前言:最近病毒越来越多,防毒软体趋近于功能完整,但是遇到一些特别新的病毒时,防毒软体侦测到却没办法移除时候,这时候就要手动杀毒!还有一些不是病毒,是恶意的广告后门程式,会常驻载你的系统中,让你的系统会拖越慢,但是防毒软体会忽略他们,因为他们只会拖慢系统,因此有时候会忽略他们,现在网路越来越快,防毒软体没有办法的时候,就是你自立自强的时候了!
状况说明:为何没有办法移除病毒?很多防毒软体当侦测到病毒的时候,通常第一步就是直接移除档案,但是只要病毒已经再执行时(常驻记忆体),就会出现类似"无法立刻移除病毒"的讯息,真是气死人,没办法移除是怎样。没关系,以下就为各位说明如何手动移除病毒或是恶意程式。
使用工具清单:Windows工作管理员 基本察看记忆体程式的地方
msconfig 系统组态编辑程式
Process Explorer 抓出记忆体程式并关闭(放在附件中)
regedit 登陆档编辑程式
教学:
第一步:认清你的病毒在防毒软体出现病毒警讯时,先记录下病毒名称,接着按
[Ctrl]+[Alt]+[DEL]叫出windows 工作管理员,在
[处理程序]标签页中,可以看到目前记忆体所有的exe执行档,看一下是否病毒有在里面,如果有,就手动关闭处理程序吧!
这边工作管理员只能显示出exe档案而已,
一些比较狡诈的病毒会伪装成 dll 或是 其他类型档案,让你无法在这边找到,没关系,看下去!
第二步:使用Process Explorer关闭执行中非exe的恶意程式和病毒一些病毒其实很多时候并不是以exe执行档为原貌,而是以dll 动态连接档方式并且寄生的其他系统的程式里面(Ex: explorer.exe),所以这时候M$的工作管理员就没辄了。现在介绍一套我自己常常用的进阶版记忆体观看程式:
Process Explorer启动之后,可能会出现一个警告讯息,别理他按确定就可以出现程式主画面,这一套程式会以树状关系来排列成是与成是之间的关系。先别被眼前混乱的程式吓到,我们利用find指令来收寻病毒所在位置,我以asp.dll当例子,输入asp.dll收寻(
注意:我只是举例,asp.dll本身不是病毒喔)
注意:find指令有两种,一种是
find handle ,另一种是find dll ,前者为搜寻以执行档的处理程序,后者为dll动态连接档,建议采用前者,因为前者也可以搜寻dll档案
嘿嘿==+发现你的藏身位置了喔,点一下收寻的结果就可以跳到主视窗并且选取该档案,这里注意一下,
当你找到以dll档案时,应该会看到dll的父程序,像asp.dll的父程序就是dllhost.exe,你应该要知道的,是asp.dll是病毒档,他却是依附在系统内建的程式dllhost.exe之下,本身无病毒的dllhost.exe被有病毒的asp.dll附身,这就是寄生。看到敌人,先别急着关掉,
你要记录的是病毒档案所在路径,例如这边所在路径就是C:\WINDOWS\system32\inetsrv\asp.dll ,接着利用右键选单按下[close handle],又会出现一个警告视窗,按确定即可!这样就可以关闭在执行中的dll或是exe档案了!
第三步:斩草除根到这里我们已经关掉病毒程序,不管是exe或是藏在系统程序底下的dll都可以一一把他揪出来,关闭的动作是为了让我们能够执行[删除]的动作,之前有提到,防毒软体找到病毒却无法移除的原因是因为他常驻在记忆体里面所以要执行删除却是无法执行。
好了,最后一步就是斩草除根了!找出刚刚抄下病毒所在位置直接去资料夹里面,先点一下选档案(不要点到两下喔~不然要是exe档案前面功夫又白作了),小心翼翼按下
[Shift]+[Delete]组合键来移除病毒,这组合键和只按[Delete]最大不同是彻底移除而不是丢资源回收桶喔!
接着,病毒一开机都会常驻,显然他写入了启动程序,这里我使用
系统组态编辑程式,[开始]>[执行]>输入[msconfig]>[确定],开启之后,选到
[启动]标签,这里放置开机启动资讯,找到你中毒的档案把前面得打勾取消即可!
再看看
[服务]标签,把隐藏所有Microsoft的服务打勾,看看有没有病毒,有的话就可以取消开机执行。
最后一步,使用登陆编辑程式把相关机码移除
。[开始]>[执行]>输入[regedit],启动登陆编辑程式,接着图片找出相关登陆机码
找到之后
右键选单删除机码,再按[找下一个]直到全部登陆档收寻完毕!
接着重开机看看,应该就不会出现病毒讯息了!大功告成!恭喜你,手动病毒移除成功了!
以上是小弟对付病毒的经验谈。预防中毒的方法,还是要靠使用者定期做好防毒软体定义档更新,并且定期全系统扫瞄,才有实质效果喔!希望大家看完之后回个文吧!小弟感激不尽阿 
