到“zc.csv”文件中,g:為你要保存到的盤�����,可以用Excel打開該文件.
二����、自己動(dòng)手時(shí),必須火眼金睛——用FC比較進(jìn)程列表文件 如果感覺電腦異常��,或者知道最近有流行病毒���,那么就有必要檢查一下���。
進(jìn)入命令提示符下����,輸入下列命令:
TaskList /fo:csv>g:yc.csv
生成一個(gè)當(dāng)前進(jìn)程的yc.csv文件列表,然后輸入:
FC g:zccsv g:yc.csy
回車后就可以看到前后列表文件的不同了,通過比較發(fā)現(xiàn)�����,電腦多了一個(gè)名為“Winion0n.exe”(這里以這個(gè)進(jìn)程為例)不是“Winionon.exe”的異常進(jìn)程��。本文來源:武林網(wǎng)[http://www.companysz.com]
