用户登陆
最新评论
文章搜索
技巧:菜鸟也学手工识别查杀病毒适用于诺顿等对部分病毒无法终止,提示“无法清除,无法删除,无法隔离、知道某个文件是病毒却无法终止删除。
本文作者:snowsky(http://www.pxue.com/)转载请保留此行
关键字:手工识别、查杀病毒
所用工具:进程查看器(PrcView)、注册表编辑器(Regedit)
常在网上看到很多网友在各大BBS发贴求助,标题大都是些“计算机运行越来越慢,请问高手是不是中了病毒“或”XX.exe文件是不是病毒?“。在回答了N多个网友类似的问题之后,笔者不得不考虑写一个教程来普及一下手工识别查杀病毒的方法了。
今天就来谈谈如何手工识别查杀计算机中的病毒。
认识一下病毒程序
病毒程序(本文仅指exe病毒,对Dll型病毒另文叙述)和普通程序是一样的,都是一个Exe可执行程序,只不过它做了对我们计算机不利的事,所以我们就叫它病毒程序。病毒程序在运行的时候也是会出现2k以上计算机的任务管理器中的,只不过有些病毒把自己注册成了关键进程,致使我们用系统自带的任务管理器(TaskMgr)无法将其终止罢了。还有些病毒采用了双线程守护技术,即一个前台一个后台,后台时刻监视着前台的程序,一旦发现前台程序被终止后台立刻重新生成一个前台程序并运行它,导致查杀越来越困难。
病毒程序的启动的方式
病毒程序必须要在开机就运行才能达到目的,所以它一般会在注册表的启动项、服务(2k以上)、System.ini、win.ini中写下启动项,所以我们识别病毒就要注意这几个地方。
注册表中系统启动的几个地方:
HkEY_CURRENT_USER和HKEY_LOCAL_MACHINE下的
Win.ini中的地方(win98\me)
System.ini(win98\me)
系统服务(win2K以上)
识别运行中的病毒
下面该请出我们的工具进程查看器(PrcView),这款工具只有81KB,不用安装解压缩即可使用。它可以把系统当前正在运行的程序都列出来,并能显示出程序原始位置及版本信息、线程模块及将其KILL的功能等等。
首先启动进程查看器,主窗口中列出了正在运行的程序及其路径。
如果我们知道某一个正在运行中的程序是病毒程序,则可以右击程序名选择结束进程(K),将弹出一个结束进程对话,点击结束进程就可以将病毒程序终止掉。此时进入程序所在目录将其删除即可。
很多时候,我们并不知道哪一个程序是病毒程序,此时可以双击正在运行中可疑程序(名字与系统程序相同却不在应该在的路径等等),将弹出一个版本信息窗口,上面列出了该程序的版本信息,一般正规的软件作者都会在程序上写下自己的版权信息,如图所示为微软出的程序
病毒程序一般版权信息为空,如图所示
当然,笔者所列的这个也不是病毒程序而是srvany.exe,这也是微软支持包上所带的一个工具,它的建立日期和修改日期比较早,一般病毒程序都会是近期的。
找到可疑的病毒程序后,就是将其结束进程,然后到所在目录下将其删除即可。
附进程查看器下载地址:
http://www.pxue.com/blogview.asp?logID=19
本文作者:snowsky(http://www.pxue.com/)转载请保留此行
关键字:手工识别、查杀病毒
所用工具:进程查看器(PrcView)、注册表编辑器(Regedit)
常在网上看到很多网友在各大BBS发贴求助,标题大都是些“计算机运行越来越慢,请问高手是不是中了病毒“或”XX.exe文件是不是病毒?“。在回答了N多个网友类似的问题之后,笔者不得不考虑写一个教程来普及一下手工识别查杀病毒的方法了。
今天就来谈谈如何手工识别查杀计算机中的病毒。
认识一下病毒程序
病毒程序(本文仅指exe病毒,对Dll型病毒另文叙述)和普通程序是一样的,都是一个Exe可执行程序,只不过它做了对我们计算机不利的事,所以我们就叫它病毒程序。病毒程序在运行的时候也是会出现2k以上计算机的任务管理器中的,只不过有些病毒把自己注册成了关键进程,致使我们用系统自带的任务管理器(TaskMgr)无法将其终止罢了。还有些病毒采用了双线程守护技术,即一个前台一个后台,后台时刻监视着前台的程序,一旦发现前台程序被终止后台立刻重新生成一个前台程序并运行它,导致查杀越来越困难。
病毒程序的启动的方式
病毒程序必须要在开机就运行才能达到目的,所以它一般会在注册表的启动项、服务(2k以上)、System.ini、win.ini中写下启动项,所以我们识别病毒就要注意这几个地方。
注册表中系统启动的几个地方:
HkEY_CURRENT_USER和HKEY_LOCAL_MACHINE下的
Code:
Software\Microsoft\Windows\CurrentVersion\Run
Software\Microsoft\Windows\CurrentVersion\RunOnce
Software\Microsoft\Windows\CurrentVersion\RunServices
Software\Microsoft\Windows\CurrentVersion\RunOnce
Software\Microsoft\Windows\CurrentVersion\RunOnce
Software\Microsoft\Windows\CurrentVersion\RunServices
Software\Microsoft\Windows\CurrentVersion\RunOnce
Win.ini中的地方(win98\me)
Code:
Run=""
Load=""
以上两个一般为"",如果安装了打印机驱动如HP-6L则会修改Load。
Load=""
以上两个一般为"",如果安装了打印机驱动如HP-6L则会修改Load。
System.ini(win98\me)
Code:
shell="explorer.exe"
正常的应该是这一行,如果不是请改回
正常的应该是这一行,如果不是请改回
系统服务(win2K以上)
Code:
开始>运行 输入:services.msc打开服务窗口,查找可疑的服务,将其改为禁止并记下服务名和程序原始位置,然后到注册表HKEY_LOCAL_MACHINE\System\ControlSet001\Services找到相应的服务名,将其删除,重启再删除原程序即可。
识别运行中的病毒
下面该请出我们的工具进程查看器(PrcView),这款工具只有81KB,不用安装解压缩即可使用。它可以把系统当前正在运行的程序都列出来,并能显示出程序原始位置及版本信息、线程模块及将其KILL的功能等等。
首先启动进程查看器,主窗口中列出了正在运行的程序及其路径。
如果我们知道某一个正在运行中的程序是病毒程序,则可以右击程序名选择结束进程(K),将弹出一个结束进程对话,点击结束进程就可以将病毒程序终止掉。此时进入程序所在目录将其删除即可。
很多时候,我们并不知道哪一个程序是病毒程序,此时可以双击正在运行中可疑程序(名字与系统程序相同却不在应该在的路径等等),将弹出一个版本信息窗口,上面列出了该程序的版本信息,一般正规的软件作者都会在程序上写下自己的版权信息,如图所示为微软出的程序
病毒程序一般版权信息为空,如图所示
当然,笔者所列的这个也不是病毒程序而是srvany.exe,这也是微软支持包上所带的一个工具,它的建立日期和修改日期比较早,一般病毒程序都会是近期的。
找到可疑的病毒程序后,就是将其结束进程,然后到所在目录下将其删除即可。
附进程查看器下载地址:
http://www.pxue.com/blogview.asp?logID=19
[本日志由 飘雪 于 2004-11-19 09:32 AM 编辑]
引用通告地址 (0):
http://www.pxue.com/trackback.asp?tbID=160
http://www.pxue.com/trackback.asp?tbID=160&CP=GBK
