有什么好的電腦病毒清除軟件呢!學(xué)習(xí)啦小編來教你!

　　電腦病毒清除軟件：

　　一 EXE后綴型病毒文件的手工殺毒的方法教程：

　　這類病毒一般是以進(jìn)程的方式運行，這類病毒一般是比較好被發(fā)現(xiàn)的。下邊先說下這類病毒，是在哪里啟動的。

　　1/注冊表 如果發(fā)現(xiàn)計算機(jī)有不名的進(jìn)程和異常情況請在注冊表內(nèi)下列地方進(jìn)行核實找住可以的程序進(jìn)行刪除

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServicesOnce

　　HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

　　HKEY_CURRENT_USER \Software \Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\Run

　　HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion

　　Explorer/ShellFolders Startup="C:/windows/start menu/programs/startup

　　2/系統(tǒng)WIN.INI文件內(nèi)在win.ini文件中，“run=”和“load=”是可能加載“木馬”程序的途徑，必須仔細(xì)留心它們。一般情況下，它們的等號后面什么都沒有，如果發(fā)現(xiàn)后面跟有路徑與文件名不是你熟悉的啟動文件，你的計算機(jī)就可能中上“木馬”了。當(dāng)然你也得看清楚，因為好多“木馬”，如“AOL Trojan木馬”，它把自身偽裝成command.exe文件，如果不注意可能不會發(fā)現(xiàn)它不是真正的系統(tǒng)啟動件。也許你會問了我是XP系統(tǒng)啊怎么沒有這個呢?不必?fù)?dān)心給你個正確的你參考下就知道有沒有可疑程序了。下邊就是正常的WIN.INI(XP)

　　; for 16-bit app support

　　[fonts]

　　[extensions]

　　[mci extensions]

　　[files]

　　[Mail]

　　MAPI=1

　　CMCDLLNAME32=mapi32.dll

　　CMCDLLNAME=mapi.dll

　　CMC=1

　　MAPIX=1

　　MAPIXVER=1.0.0.1

　　OLEMessaging=1

　　[MCI Extensions.BAK]

　　aif=MPEGVideo

　　aifc=MPEGVideo

　　aiff=MPEGVideo

　　asf=MPEGVideo2

　　asx=MPEGVideo2

　　au=MPEGVideo

　　m1v=MPEGVideo

　　m3u=MPEGVideo2

　　mp2=MPEGVideo

　　mp2v=MPEGVideo

　　mp3=MPEGVideo2

　　mpa=MPEGVideo

　　mpe=MPEGVideo

　　mpeg=MPEGVideo

　　mpg=MPEGVideo

　　mpv2=MPEGVideo

　　snd=MPEGVideo

　　wax=MPEGVideo2

　　wm=MPEGVideo2

　　wma=MPEGVideo2

　　wmv=MPEGVideo2

　　wmx=MPEGVideo2

　　wvx=MPEGVideo2

　　wpl=MPEGVideo

　　3/SYSTEM.INI文件中在system.ini文件中，在[BOOT]下面有個“shell=文件名”。正確的文件名應(yīng)該是“explorer.exe”，如果不是 “explorer.exe”，而是“shell= explorer.exe 程序名”，本文發(fā)表于pcpxp.com網(wǎng)站，那么后面跟著的那個程序就是“木馬”程序，就是說你已經(jīng)中“木馬”了。 又會有人問了我是XP系統(tǒng)怎么又不一樣呢?在給你個正常的XP系統(tǒng)的SYSTEM.INI請大家可以參考下 正常的SYSTEM.INI文件

　　; for 16-bit app support

　　[drivers]

　　wave=mmdrv.dll

　　timer=timer.drv

　　[mci]

　　[driver32]

　　[386enh]

　　woafont=app936.FON

　　EGA80WOA.FON=EGA80WOA.FON

　　EGA40WOA.FON=EGA40WOA.FON

　　CGA80WOA.FON=CGA80WOA.FON

　　CGA40WOA.FON=CGA40WOA.FON

　　4/在config.sys內(nèi) 這類加載方式比較少見 ,但是并不是沒有,如果上述方法都找不到的話,請來這里也許會有收獲的。

　　5/在autuexec.bat內(nèi) 這類加載方式也是比較少見,建議跟config.sys方法一樣。

　　4 和5 的加載方式建議大家先必須確定計算機(jī)有病毒后在 并且上邊的方法都找不到后，最后來這里進(jìn)行查找。

　　總結(jié)：這類病毒是比較容易暴露的，建議手動刪除時最好進(jìn)入安全模式下，因為安全模式只運行WINDOWS必備的系統(tǒng)進(jìn)程，EXE型病毒很容易暴露出來的，下邊附上一張WINDOWS安全模式的 必須進(jìn)程表

　　smss.exe Session Manager

　　csrss.exe 子系統(tǒng)服務(wù)器進(jìn)程

　　winlogon.exe 管理用戶登錄

　　services.exe 包含很多系統(tǒng)服務(wù)

　　lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動程序。(系統(tǒng)服務(wù)) 產(chǎn)生會話密鑰以及授予用于交互式客戶/服務(wù)器驗證的服務(wù)憑據(jù)(ticket)。(系統(tǒng)服務(wù)) ->netlogon

　　svchost.exe 包含很多系統(tǒng)服務(wù) !!!->eventsystem,(SPOOLSV.EXE 將文件加載到內(nèi)存中以便遲后打印。)

　　explorer.exe 資源管理器 (internat.exe 托盤區(qū)的拼音圖標(biāo))

　　system

　　System Idle Process 這個進(jìn)程是不可以從任務(wù)管理器中關(guān)掉的。這個進(jìn)程是作為單線程運行在每個處理器上，并在系統(tǒng)不處理其他線程的時候分派處理器時間

　　taskmagr.exe 就是任務(wù)管理器了

　　二、DLL型后綴病毒的手工殺毒的方法教程：

　　這類病毒大多是后門病毒，這類病毒一般不會把自己暴露在進(jìn)程中的，所以說特別隱蔽，比較不好發(fā)現(xiàn)。啟動DLL后門的載體EXE是不可缺少的，也是非常重要的，它被稱為：Loader。如果沒有Loader，那DLL后門如何啟動呢?因此，一個好的DLL后門會盡力保護(hù)自己的Loader不被查殺。Loader的方式有很多，可以是為我們的DLL后門而專門編寫的一個EXE文件;也可以是系統(tǒng)自帶的Rundll32.exe和 Svchost.exe，即使停止了Rundll32.exe和Svchost.exeDLL后門的主體還是存在的?，F(xiàn)在大家也許對DLL有了個初步的了解了，但是不是后綴是DLL就是病毒哦，也不要因為系統(tǒng)有過多的Rundll32.exe和Svchost.exe進(jìn)程而擔(dān)心，因為他們不一定就是病毒，所以說這個病毒比較隱蔽，下邊來介紹幾種判別辦法：pcpxp.com供稿

　　1/Svchost.exe的鍵值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Svchost”每個鍵值表示一個獨立的Svchost.exe組。微軟還為我們提供了一種察看系統(tǒng)正在運行在 Svchost.exe列表中的服務(wù)的方法。以Windows XP為例：在“運行”中輸入：cmd，然后在命令行模式中輸入：tasklist /svc。如果使用的是Windows 2000系統(tǒng)則把前面的“tasklist /svc”命令替換為：“tlist -s”即可。如果你懷疑計算機(jī)有可能被病毒感染，Svchost.exe的服務(wù)出現(xiàn)異常的話通過搜索 Svchost.exe文件就可以發(fā)現(xiàn)異常情況。一般只會找到一個在：“C:\Windows\System32”目錄下的Svchost.exe程序。如果你在其他目錄下發(fā)現(xiàn)Svchost.exe程序的話，那很可能就是中毒了。

　　2/還有一種確認(rèn)Svchost.exe是否中毒的方法是在任務(wù)管理器中察看進(jìn)程的執(zhí)行路徑。但是由于在Windows系統(tǒng)自帶的任務(wù)管理器不能察看進(jìn)程路徑，所以要使用第三方的進(jìn)程察看工具。比如Windows優(yōu)化大師中的Windows 進(jìn)程管理 2.5。這樣，可以發(fā)現(xiàn)進(jìn)程到底饔昧聳裁碊LL文件.

　　3/普通后門連接需要打開特定的端口，DLL后門也不例外，不管它怎么隱藏，連接的時候都需要打開端口。我們可以用netstat –an來查看所有TCP/UDP端口的連接，以發(fā)現(xiàn)非法連接。大家平時要對自己打開的端口心中有數(shù)，并對netstat –an中的state屬性有所了解。當(dāng)然，也可以使用Fport來顯示端口對應(yīng)的進(jìn)程，這樣，系統(tǒng)有什么不明的連接和端口，都可以盡收眼底。

　　4/最關(guān)鍵的方法對比法。安裝好系統(tǒng)和所有的應(yīng)用程序之后，備份system32目錄下的EXE和DLL文件：打開CMD，來到 WINNTsystem32目錄下，執(zhí)行：dir *.exe>exe.txt & dir *.dll>dll.txt，這樣，就會把所有的EXE和DLL文件備份到exe.txt和dll.txt文件中;日后，如發(fā)現(xiàn)異常，可以使用相同的命令再次備份EXE和DLL文件(這里我們假設(shè)是exe0.txt和dll0.txt)，并使用：fc exe.txt exe0.txt>exedll.txt & fc dll.txt dll0.txt>exedll.txt，其意思為使用FC命令比較兩次的EXE文件和DLL文件，并將比較結(jié)果保存到exedll.txt文件中。通過這種方法，我們就可以發(fā)現(xiàn)多出來的EXE和DLL文件，并通過文件大小，創(chuàng)建時間來判斷是否是DLL后門。

　　DLL型病毒的清除方法

　　1/ 在確定DLL病毒的文件的話請嘗試下邊方法

　　移除方法：

　　1. 開始——運行——輸入"Regedit"

　　2. 搜索"*.dll"

　　3. 刪除搜索到的鍵值。

　　4. 重啟

　　5. 轉(zhuǎn)到C:\Windows\System32\

　　6. 刪除*.dll

　　2/到注冊表下列地方尋找DLL的蹤跡

　　HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ WindowsNT/ Currentversion/ Svchost

　　3/如果上邊的地方都找不到的話建議使用優(yōu)化大勢進(jìn)程顯示工具 對 RUNDLL32.EXE和SVCHOST.EXE里邊運行的DLL程序進(jìn)行核實找到病毒文件對其進(jìn)行結(jié)束 然后在對他進(jìn)行刪除 建議使用第1種方法是非常有效的

　　三、$NtUninstallQxxxxxxx$(x代表數(shù)字)型病毒的手工殺毒的方法教程：

　　這個屬于惡意腳本文件病毒。C盤下生成文件夾：$NtUninstallQxxxxxxx$(x代表數(shù)字) 冒充微軟更新補丁的卸載文件夾，并且在Win2000/XP下?lián)碛邢到y(tǒng)文件級隱藏屬性。下邊說下清楚方法

　　注冊表手動刪除啟動項，參考：

　　HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run

　　HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run

　　刪除：regedit -s C:$NtUninstallQxxxxxxx$\WINSYS.cer

　　HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\ CurrentVersion\ RunOnce

　　HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft\ Windows\ CurrentVersion\RunOnce

　　刪除：Sys32，值為：C:$NtUninstallQxxxxxxx$\WINSYS.vbs

　　HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Windows\ CurrentVersion \Run

　　刪除：Sys32，值為：regedit -s C:$NtUninstallQxxxxxxx$\WINSYS.cer

　　刪除：internat.exe，值為：internat.exe

　　刪除整個$NtUninstallQxxxxxxx$ 目錄

　　pcpxp.com 補充說明：

　　系統(tǒng)文件夾(\WINNT或\Windows)下出現(xiàn)的如$NtUninstallQ823980$ 、$NtUninstallQ814033$ 這類文件夾是Windows Update 或安裝微軟補丁程序留下的卸載信息，用來卸載已安裝的補丁，按補丁的編號如Q823980、Q814033 可以在微軟的網(wǎng)站查到相應(yīng)的說明。請注意與惡意代碼建立的文件夾區(qū)分。

　　四、壓縮文件殺毒工具對其不能刪除的病毒的手工殺毒的方法教程：

　　這類病毒大多是在IE臨時文件里的，請對臨時文件進(jìn)行清除即可清楚此類病毒，建議定時清理IE臨時文件。

　　補充：

　　1.)檢查注冊表

　　看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下，所有以 “Run”開頭的鍵值名，其下有沒有可疑的文件名。如果有，就需要刪除相應(yīng)的鍵值，再刪除相應(yīng)的應(yīng)用程序。

　　2.)檢查啟動組

　　木馬們?nèi)绻[藏在啟動組雖然不是十分隱蔽，但這里的確是自動加載運行的好場所，因此還是有木馬喜歡在這里駐留的。啟動組對應(yīng)的文件夾為：C:\windows\start menu\programs\startup，(查了下C沒這個東西?希望大家來研究，看你們的有這個目錄沒?)在注冊表中的位置： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ Shell

　　Folders Startup="C:\windows\start menu\programs\startup"。要注意經(jīng)常檢查這兩個地方哦!

　　3.)Win.ini以及System.ini也是木馬們喜歡的隱蔽場所，要注意這些地方

　　比方說，Win.ini的[Windows]小節(jié)下的load和run后面在正常情況下是沒有跟什么程序的，如果有了那就要小心了，看看是什么;在 System.ini的[boot]小節(jié)的Shell=Explorer.exe后面也是加載木馬的好場所，因此也要注意這里了。當(dāng)你看到變成這樣： Shell=Explorer.exe wind0ws.exe，請注意那個wind0ws.exe很有可能就是木馬服務(wù)端程序!趕快檢查吧。

　　4.)對于下面所列文件也要勤加檢查，木馬們也很可能隱藏在那里

　　C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。

　　5.)如果是EXE文件啟動，那么運行這個程序，看木馬是否被裝入內(nèi)存，端口是否打開。如果是的話，則說明要么是該文件啟動木馬程序，要么是該文件捆綁了木馬程序，只好再找一個這樣的程序，重新安裝一下了。

　　6.)萬變不離其宗，木馬啟動都有一個方式，它只是在一個特定的情況下啟動

　　所以，平時多注意一下你的端口，查看一下正在運行的程序，用此來監(jiān)測大部分木馬應(yīng)該沒問題的。