首页 > 实用文档 > 其他范文

病毒也能手动剿灭

2022-05-07 07:59:38| 收藏本文下载本文作者：可能是郑柏旭

今天小编在这给大家整理了病毒也能手动剿灭(共含9篇），我们一起来阅读吧!同时，但愿您也能像本文投稿人“可能是郑柏旭”一样，积极向本站投稿分享好文章。

病毒也能手动剿灭

篇1：病毒也能手动剿灭

上网最恐怖的事莫过于新病毒出来的时候，尽管电脑上我们都装有各种强大的杀毒软件，也配置了定时自动更新病毒库，但病毒总是要先于病毒库的更新的，所以中招的每次都不会是少数，这里列举一些通用的杀毒方法，自己亲自动手来用系统自带的工具绞杀病毒：

一、自己动手前，切记有备无患――用TaskList备份系统进程

新型病毒都学会了用进程来隐藏自己，所以我们最好在系统正常的时候，备份一下电脑的进程列表，当然最好在刚进入Windows时不要运行任何程序的情况下备份，样以后感觉电脑异常的时候可以通过比较进程列表，找出可能是病毒的进程，

在命令提示符下输入：

TaskList /fo:csv>g:zc.csv

上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中，g:为你要保存到的盘，可以用Excel打开该文件.

二、自己动手时，必须火眼金睛――用FC比较进程列表文件如果感觉电脑异常，或者知道最近有流行病毒，那么就有必要检查一下。

进入命令提示符下，输入下列命令：

TaskList /fo:csv>g:yc.csv

生成一个当前进程的yc.csv文件列表，然后输入：

FC g:zccsv g:yc.csy

回车后就可以看到前后列表文件的不同了，通过比较发现，电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程，

三、进行判断时，切记证据确凿――用Netstat查看开放端口对这样的可疑进程，如何判断它是否是病毒呢？根据大部分病毒（特别是木马）会通过端口进行对外连接来传播病毒，可以查看一下端口占有情况。

在命令提示符下输入：

Netstat -a-n-o

参数含义如下：

a:显示所有与该主机建立连接的端口信息

n:显示打开端口进程PID代码

o：以数字格式显示地址和端口信息

回车后就可以看到所有开放端口和外部连接进程，这里一个PID为1756（以此为例）的进程最为可疑，它的状态是“ESTABLISHED”，通过任务管理器可以知道这个进程就是“Winion0n.exe”，通过查看本机运行网络程序，可以判断这是一个非法连接！

连接参数含义如下：

LISTENINC：表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接，只有TCP协议的服务端口才能处于LISTENINC状态。

ESTABLISHED的意思是建立连接。表示两台机器正在通信。TIME-WAIT意思是结束了这次连接。说明端口曾经有过访问，但访问结束了，用于判断是否有外部电脑连接到本机。

篇2：如何手动清除“灰鸽子”病毒

灰鸽子（Backdoor.Huigezi）作者现在还没有停止对灰鸽子的开发，再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳，造成现在网络上不断有新的灰鸽子变种出现，尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本，但由于变种繁多，还会有一些漏网之鱼。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到，那很可能是中了还没有被截获的新变种。这个时候，就需要手工杀掉灰鸽子。

手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。

灰鸽子的运行原理

灰鸽子木马分两部分：客户端和服务端。（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载

G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录，2k/NT下为系统盘的Winnt目录)，然后再从体内释放G_Server.dll和G_Server_Hook.dll到windows目录下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三个文件相互配合组成了灰鸽子服务端，有些灰鸽子会多释放出一个名为G_ServerKey.dll的文件用来记录键盘操作。注意，G_Server.exe这个名称并不固定，它是可以定制的，比如当定制服务端文件名为A.exe时，生成的文件就是A.exe、A.dll和A_Hook.dll。

灰鸽子（Backdoor.Huigezi）作者现在还没有停止对灰鸽子的开发，再加上有些人为了避开杀毒软件的查杀故意给灰鸽子加上各种不同的壳，造成现在网络上不断有新的灰鸽子变种出现。尽管瑞星公司一直在不遗余力地收集最新的灰鸽子样本，但由于变种繁多，还会有一些漏网之鱼。如果您的机器出现灰鸽子症状但用瑞星杀毒软件查不到，那很可能是中了还没有被截获的新变种。这个时候，就需要手工杀掉灰鸽子。

手工清除灰鸽子并不难，重要的是我们必须懂得它的运行原理。

灰鸽子的运行原理

灰鸽子木马分两部分：客户端和服务端，

（姑且这么称呼吧）操纵着客户端，利用客户端配置生成出一个服务端程序。服务端文件的名字默认为G_Server.exe，然后通过各种渠道传播这个木马（俗称种木马或者开后门）。种木马的手段有很多，比如，可以将它与一张图片绑定，然后假冒成一个羞涩的MM通过QQ把木马传给你，诱骗你运行；也可以建立一个个人网页，诱骗你点击，利用IE漏洞把木马下载到你的机器上并运行；还可以将文件上传到某个软件下载站点，冒充成一个有趣的软件诱骗用户下载

Windows目录下的G_Server.exe文件将自己注册成服务（9X系统写注册表启动项），每次开机都能自动运行，运行后启动G_Server.dll和G_Server_Hook.dll并自动退出。G_Server.dll文件实现后门功能，与控制端客户端进行通信；G_Server_Hook.dll则通过拦截API调用来隐藏病毒。因此，中毒后，我们看不到病毒文件，也看不到病毒注册的服务项。随着灰鸽子服务端文件的设置不同，G_Server_Hook.dll有时候附在Explorer.exe的进程空间中，有时候则是附在所有进程中。

灰鸽子的手工检测

由于灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了显示所有隐藏文件也看不到它们。此外，灰鸽子服务端的文件名也是可以自定义的，这都给手工检测带来了一定的困难。

但是，通过仔细观察我们发现，对于灰鸽子的检测仍然是有规律可循的。从上面的运行原理分析可以看出，无论自定义的服务器端文件名是什么，一般都会在操作系统的安装目录下生成一个以_hook.dll结尾的文件。通过这一点，我们可以较为准确手工检测出灰鸽子木马。

由于正常模式下灰鸽子会隐藏自身，因此检测灰鸽子的操作一定要在安全模式下进行。进入安全模式的方法是：启动计算机，在系统进入Windows启动画面前，按下F8键(或者在启动计算机时按住Ctrl键不放)，在出现的启动选项菜单中，选择Safe Mode或安全模式。

1、由于灰鸽子的文件本身具有隐藏属性，因此要设置Windows显示所有文件。打开我的电脑，选择菜单工具》文件夹选项，点击查看，取消隐藏受保护的操作系统文件前的对勾，并在隐藏文件和文件夹项中选择显示所有文件和文件夹，然后点击确定。

篇3：手动清除explorer.exe病毒

看名字就可以知道这是一个伪装病毒，具体名称trojan/vbs.zapchast.b,不是最新病毒，该病毒会在电脑上生成一个folder.htt文件，不一定是在系统盘里，也就是说重装系统也不一定能管用。

感染explorer.exe病毒的症状是，任务管理器中出现两个EXPLORER.EXE/explorer.exe这样的进程，还有一个很明显的表现，就是有有病毒的文件夹里的程序双击后一闪就消失了，有这两种情况说明你铁定中招了，如何判断哪个是病毒，我是把两个进程都关了一次，就知道了，简单有效。也可以看它的内存使用分析下，我的EXPLORER.EXE内存使用是1，8684K,exeplorer.exe内存使用是2982k，所以可以判断小写的exeplorer.exe确定是病毒。(你可以在新装系统后留意下EXPLORER.EXE的内存使用) 病毒已经确定，首先结束掉这个进程，再在开始菜单-运行-键入msconfig-回车，查看一下你的启动项，禁止exeplorer.exe随系统启动。

然后找到C:Program FilesInternet Explorer目录: 红色圈圈的就是病毒文件了，shift+delete杀掉它，最后我们打开注册表，

你可以手动查找位置在： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 也可以点击编辑-查找-键入explorer.exe别忘了在字符匹配前打上对号，回车就会找到一个名称为ms..（名字我记不清了是以m打头的）数据为C:Program FilesInternet Explorerexeplorer.exe,删除掉。

好了任务结束，你可以重新启动下电脑，看看还有没有这个进程。本人在windows xp适用成功这个木马杀除比较棘手。

这个木马进入计算机后，产生主要的三个文件是：interapi32.dll,interapi64.dll,exp1orer.exe特别狡猾的是容易和Explorer.exe混淆，

它是数字1不是字母l。这个病毒入驻进程以后，会大量的消耗系统资源，并会跟着资源管理器一同启动

。杀除方法如下：

1、关闭Xp系统的还原功能。具体的可以进入组策略查找或是右击我的电脑属性，关闭系统还原功能。

2、然后在运行键入regedit，打开注册表编辑器。删除以下键值 [HKEY_CLASSES_ROOTCLSID{081FE200-A103-11D7-A46D-C770E4459F2F}] @=“hookmir” [HKEY_CLASSES_ROOTCLSID{081FE200-A103-11D7-A46D-C770E4459F2F}InprocServer32] @=“C:WINNTsystem32interapi64.dll” “ThreadingModel”=“Apartment” [HKEY_CLASSES_ROOTCLSID{081FE200-A103-11D7-A46D-C770E4459F2F}ProgID] @=“interapi64.classname” [HKEY_CLASSES_ROOTinterapi64.classname] @=“hookmir” [HKEY_CLASSES_ROOTinterapi64.classnameClsid] @=“{081FE200-A103-11D7-A46D-C770E4459F2F}” [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks] “{081FE200-A103-11D7-A46D-C770E4459F2F}”=“hookmir”

3、重新启动系统，进入文件夹选项菜单，单击查看选项卡，显示隐藏的文件和文件夹，显示系统文件，扩展名。然后在Windows/WINNT（/NT)/system32下找到interapi32.dll,interapi64.dll,exp1orer.exe三个文件，将其删除就可以了。（注：exp1orer.exe伪装成了jpg的图片格式图标。小心谨慎。还有文件夹选项卡在杀除病毒后可以自己把它改回到原来的状态）!

篇4：更改扩展名也能查杀病毒

一日，同事的计算机出了问题，请我帮忙，

更改扩展名也能查杀病毒

。根据同事的叙述和我的实地观察，可以肯定是中了病毒，症状表现打开*.EXE文件时系统提示错误。再看看同事的电脑，哈哈，杀毒软件还是DIY时老板给装的盗版货。立马回家，用U盘拷贝了最新的瑞星杀毒软件安装程序，把安装程序复制到同事电脑的D:rising文件夹下，准备安装。

单击安装程序setup.exe，呀!怎么回事，系统提示错误(如图1)，不能安装。哦!原来系统已经中了病毒，所有的*.exe文件都打不开，而瑞星的安装程序的文件名就是setup.exe，肯定也打不开呀，都怪我思考问题不全面呀!如果放到DOS下杀毒，一来速度较慢，二来还得制作DOS杀毒盘。忽然，想到了以前学过的DOS知识，*.exe是可执行文件，*.com也是可执行文件呀，如果将setup.exe改为setup.com不就可以运行了吗?打开“资源管理器”，单击“工具→文件夹选项”(如果是Windows 98，则选择“查看→文件夹选项”)，再单击“查看”标签，然后将“隐藏已知文件的扩展名”选项前的钩去掉(如图2)，

接下来，把setup.exe改为setup.com，在更改文件扩展名的过程中系统会弹出确认对话框，选择“是”即可。

酷噻!终于出现了瑞星安装程序界面，按照提示顺利进行安装。安装好之后进行全面杀毒，一共查杀2000多顺利进行了安装。安装好之后进行全面杀毒，一共查杀2000多个病毒，杀毒后，电脑运行正常。

篇5：不用杀毒软件也能清除病毒

有时候电脑没有安装任务杀毒软件,中病毒之后是否得重装系统呢,当然,如果你知识怎么用DOS杀的话,那可能会有很大的成就感吧.下面就教你几招. 内容出自电脑硬件知识网www.hack50.com

第一步：先进DOS

最好的办法，就是在系统干净的时候，做一张DOS启动盘，用它启动系统，可以保证你杀毒的完美效果！也就是说，利用硬盘启动的时候，切入DOS操作系统（比上面：等选择界面出来后，按键盘上的上下方向键，选Command Prompt only，回车，）要有效地多！

进入DOS：有两个办法：1.点【开始】、【关闭系统】、选【重新启动系统并切换到MS-DOS方式】2.启动计算机的时候按住Ctrl键不放，等选择界面出来后，按键盘上的上下方向键，选Command Prompt only，回车，

说明：如果你用的是win和win xp，要先进入win98才行。内容出自电脑硬件知识网www.hack50.com

退出DOS：刚才我们进入了DOS，你看到的可能是c：WINDOWS> ，它的意思是你现在的位置在c盘的WINDOWS目录下（如果你用上面第二个方法进入dos，你看到的会是c：>），现在在它后面紧跟着输入个命令win，系统就会退出DOS返回到你熟悉的windows界面。注意，当你输入了win后可能看到电脑没什么反应，不用着急，电脑没坏，保持耐心多等等就行了。win这个命令很好记，win就是windows是缩写。内容出自电脑硬件知识网www.hack50.com

到此你已经会进入和退出DOS了，心里有底了，恭喜！你已经成功了50％！

篇6：教你如何手动清除explorer.exe病毒

explorer.exe是Windows程序管理器或者Windows资源管理器，它用于管理Windows图形壳，包括开始菜单、任务栏、桌面和文件管理，删除该程序会导致Windows图形界面无法适用，explorer.exe也有可能是w32.Codered等病毒。该病毒通过email邮件传播，当打开病毒发送的附件时，即被感染，会在受害者机器上建立SMTP服务，允许攻击者访问你的计算机、窃取密码和个人数据。那么该如何清除这个病毒呢？

第一步：中毒的电脑在进入XP系统的时候，会看不到界面，然后用Alt+Ctrl+Del进入任务管理器，你会发现CPU的使用率一直保持在100%上下，而且有两个EXPLORER.EXE进程(其中一个是正常进程，是系统调用的。若不能区别，可把两个进程都结束掉，再“切换到-应用程序-新任务-浏览-选择”C:WINDOWS“文件夹下的explorer.exe，然后打开就可以重启系统的EXPLORER.EXE进程)，还有一个可疑进程wsctf.exe.关了这两个后，能进入操作界面，但病毒还没清理干净。

第二步：用杀毒软件杀毒，会发现这两个病毒位于”C: WINDOWSsystem32“，病毒名为”Trojan.PSW.SBoy.a/b“，

很多杀毒软件并不能杀除。

第三步：由于重启后病毒还在而且进不了系统，可以推断病毒很大可能就在启动项里面，重复第一步，进入系统后，“开始-运行-msconfig”,把这两个名字的复选框解除，确定后选择“退出而不重启”。

第四步：我的电脑-工具-文件夹选项-查看-解除”隐藏受保护的操作系统文件“复选，在弹出的对话框中按”是“，然后再选择”显示所有文件和文件夹“,进入”C:WINDOWSsystem32“-删除掉文件夹里面的wsctf.exe和EXPLORER.EXE两个文件(如果删除不了可以更改其后缀名为。txt 再将其删除)。

第五步：开始-运行-regedit,按确定后打开注册表。进入HKEY_CURRENT_USER SoftwareMicrosoft WindowsCurrentVersionRun目录，右键删除掉wsctf.exe和EXPLORER.EXE两条记录。进入 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, 可以看到键值项Userinit,其值为userinit.exe,EXPLORER.EXE,双击Userinit将中间的逗号和 EXPLORER.EXE删除。

篇7：新手也能对付病毒：告别垃圾邮件

几乎可以这样说，如果你有免费电子邮箱，你收到垃圾邮件的机会将会很高，对付垃圾邮件除了各方共同努力外，对于普通用户来讲，注意以下几点是可以防范垃圾邮件的：

一、不要响应不请自来的电子邮件或者垃圾邮件，绝对不要回复垃圾邮件，如果你回复甚至警告他们不要再发，这无疑也相当于告诉对方你的邮件地址实际存在，今后你可能会收到更多的垃圾邮件。所以，即使垃圾邮件上写有“如果不需要此邮件的话请回信告知”等句子，也决不要回复，这一点非常重要。

二、不要试图点击垃圾邮件中的任何链接，某些垃圾邮件发送者会自动收集点击者的信息，事实上当你点击链接进入相应网站时就无疑高速对方这个电子邮件地址是存在的（不然谁会去点击？）。

三、不要把您的邮件地址在因特网页面上到处登记，如果经常用某个邮件地址在网上大量注册（很多论坛都要求填写email地址然后给你发送密码），相信你今后收到垃圾邮件的次数会越来越多，那怎么办呢？告诉你一个方法：由于网络上收集电子邮件地址通常是用软件进行，而目前的电子邮箱表示法中都会包含？A HREF=“mailto：@”这个符号，所以当你注册成功后不妨再次进入论坛，将电子邮箱中的”@”改为其他符号如“#”，这样其他用户查看时会知道你的email的，但对付那些软件就有效多了；不过有些网站，检测地址的合法性，所以此法肯定行不通，那也有办法DD将电邮地址修改为其他的字符组合，比如增加字符长度等。“>@”这个符号，所以当你注册成功后不妨再次进入论坛，将电子邮箱中的”@”改为其他符号如“#”，这样其他用户查看时会知道你的email的，但对付那些软件就有效多了；不过有些网站，检测地址的合法性，所以此法肯定行不通，那也有办法DD将电邮地址修改为其他的字符组合，比如增加字符长度等，

四、不要登陆并注册那些许诺在垃圾邮件列表中删除你名字的站点。

五、保管好自己的邮件地址，不要把它告诉给你不信任的人。

六、不订阅不健康的电子杂志，以防止被垃圾邮件收集者收集。

七、谨慎使用邮箱的“自动回复”功能。为了体现互联网高效、快捷的特点，很多网站和邮件收发工具中都设置了“自动回复”功能，这虽然方便，但是如果两个联系人之间都设置了“自动回复”，想想看有何后果？恐怕双方的邮箱中都是一些“自动回复”的垃圾信件。换句话说，此功能使用不当，人人都会变成垃圾邮件发送者。

八、发现收集或出售电子邮件地址的网站或消息，请告诉相应的主页提供商或主页管理员，将您删除，以避免邮件地址被他们利用。

九、用专门的邮箱进行私人通信，而用其他邮箱订阅电子杂志。

篇8：WinZIP也能扫描系统病毒病毒防范

很少人知道WinZip还能扫描病毒，作为压缩软件的WinZip的确能除去电脑中的病毒，利用这一功能，WinZip就可以在病毒对你的系统发动攻击之前，扫描相关的压缩文件，并对有毒情况予以报警。如果我们是第一次使用WinZip中的病毒扫描功能的话，首先必须让WinZip知道机器中已经安装的病毒扫描程序所在的位置，

进入WinZip Classic界面后，用鼠标依次单击“Actions”/“Virus Scan” 命令，随后系统会出现一个对话框，询问是否要指定一种防病毒软件作为WinZip的病毒扫描程序，用鼠标选择“yes” ，接着程序将打开“Configuration”对话对话框，单击该界面中的浏览按钮，在打开的对话对话框中选择病毒扫描要使用的防病毒软件中的可执行文件。完成上述设置之后，我们就可以利用WinZip来扫描病毒了，在扫描过程中如果发现病毒，将弹出警告或讯息对话框，提醒我们赶快进行杀毒工作。

篇9：新手也能对付病毒：卸载“流氓软件”

一.7（现更名阿里巴巴）的卸载

：在开始菜单的程序组里找到上网助手把7卸载了（上网助手捆绑了7的）。如果开始菜单找不到，请到“控制面板”→“添加或删除程序”中找“上网助手”和“网络实名”，把它们卸载了。

：重新启动机器。

：下载一个专门查看系统进程的程序，这个程序的好处是可以搜索含某一字段的进程，并可以强制杀死（终止）绝大多数进程，当然也包括7的相关进程。在这里我们推荐下载ProceExplorerv9.汉化版，67K，绿色软件。

软件介绍：ProceExplorer是一款增强型的任务管理器，你可以使用它方便地管理你的程序进程，能强行关闭任何程序（包括系统级别的不允许随便终止的“顽固”进程）。除此之外，它还详尽地显示计算机信息：CPU、内存使用情况，DLL、句柄信息，很酷的曲线图...

，使用ProceExplorer中止进程的办法：

打开ProceExplorer软件（绿色软件不需要安装的，下载后解压，点击唯一的一个程序文件procexp就可以了），按CTRLF键（此系快捷键，查找等功能在菜单上也有）并查找所有有关“c”和“7”的句柄（项目），在查到的每一个句柄上点右键选择“关闭句柄”将其关闭（7在卸载后还有哪些其他句柄仍在运行中，笔者未详查，有知道者请列一下）。

5，此时可以再来使用“7完全卸载”程序或者“7彻底卸载”程序，有可能此时这些程序不会再出错了，也就完成了卸载工作，

二.阻止“淘宝”网弹出窗口的办法

IE用户的免疫方法

如果系统是win000/XP/00，请在“开始”→“运行”中输入（建议复制粘贴引号内文字）：“notepad.exe%windir%systemdriversetchosts”。

如果系统是win98/me，请在“开始”→“运行”中输入（建议复制粘贴引号内文字）：“notepad.exe%windir%hosts”。

如果系统提示：“找不到文件hosts.txt是不是创建新的文件？”请选择否。

在最后添加如下内容（建议复制粘贴引号内文字）：“

#killtaobao

0.0.0.0http：//www.taobao.com

0.0.0.0page.taobao.com

0.0.0.0search.taobao.com

0.0.0.0taobao.com