一、檢查注冊表啟動項
大多病毒都會進入注冊表啟動項的,我們可以通過一些方法查看和刪除。打開注冊表HKEY_LOCAL_MACHINE/SOFTWARE /Microsoft/Windows/CurrentVersion點擊查看其中RUN中的內容,如果不懂,把裏麵的東西就全刪了。不過這樣並不能
解決病毒,病毒還會重新寫入的,不過到時可以解決木馬。如果想手工殺毒,就接著跟係統吧小編一起看下麵的文章吧!
二、解決不能查看隱藏文件的方法
1、有時病毒通過修改注冊表和修改文件屬性(偽造CheckedValue值)的方法來達到不能查看隱藏文件的目的,這是可是打開修改注冊表,找到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer / Advanced/Folder/Hidden/SHOWALL,刪除CheckedValue鍵(該鍵當前為字符串類型),新建 CheckedValue為DWORD值(正確的鍵為DWORD類型),修改值為1,係統隱藏文件就會顯示了,恢複正常。
2、也可以通過ATTRIB命令使文件去掉隱藏和係統的屬性。例如顯示C盤根目錄下文件,就可以在CMD命令提示符下輸入CD/命令切換到根目錄下,然後輸入ATTRIB -S -H AUTORUN.INF命令就可以了
三、怎樣刪除病毒的主體文件
病毒都是有主體文件的,我們要手工殺毒首先就要清除病毒的主體文件,主體文件一般都是DLL文件,直接刪是無法刪除的,我們可以試試一下的方法(目前還沒有發現什麼DDL 文件不能被這三種方法刪除的)。
1、進入安全模式刪除
2、用windows係統自帶的Rundll32.exe卸載後再刪除,這一招對付wmpcd32.dll是很靈驗的。在命令提示符下輸入:Rundll32.exe 文件名.DLL Uninstall
3、找出這個DLL文件的寄宿。方法:要使用一款名為procexp進程管理工具,點擊find,再點擊find DLl,打開DLL文件查找對話框,在DLL Substring中輸入“文件名.DLL”.點擊 Search按鈕就可以看到DLL文件被哪個進程調用了,隻要結束這些進程,再嚐試刪除DLL文件就可以了。
注:如病毒文件為RGWatch.sys的也可以使用同樣的方法找出寄宿進程,然後再刪掉。此外冰刃也是個不錯的選擇。
四、刪除注冊表病毒垃圾
這個沒什麼好說的,就是在我們手工殺完毒後別忘了刪除其所在注冊表留下的一些信息。方法:打開注冊表(regedit),搜索我們要刪除的病毒名即可。有時候我們無法刪除,可以使用冰刃強行刪除。因為冰刃沒有注冊表修改搜索功能,我們可以先在注冊表編輯器中搜索出相關項,再在冰刃的注冊表中定位到搜索項目,然後刪除!
五、找到病毒保護文件,強行刪除!
很多病毒都會產生保護文件的,當你刪出病毒後,病毒又會回來,很煩人,也很難辦!我們可以使用下麵的方法找出其保護文件,在這裏需要兩款輔助工具:Filemon和冰刃。 Filemon的作用是記錄下對所有文件的添加、修改和刪除記錄,並且可以顯示是哪個進程進行的修改!
方法操作如下:打開冰刃,在設置裏選擇“禁止進/線程建立”,打開進程,結束所有無用進程(結束explorer.exe進程),隻留下係統基本進程(不包括explorer.exe進程)一
方便我們詳細記錄。逐一刪除注冊表啟動項目,並且刷新查看是否會自動恢複。在Filemon中就會發現這個保護進程了!
六、殺毒軟件被禁用的解決方法
殺毒軟件是病毒的克星,所以病毒要想生存就必須殺掉殺毒軟件。這也是現在很多病毒都具備的功能,也就是中毒後殺毒軟件不可用了。
1、關於瑞星,有比較好的解決方法(因為我用的就是瑞星(*^__^*) ……)。瑞星的工具列表中有個功能,叫做“瑞星安裝包製作程序”使用這個功能可以將瑞星升級到最新病毒庫的瑞星打包安裝程序,這樣在重新安裝瑞星的時候就可以省去重新更新的麻煩,而這個安裝包在運行的時候其進程名與瑞星保護進程名是不同的,這樣就可以順利安裝了,這樣殺毒軟件就可以使用了。
2、比較普遍的殺毒軟件中毒現象是會提示:應用程序正常初始化(0x00000ba)失敗。
原因分析:
ws2_32.dll是windows sockets應用程序接口,用於支持Internet和網絡應用程序,程序運行時會自動調用ws2_32.dll文件。ws2_32.dll是個動態鏈接庫文件,位於係統文件夾中,windows在查找動態鏈接庫文件時,會現在應用程序當前目錄搜索,如果沒有找到才會搜索windows所在目錄,如果還沒有找到就會搜索 system32和system目錄。一些病毒就是利用此原理在殺毒軟件目錄中建立了ws2_32.dll文件或文件夾,在殺毒軟件看來這是一個它需要的文件而調用,但事實上這個所謂的“文件”又不具真正的ws2_32.dll文件所具備的功能,所以殺毒軟件也就無法正常運行了,於是就會提示:應用程序正常初始化(0x00000ba)失敗!
解決辦法:
到殺毒軟件安裝目錄找 ws2_32.dll文件或文件夾,刪除即可!
注:如果找不到,可能是隱藏了,按照上麵說的方法即可解決。如果找到後仍無法刪除,原因是裏麵有個名為1.的文件夾,該文件夾對於windows環境無法識別,此時可以用冰刃刪除
3、IFEO劫持(冰刃等殺病毒工具不可用)
貌似冰刃是病毒的一個大危害,病毒自然也不會放過。有時候中毒後,所有殺毒軟件和反病毒工具(比如冰刃)都無法使用了,原因就是IFEO劫持。原因:通過修改注冊表,在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options下建立特定的子鍵來屏蔽一些特定的程序,或指向目標程序,來達到啟動病毒和禁用工具的目的。
解決方法:到此目錄下,把我們的工具從黑名單裏拖出來就可以了(刪掉唄)
七、重裝係統都無法解決的病毒問題
很多人認為中病毒了,重裝係統就可以解決了,其實不然,有些病毒強製修改IE,設置默認首頁,即使你重裝了係統後仍然無法解決。方法是:把java虛擬機停掉後病毒就不會發作了,然後再結束進程
電腦軟件相關教程