情况二,你根本不知道你是不是中毒了,怎么办?要从计算机最基本的开始查,进程表。这个一般是查出问题的关键之处。一般都要使用第三方软件来查看,如 windows优化大师的进程管理器,柳叶擦眼等。查看进程表,那些标识为系统文件的进程你可以不看,而那些非系统进程你要注意了。象一些仿系统文件的进程则是我们重点关心的对象,发现即禁止掉,然后到相应的路径改名。(由于是非系统进程,终止掉它到下次重新启动也不会影响计算机的正常运行)然后,查看该文件的属性,尤其是查看“创建时间”如果和你的中毒时间相仿或是差不多远,那就说明这个文件十之八九就为病毒文件。一般的系统文件创建时间都是很早哦,大约要比当前时间早一到两年,甚至三年五年的。按如此办法我们就可以逐一的找出可疑的文件,然后按以下的方法进行病毒的清理。
清理工作的开始:
⒈准备工作:
下载进程管理软件:柳叶擦眼 没有的请到以下地址下载:
http://www.e3i5.com/soft/SoftView.Asp?SoftID=361
这里我推荐使用 柳叶擦眼 因为它是个绿色软件,不需要安装,下载解压后该怎么用就怎么用,方便。
进行手工杀毒的准备工作,先关闭你能关闭的所有软件,包括杀毒软件,防火墙,宽带连接等等一切能生成进程的东西.只保留必要的系统进程,这样会使以后的操作带来很多方便。
⒉查看系统进程:除了显示系统文件外,将所有无关的进程杀掉。
如:查看进程表定位文件。intneter.exe c:\windows\system\intneter.exe 这里的intneter.exe就是仿intnater.exe输入法进程加载到系统的非法进程文件,我们应马上结束这个进程,并删除对应的文件,注意一些文件是隐藏的,在查找时应用"文件夹选项"打开对隐藏文件的查看.
如果不知道相关的进程,你可以这样尝试,
将进程软件下载后,断网,关闭运行的软件,打开进程管理软件,软件显示的系统进程你不要理,如果你不知道你以前正常的软件进程名是什么的话,将所有非系统的进程全部杀死,(注意除了进程查看软件之外的哦,我要是不说一定有人连它一起杀了.)并记下他们的文件路径,并记录下来。由于不知道是否是非法文件暂时改名,也记录下来,以便修改。
⒊修改注册表
开始 ------ > 运行 ------ > REGEDIT ------ > 编辑 ------ > 查找
查找
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices]主键下所有的键都为空,如果不为空,全部清理为空.使系统启动不加载任何程序。(一般的来说,驱动程序除了一些显示驱动会保留在启动项里,其他重要的很少了)如果你知道你常用软件所在RUN以及相关键下的值,当然更好,你就可以选择性的进行清理。对以后的整理工作会更方便些。
修改以下注册表关联项目:
[HKEY_CLASSES_ROOT\ chm.file\ shell\ open\ command "(默认)" "%windir%\hh.exe" %1 ]
[HKEY_CLASSES_ROOT\ exefile\ shell\ open\ command "(默认)" "%1" %* ]
[HKEY_CLASSES_ROOT\ inifile\ shell\ open\ command "(默认)" %windir%\NOTEPAD.EXE %1 ]
[HKEY_CLASSES_ROOT\ regfile\ shell\ open\ command "(默认)" regedit.exe "%1" ]
[HKEY_CLASSES_ROOT\ scrfile\ shell\ open\ command "(默认)" "%1" /S ]
[HKEY_CLASSES_ROOT\ txtfile\ shell\ open\ command "(默认)" %windir%\NOTEPAD.EXE %1]
⒋清理启动项配置文件
1.进入配置管理,除WIN 2K外都为MSCONFIG.
开始 ------ > 运行 ------ > MSCONFIG
WIN 9X用户注意:将启动配置里所有带*.hta,的去掉。HTA的特性就是隐藏掉窗体,然后一段时间就弹出网页.
进入:system.ini
修改[BOOT]
shell=Explorer.exe //注意:后面没东西了,再有什么,改成和前面一样的。
进入:WIN.INI
修改[WINDOWS]
//注意load键后面除了=号什么也没有。空格都不行。
LOAD=
NULLPORT=NONE
修改:autoexec.bat 内容为空
WIN 2K 直接进入启动编辑器。
修改以上三个文件.
记得这三个文件里没有任何为空的指令命令,有就删除。
任何值如果为空的话就是什么都没有,甚至于空格都不存在。有之,改!
⒌清理注册表垃圾信息
开始 ------ > 运行 ------ > REGEDIT ------ > 编辑 ------ > 查找
将开机运行的那个站点进行搜索找到即删除.
⒍清理缓存 [这点最重要]
一定要把你的IE缓冲区清理干净,以及TEMP文件夹的临时文件和垃圾文件清理干净。
好了,将你记录的路径的文件保存,然后重新启动计算机。
⒎清理校验
1.启动计算机后,再次打开柳叶擦眼,查看进程,看除了系统进程是否还有其他进程存在。如果没有,说明手工清理完成。如果还发现异常的进程请重复以上步骤。
2.确认杀毒完成后,你开始逐一的启动各类软件,检查你所改名的文件是否会影响到软件运行,如果没有异常发生,请删除或放入你杀毒软件的隔离区,(为什么要选择后者毕竟我们还不清楚这是不是病毒文件,即使是在隔离区的文件系统是不会再次运行的).
[注意]做这项工作时你一定要想起你在杀进程时保存的那个进程路径列表文件,依照上面的文件逐一的进行检查.
3.逐一恢复了所有的进程后,重新启动计算机,再做最后一次检测。以防万一。
4.到此为止,你已经完成了你的全部手工清理过程,病毒已经被你请出你的计算机了。
总结:
不论怎么说,自己亲自清理过一次网页病毒后,你会觉得网页病毒其实也并非那样可怕,最难的是挑战自我的勇气。我个人并不推荐计算机出了问题就是格盘、重装,这并非是一个解决问题的途径。我们建议大家首先先简单的认识恶意网页的代码机理为的就是从根本上来解决问题。但,我们更强调的是动手能力。当然我的意思也并非完全抛弃杀毒和防毒软件,但,毕竟是个工具。俗话讲得好:事在人为。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
