[原创]个人对病毒和木马手工查杀的一点经验和心得

逍遥一指令

和病毒以及木马斗争了那么久，从一个懂一点技术的电脑使用者到了现在大家所谓的老鸟，经历了很多，在这这里来总结一下自己在这个过程中积累下来的一些心得和经验

大多数的病毒或木马都会在系统自启动时加载或注册成系统服务，一般对WINDOWS系统熟悉一点的人都能够看出异常，但是我曾经就遇到一个幽灵病毒，这个病毒很另类，你在注册表RUN键值下可以很清楚的看到这个病毒的具体路径，不过当你打开病毒所在的文件夹时，该病毒就会进行自删除然后再建立一个新的病毒文件，我忙活了很久也没有搞定，这根本就不是常规作战嘛，我当时真的没辙了，这个病毒还有一个BT的地方，就是在注册表的RUN键值里删除了该病毒的项，在你重启电脑前该病毒都不会对注册表进行任何加载，但是在重启后注册表RUN键值下就又有了病毒项，我在网上查阅了很多资料都没有一个很好的解决办法，不过所谓福兮祸所依，这话还真的一点都不假，我就是在这里想到了在注册表里用权限限制来控制病毒的加载，我禁止所有用户对RUN键值的写入权限，没写入权限看你怎么加载，如果大家遇到你刚对RUN键值删除其病毒项，而病毒项又立马进行自动加载的情况，直接对该键值限制其所有用户的访问权限，随便你怎么加，就是不对你进行读取，幽灵病毒就是靠我的这个思路给消灭了，最终以我方的胜利结束了这次的非常规作战，开玩笑，惹我等于自杀的嘛

只要大家能够完全的去理解WINDOWS系统的权限依赖性，那么在和病毒以及木马的遭遇战中你就已经占了上风，万变不离其宗，病毒或木马的运行始终要靠系统的调用才会去执行，一提到调用就会牵扯到一个权限问题，只要存在用户登陆就会牵扯到权限这个问题，在某个病毒被系统调用无法删除时，没必要到什么安全模式啊DOS下去删除，直接先删除其文件所有用户的访问调用权限，重启后再设置你所在用户的完全控制权限，要进行删除的嘛，没权限怎么删啊，不过我所提到的这个思路需要NTFS磁盘格式的支持（但是现在权限限制也不见得百试百灵了，因为现在大多数的病毒或木马都倾向于驱动加载）

在FAT32格式下是没有权限这个概念的，当然我经常提到的权限限制在FAT32格式下下是无效的。

难道在FAT32格式下就任由病毒文件为所欲为吗？
当然不可能的了，办法总是人想出来的嘛

在这里就结合我的一些实际经验来进行解说

遇到无法在任务管理器里结束的进程，可以先尝试在CMD下用命令
taskkill /t /f /pid pid号
来进行强制结束

不过遇到一强制结束也马上运行的进程也头痛，这个进程文件一般在注册表和msconfig里都无法禁止的，要么你你现在禁止了，下次重启后就又出现了，要吗就是直接禁止删除

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

这里一般都是病毒文件喜欢的地方，不过有一点要提醒大家，虽然在FAT32格式下没有权限这个概念，但是在注册表中却一直有权限这个概念，权限限制在这里却很有用

了解的朋友已经猜到我要干什么，就是直接对Run键值取消全用户的访问权限，不允许任何用户对其进行访问，你喜欢写是吧，那我就不让你对其进行任何操作，哪怕是读取。

然后再以病毒文件名为关键字对注册表进行搜索，只要不是霸王级的病毒，一般都能搞定

不过病毒和木马是通过感染系统关键进程而进行调用的话，那也只有替换文件这条路好走了，至于现在说的那些什么无进程无端口的后门或内核级的病毒，我还是我的那句老话
“藏得好不代表找不到同时也不代表不存在，存在的意义就是为了被调用”
当然要具有找到他们的能力也绝费一两天所能练就的

还有很多我就不去说了，正所谓万变不离其宗

技术无极限但源于生活，多用你的热心和技术对人家进行无偿的帮助，你的收获绝对不仅仅只是人家的一句感谢的话和一杯水而已

没有人是天生就对什么都懂的，任何东西都是从无到有慢慢积累起来的，纵然你是没任何天分也好，智商不如人家也好，但是你要相信你在经过千百次的努力练习之后也一样可以做得很好

chinaheiyu

看到楼主的贴子，我第一次想到用权限来限制。。特别是注册表，以前也知道，但从来没过用来限制病毒加载。支持。。NTFＳ也是的。。。
补充一点，，，对于强强制结束那一个进程也可以用ntsd -c q -p PID值　　为结束。。现在好多病毒都通过dll文件来加载。比如加载到EXPLORER.EXE.中，就算你杀了他，只要一打开资源管理器，就又不行了。有的时候一定要先强行分离他们，常用的有　冰刃　procexp　　Wsyscheck.exe　unlocker。等。。

nsdiy

这个方法是不错，为过对于新手或你要安装一个软件或软件升级的时候，你可要记住哦，你在这设过权限，搞不好，你装什么东东或，找不到问题的原因出在那儿.

snowhite

对于rootkit病毒基本无法，最好找一个能查看系统内核启动时加载模块的工具，如瑞星卡卡等。

ssze

学习了。。。。。

雨中散步

谢谢你的分享啊。。。。。。