一、檢查注冊表啟動項(xiàng)

大多病毒都會進(jìn)入注冊表啟動項(xiàng)的，我們可以通過一些方法查看和刪除。打開注冊表HKEY_LOCAL_MACHINE/SOFTWARE /Microsoft/Windows/CurrentVersion點(diǎn)擊查看其中RUN中的內(nèi)
容，如果不懂，把里面的東西就全刪了。不過這樣并不能
解決病毒，病毒還會重新寫入的，不過到時(shí)可以解決木馬。如果想手工殺毒，就接著看下面的文章吧！

二、解決不能查看隱藏文件的方法
1、有時(shí)病毒通過修改注冊表和修改文件屬性（偽造CheckedValue值）的方法來達(dá)到不能查看隱藏文件的目的
，這是可是打開修改注冊表，找
到  HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer /  Advanced/Folder/Hidden/SHOWALL,刪除CheckedValue鍵（該鍵當(dāng)前為字符串類
型），新建 CheckedValue為DWORD值（正確的鍵為DWORD類型），修改值為1，系
統(tǒng)隱藏文件就會顯示了，恢復(fù)正常。

2、也可以通過ATTRIB命令使文件去掉隱藏和系
統(tǒng)的屬性。例如顯示C盤根目錄下文件，就可以在CMD命令提示符下輸入CD/命令
切換到根目錄下，然后輸入ATTRIB -S -H AUTORUN.INF命令就可以了
三、怎樣刪除病毒的主體文件
    病毒都是有主體文件的，我們要手工殺毒首先就要清除病毒的主體文件，主體文件一般都是DLL文件，直接刪是無法刪除的，我們可以試試一下的方法（目前還沒有發(fā)現(xiàn)什么DDL  文件不能被這三種方法刪除的）。

1、進(jìn)入安全模式刪除

2、用windows系統(tǒng)自帶的Rundll32.exe卸載后再刪除，這一招對付wmpcd32.dll是很靈驗(yàn)的。在命令提示符下輸入：Rundll32.exe 文件名.DLL Uninstall

3、找出這個(gè)DLL文件的寄宿。方法：要使用一款名為procexp進(jìn)程管理工具，點(diǎn)擊find，再點(diǎn)擊find DLl，打開DLL文件查找對話框，在DLL Substring中輸入“文件名.DLL”.點(diǎn)擊   Search按鈕就可以看到DLL文件被哪個(gè)進(jìn)程調(diào)用了，只要結(jié)束這些進(jìn)程，再嘗試刪除DLL文件就可以了。
注：如病毒文件為RGWatch.sys的也可以使用同樣的方法找出寄宿進(jìn)程，然后再刪掉。此外冰刃也是個(gè)不錯(cuò)的選擇。
四、刪除注冊表病毒垃圾
    這個(gè)沒什么好說的，就是在我們手工殺完毒后別忘了刪除其所在注冊表留下的一些信息。方法：打開注冊表（regedit），搜索我們要?jiǎng)h除的病毒名即
可。有時(shí)候我們無法刪除，
可以使用冰刃強(qiáng)行刪除。因?yàn)楸袥]有注冊表修改搜索功能，我們可以先在注冊表編輯器中搜索出相關(guān)項(xiàng)，再在冰刃的注冊表中定位
到搜索項(xiàng)目，然后刪除！
五、找到病毒保護(hù)文件，強(qiáng)行刪除！

很多病毒都會產(chǎn)生保護(hù)文件的，當(dāng)你刪出病毒后，病毒又會回來，很煩人，也很難辦！我們可以使用下面的方法找出其保護(hù)文件，在這里需要兩款輔助工
具：Filemon和冰刃。  Filemon的作用是記錄下對所有文件的添加、修改和刪除記錄，并且可以顯示是哪個(gè)進(jìn)程進(jìn)行的修改！

方法操作如下：打開冰刃，在設(shè)置里選擇“禁止進(jìn)/線程建立”，打開進(jìn)程，結(jié)束所有無用進(jìn)程（結(jié)束explorer.exe進(jìn)程），只留下系統(tǒng)基本進(jìn)程
（不包括explorer.exe進(jìn)程）一
方便我們詳細(xì)記錄。逐一刪除注冊表啟動項(xiàng)目，并且刷新查看是否會自動恢復(fù)。在Filemon中就會發(fā)現(xiàn)這個(gè)保護(hù)進(jìn)程了！
六、殺毒軟件被禁用的解決方法
    殺毒軟件是病毒的克星，所以病毒要想生存就必須殺掉殺毒軟件。這也是現(xiàn)在很多病毒都具備的功能，也就是中毒后殺毒軟件不可用了。
   1、關(guān)于瑞星，有比較好的解決方法（因?yàn)槲矣玫木褪侨鹦?*^__^*) ……）。瑞星的工具列表中有個(gè)功能，叫做“瑞星安裝包制作程序”使用這個(gè)功能可以將瑞星升級到最新病
毒
庫的瑞星打包安裝程序，這樣在重新安裝瑞星的時(shí)候就可以省去重新更新的麻煩，而這個(gè)安裝包在運(yùn)行的時(shí)候其進(jìn)程名與瑞星保護(hù)進(jìn)程名是不同的，這樣就可以順
利安裝
了，這
樣殺毒軟件就可以使用了。
   2、比較普遍的殺毒軟件中毒現(xiàn)象是會提示：應(yīng)用程序正常初始化（0x00000ba）失敗。
 
原因分析：
   ws2_32.dll是windows sockets應(yīng)用程序接口，用于支持Internet和網(wǎng)絡(luò)應(yīng)用程序，程序運(yùn)行時(shí)會自動調(diào)用ws2_32.dll文件。ws2_32.dll是個(gè)動態(tài)鏈
接庫文件，位于系統(tǒng)文件夾
中，windows在查找動態(tài)鏈接庫文件時(shí)，會現(xiàn)在應(yīng)用程序當(dāng)前目錄搜索，如果沒有找到才會搜索windows所在目錄，如果還沒有找到就會搜索 system32和system目錄。一些病毒就
是利用此原理在殺毒軟件目錄中建立了ws2_32.dll文件或文件夾，在殺毒軟件看來這是一個(gè)它需要的文件而調(diào)用，但事實(shí)上這個(gè)所謂的“文件”又不具真
正的ws2_32.dll文件所
具備的功能，所以殺毒軟件也就無法正常運(yùn)行了，于是就會提示：應(yīng)用程序正常初始化（0x00000ba）失敗！
解決辦法：

到殺毒軟件安裝目錄找 ws2_32.dll文件或文件夾，刪除即可！

注：如果找不到，可能是隱藏了，按照上面說的方法即可解決。如果找到后仍無法刪除，原因是里面有個(gè)名為1.的文件夾，該文件夾對于windows環(huán)境無法識別，此時(shí)可以用冰
刃刪除
 3、IFEO劫持（冰刃等殺病毒工具不可用）
 
 貌似冰刃是病毒的一個(gè)大危害，病毒自然也不會放過。有時(shí)候中毒后，所有殺毒軟件和反病毒工具（比如冰刃）都無法使用了，原因就是IFEO劫持。原因：

通過修改注冊表，在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options下建立特定的子鍵來屏蔽一些特定的程序，或指向
目標(biāo)程序，來達(dá)到啟動病毒和禁用工具的目的。
 
解決方法：到此目錄下，把我們的工具從黑名單里拖出來就可以了（刪掉唄）

七、重裝系統(tǒng)都無法解決的病毒問題
    很多人認(rèn)為中病毒了，重裝系統(tǒng)就可以解決了，其實(shí)不然，有些病毒強(qiáng)制修改IE，設(shè)置默認(rèn)首頁，即使你重裝了系統(tǒng)后仍然無法解決。方法是：把java虛擬機(jī)停掉后病毒就不會
發(fā)作了，然后再結(jié)束進(jìn)程。