教你手动杀毒

       首先最好先用杀毒软件试试去下面的网站下载杀毒软件,如果不行在用绝招不迟(下载的杀毒软件要比正版的更新慢很多,所以推荐购买正版,如果想少花点钱可以买以前出的瑞星,因为无论是什么时候出的,只要是没有被盗版:就能升级到最新版本:注意千喜版以前的不行哦)
www.micropoint.com.cn这个是微点而且是免费的哦
http://www.sz1001.net
http://www.ovo.com.cn/
http://www.down2.com/
http://www.ynllw.com/
http://www.moyu.cn/
别忘了只可以装一个杀毒软件哦:否则会冲突的!

0,菜鸟必看,如果你找不到病毒文件那么可以试试这个方法,开始-我的电脑-工具-文件夹选项-查看-(选中)显示所有文件和文件夹,去掉:隐藏受保护的操作系统文件:上的勾,然后同样把:隐藏已知文件类型的扩展名:上的勾去掉最后点确定OK什么文件都无所遁形了哈哈(玩转Windows 系统小软件大集合
http://www.pconline.com.cn/pcedu/soft/gj/sys/0603/772672.html),

1,问:rundll32这个进程是不是出现了两个就是中木马了?机子比以前慢了
,不一定很多流氓软件也用这个东东加载的,但是也不排除病毒伪装成软件的可能:rundll32本身不是病毒(瑞星的卡卡上网助手是对付流氓软件的利器可以免费下载
http://www.rising.com.cn/)

2,用Windows优化大师之类的软件看看什么程序会在开机时启动(注意高级的病毒可以伪装成系统服务启动,所以服务也不可放过),如果有:一次点,开始-搜索-输入可疑进程的名字然后搜索,找到后先把内存中的病毒结束掉,方法是一次按键,Ctrl+Alt+Delete=任务管理器用它把进程结束然后删除文件

3,如果上面的方法不行则可能是由伪装成正常文件再由它释放病毒:所以有时候杀毒软件查不到但是病毒总是出现,如果遇到这种情况你先不要马上删除病毒,用进程管理看什么进程在占用它,如果无法结束与病毒相关的进程就打开任务管理器-查看-选择列,在PID上打勾点确定,下面的方法是指DOS命令,点-开始-所有程序-附件-命令提示符 “
ntsd -c q -p PID”命令,就可以强行将指定PID的病毒进程杀死了。例如,发现某个病毒进程的PID为“444”,那么可以执行“ntsd -c q -p 444”命令

4,XP的无敌替换命令:用来对付同时加载多个进程无法删除的一个病毒或多个病毒,哎与上面的不同哦这个是针对文件的
比如:在C:/下建一个目录,c:/aaa
然后复制一首mp3到c:/aaa并命名为c:/aaa/a.mp3
然后再复制另一首歌到C:/a.mp3
然后用media player 播放c:/aaa/a.mp3
在命令提示符下输入:replace c:/a.mp3 c:/aaa
过一会,是不是播放的歌已变为另一首。
用这个命令来替换系统文件真是太爽了,并且XP的系统文件保护也对它无效。
再也不用到安全模式下去替换文件了

格式

REPLACE [drive1:][path1]filename [drive2:][path2] [/A] [/P] [/R] [/W]

REPLACE [drive1:][path1]filename [drive2:][path2] [/P] [/R] [/S] [/W]

[drive1:][path1]filename 指定源文件。

[drive2:][path2] 指定要替换文件的目录。

/A 把新文件加入目标目录。不能和/S 或 /U 命令行开关搭配使用。
/P 替换文件或加入源文件之前会先提示您进行确认。
/R 替换只读文件以及未受保护的文件。
/S 替换目标目录中所有子目录的文件。不能与 /A 命令选项 搭配使用。
/W 等您插入磁盘以后再运行。
/U 只会替换或更新比源文件日期早的文件。不能与 /A 命令行开关搭配使用

打开记事本-文件菜单-另存为-把文件类型改成所有文件,在文件名处输入与要被替换文件相同的名字,点保存在用上边的方法就行了。

5,(注意有的病毒为了对付手动杀毒会同时开两个进程,你关一个它就再开一个所以我们可以编辑一个批处理文件来对付它,
ntsd -c q -p 病毒进程名PID1
ntsd -c q -p 病毒进程名PID2;-----把这两段命令复制到一个文本文件保存为*.BAT双击就OK!)

6,若没有发现可疑进程则该病毒是*.DLL型嵌入式的病毒或木马,一般是svchost.exe 和 explorer.exe发生关联,用Windows进程管理(
http://www.jpexe.com Windows进程管理 下载页)仔细看svchost.exe 和 explorer.exe加载的*.DLL,注意svchost.exe有很多是系统必须的只有对进程比较了解才能分出svchost.exe上加载的东东,杀explorer.exe和svchost.exe上加载的毒得先退出explorer.exe或svchost.exe然后删除病毒文件,如果杀毒后仍然不稳定说明系统被破坏只须修复安装就OK了

Windows XP 常见的进程列表

   最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统
就能正常运行)
smss.exe     Session Manager
csrss.exe    子系统服务器进程
winlogon.exe  管理用户登录
services.exe 包含很多系统服务
lsass.exe    管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)
                                   产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe   包含很多系统服务
SPOOLSV.EXE   将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标  

 附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少)
mstask.exe    允许程序在指定时间运行。(系统服务)
regsvc.exe   允许远程注册表操作。(系统服务)
winmgmt.exe   提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe  允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
                                  允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe     实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe   提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。(系统服务)
dns.exe       应答对域名系统(DNS)名称的查询和更新请求。(系统服务) 

        以下服务很少会用到,下面的服务都对安全有害,如果不是必要的应该关掉
tcpsvcs.exe  提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务) 支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe   允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe      管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe     为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe    License Logging Service(system service)
ntfrs.exe    在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe    控制用来远程储存数据的媒体。(系统服务)
locator.exe   管理 RPC 名称服务数据库。(系统服务)
lserver.exe  注册客户端许可证。(系统服务)
dfssvc.exe    管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe   支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe     并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务)
faxsvc.exe    帮助您发送和接收传真。(系统服务)
cisvc.exe    Indexing Service(system service)
dmadmin.exe   磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe   允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe   提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe  配置性能日志和警报。(系统服务)
rsvp.exe     为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe     协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe     管理远程储存的文件的操作。(系统服务)
grovel.exe   扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。(系统服务)
SCardSvr.exe  对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe     包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe  接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。(系统服务)
UtilMan.exe   从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe  依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

7, 请注意:注册表中的相关信息最好也尽量弄干净,一般我是用(开始-运行-输入regedit)注册表编辑器搜索病毒文件名把对应的东东删除:可别删错了哦。

由于很多功能在内核中完成,所以如果发生由本工具直接或者间接导致的问题,本人概不负责。 非常感谢 看雪论坛的我是土匪, 卡饭的dl123100,leisong,zxjzwy,曲中求,紫瞳魔圣,tawny2008,天月来了,wo1234,FreeEquFraT 嬴政天下的橡树, 非凡论坛的gda1139等热心朋友, 提供出现蓝屏时的dump文件,帮助我找到很多问题, 希望大家如果不幸遇到蓝屏时,把dump文件发到我的邮箱(ithurricane@126.com)以便分析修改, 谢谢大家~~~ 还要特别感谢一下hi百度的uruan,特意为PowerTool做了一个非常漂亮的Logo,很喜欢这个Design,多谢了~~~ 应用平台:for WindowsXp/Windows2003/Vista/Windows7(32 bit)(我只在这四个上面测试过,其他的系统上可能会出现问题) 联系作者: Email: ithurricane@126.com QQ: 20158686 Blog: http://hi.baidu.com/ithurricane 目前版本主要功能: 1. 所有进程的枚举(包括内核中隐藏的进程) 2. 所有文件的枚举(包括内核中隐藏的文件) 3. 进程中所有模块的枚举(包括内核中隐藏的模块) 4. 进程的强制结束 5. 进程中模块的强制卸载 6. 模块被哪些进程加载的检索 7. 查看文件/文件夹被占用的情况 8. 可以Unlock占用文件的进程 9. 文件/文件夹的粉碎(可强删Unlocker1.8.9/金山/超级巡警文件粉碎机无法删除的顽固文件) 10. 阻止文件粉碎后用还原软件还原(采用美国国防部DOD 5220.22-m标准阻止文件还原) 11. 用磁盘解析技术检索硬盘数据 12. 内核模块和驱动的查看和管理 13. 启动项的查看和管理 14. 系统服务的查看和管理 15. 集成文件粉碎功能到系统右键菜单 16. 消息钩子的查看和卸载 17. SSDT/Shadow SSDT钩子的查看和卸载 18. 各种内核回调的查看和卸载 19. 多国语言版本的对应(中文和英文) 20. 暂停进程运行和恢复进程运行 21. 进程模块的内存的dump 22. 进程的线程的查看和结束 23. 进程的窗口的查看和控制 24. 进程的定时器的查看和摘除(该功能还没对应Windows2003) 25. 内核定时器的查看和摘除 26. 上传文件在线扫描病毒 27. 查看和摘除用户层的钩子 28. 查看和结束内核线程 29. 关机回调的清除 30. 查看和摘除mini文件驱动 31. 系统恢复功能(检测项目包括注册表关键部位,已安装的杀毒软件,AutoRun文件,Windows漏洞检测,共享文件夹) 32. 流氓快捷方式的检测和删除 33. 镜像劫持的检测和删除 34. 文件关联的检测和删除 35. IE相关的检测和删除 36. FSD Hook的检测和删除 37. Object Hook的检测和删除 38. 部分CPU/硬盘/显卡/主板的温度检测 39. 部分硬件信息的确认 40. 修复漏洞功能,可以下载和安装Windows补丁 41. IDT钩子的检测和恢复 42. 禁止进城创建,新建文件,注册表修改等配置 43. 注册表功能,几乎可以无视一切隐藏注册表的钩子 44. SPI的检测 45. 通过磁盘解析进行文件浏览 46. 文件强制拷贝功能,可拷贝网络视频的缓存文件 47. 通过磁盘解析取得和拷贝ADS流文件 48. 添加和查看文件重启删除信息 49. Disk/Atapi驱动钩子的检测和恢复 50. 进程权限的枚举和摘除 51. 检测键盘侦听软件 52. 检测被监视的文件 2010-12-05 PowerTool V3.2 增加: 1. 新增过滤驱动的检测,不仅可以显示驱动名还能显示设备名 2. 新增检测键盘侦听软件 3. 新增检测被监视的文件 4. 新增组策略中开关机脚本的解析(感谢天月来了和wo1234指点思路) 改善: 1. 修改了启动时大量占用内存的BUG(感谢曲中求的提醒) 2. 加强了文件厂商的取得,修正文件不存在的BUG(感谢tawny2008的提醒) 3. 改进了列表的现实,当显示不下,鼠标移动到上面去就可以完整显示(感谢FreeEquFraT的意见) 2010-11-17 PowerTool V3.1.2 改善: 1. 修改了加载驱动失败后无法启动的BUG 2. 修改了无法显示某些进程的BUG 2010-11-16 PowerTool V3.1 增加: 1. 新增Disk/Atapi驱动钩子的检测和恢复 2. 新增进程权限的枚举和摘除 改善: 1. 修改了与COMODO等HIPS不兼容,导致无法启动等问题 2. 加强了防止注入的逻辑 3. 加强了进程粉碎的逻辑 4. 修改了进程路经过长无法显示的bug 2010-11-03 PowerTool V3.0 增加: 1. 新增通过磁盘解析取得和拷贝ADS流文件 2. 新增动态切换多国语言界面(考虑到文件大小,没有把EnglishDll.dll绑定到PowerTool里面去,不需要英文界面的朋友,把EnglishDll.dll删掉也没关系) 3. 新增添加和查看文件重启删除信息 改善: 1. 重要的系统文件可以在PT直接编辑保存(保存之前会先备份文件) 2. 修改了文件和注册表的跳转 3. 区别文件夹颜色,隐藏属性的是蓝色,非正常文件夹是红色 2010-10-24 PowerTool V2.9 增加: 1. 新增通过磁盘解析进行文件浏览 2. 新增文件强制拷贝功能,可拷贝网络视频的缓存文件 改善: 1. 模块列表里默认不显示微软模块 2. 加强了文件粉碎的功能,可强删SysReveal删不掉的文件 3. 加强了目录删除的功能,可删除畸形目录 2010-10-10 PowerTool V2.8 增加: 1. 新增SPI的检测 2. 新增窗口置顶,快速重启,释放内存,监视带有Auturun.inf的U盘等小功能 3. 新增进程的EAT钩子检测 改善: 1. 将启动时检测新版本改为了点击[在线升级]是下载新版本 2. 修正了文件和注册表跳转的BUG 3. 修正了安全模式下无法加载驱动的BUG 4. 修正了XP下畸形目录无法浏览的BUG 5. 修正了一键修复时报错的BUG 2010-09-26 PowerTool V2.7 增加: 1. 新增注册表功能,几乎可以无视一切隐藏注册表的钩子 2. 新增重要文件夹的快速跳转功能 3. 可备份windows服务和启动项 4. 新增自动检测新版本并且下载 改善: 1. 修正了禁止进程创建,注册表修改等配置的BUG 2. 修正了文件粉粹里无法浏览System Volume Information目录的BUG 3. 修正了Windows服务里菜单状态的BUG 4. 修正了无法上传到filterbit的BUG 2010-08-22 PowerTool V2.6 增加: 1. 新增修复漏洞功能,可以下载和安装Windows补丁 2. 新增IDT钩子的检测和恢复 3. 新增禁止进城创建,新建文件,注册表修改等配置 改善: 1. 修正了内存,文件大小排序的BUG 2. 修正了删除不存在的文件导致explorer.exe崩溃的问题 3. 修正了文件检索默认乱码的问题 4. 增加服务能跳转到对应的注册表 5. 修改下拉箭头不能正常显示的问题 6. 把所有的文件绑定到PowerTool.exe上 2010-08-11 PowerTool V2.5 改善: 1. 修正由于硬件检测导致无法启动的BUG 2010-08-10 PowerTool V2.5 增加: 1. 部分CPU/硬盘/显卡/主板的温度检测 CPU:(Intel "Core Duo", "Core Solo", "Core 2 Duo", "Core 2 Solo", "Core 2 Quad", " Pentium", "Core i3/i5/i7/i9", "Celeron" series (Conroe/Merom architecture and newer)) AMD的CPU的温度检测方法和Intel的不一样,而且我手头也没有AMD的CPU,所以这次只写了Intel的CPU的温度检测 显卡: Nvidia 和 ATI的温度,主板集成的显卡无法检测 硬盘:支持S.M.A.R.T. 特性的硬盘 主板:目前该检测功能较弱,以后会继续加强,包括主板芯片组,风扇的转速等等 2. 部分硬件信息的确认 改善: 1. 进程的父ID和用户名 2. 修正XP里面无法显示进程运行时间 3. 修正删除文件夹时多次弹框 4. 修正Autorun.inf文件夹误报问题 5. 进程和模块的窗口可以拉伸 6. 共享文件夹可以取消共享 7. 修正定位文件只能定位到文件夹的BUG 8. 暂时删除了皮肤库 2010-08-01 PowerTool V2.4 增加: 1. FSD Hook的检测和删除 2. Object Hook的检测和删除 改善: 1. 进程右键单击的话不再会自动刷新 2. 修正模块排序问题 3. 修正进程排序问题 2010-07-27 PowerTool V2.3加强版 增加: 1. 系统重要文件的确认 2. 问题反馈功能 改善: 1. 加强了广告图标/流氓快捷方式的检测 2. 增加了7种启动项目的检测 3. 增加了IE的BHO插件和ActiveX插件 4. 微软进程被插入其他模块希望能用红色显示,区别于未插入其他模块的微软进程和其他应用程序进程 2010-07-18 PowerTool V2.3 增加: 1. 系统恢复功能(检测项目包括注册表关键部位,已安装的杀毒软件,AutoRun文件,Windows漏洞检测,共享文件夹) 2. 流氓快捷方式的检测和删除 3. 镜像劫持的检测和删除 4. 文件关联的检测和删除 5. IE相关的检测和删除 改善: 1. 修改了mini文件驱动的蓝屏BUG 2. 修改了自我保护导致蓝屏的问题(感谢dl123100) 2010-07-11 PowerTool V2.2 增加: 1. 查看和摘除mini文件驱动 2. 查看和摘除文件/鼠标/键盘/网络等过滤驱动 改善: 1. 和微点无法共存的BUG 2. 改进了进程API钩子检测的逻辑 3. 可调整窗体的大小 4. 增加导出功能 2010-06-27 PowerTool V2.1 增加: 1. 查看和摘除用户层的钩子 2. 查看和结束内核线程 3. 关机回调的清除 改善: 1. 文件刷新显示错误的BUG 2010-06-10 PowerTool V2.0 改善: 1. 浏览文件时程序崩溃的BUG 2. Win2003下看内核定时器时蓝屏的BUG 2010-06-09 PowerTool V2.0 增加: 1. 上传文件在线扫描病毒 改善: 1. 超长路径名导致无法显示和删除的BUG 2. 注册表遗留项目忘记删除BUG 3. 修改驱动增强稳定性 2010-06-06 PowerTool V2.0 增加: 1. 暂停进程运行和恢复进程运行 2. 进程模块的内存的dump 3. 进程的线程的查看和结束 4. 进程的窗口的查看和控制 5. 进程的定时器的查看和摘除(该功能还没对应Windows2003) 6. 内核定时器的查看和摘除 改善: 1. 加入皮肤库,美化了界面 2010-05-23 PowerTool V1.9 增加: 1. SSDT/Shadow SSDT钩子的查看和卸载 2. 各种内核回调的查看和卸载 2010-05-13 PowerTool V1.8 增加: 1. 集成文件粉碎功能到系统右键菜单 2. 新增消息钩子的查看和卸载 2010-05-03 PowerTool V1.7 修改: 1. 加强了文件粉碎的强度 2. 改进了通配符检索文件的逻辑 3. 所有的功能内,所有不属于Microsoft的文件均以蓝色显示,以示区别 增加: 1. 新增文件夹为单位的删除功能 2. 新增内核模块和驱动的查看和管理 3. 新增启动项的查看和管理 4. 新增系统服务的查看和管理 2010-04-18 PowerTool V1.6 修改: 1. 支持批量删除文件 增加: 1. 可以在所有NTFS格式硬盘的数据中检索文件,并可将检索结果删除 2010-04-03 PowerTool V1.5 修改: 1. 强化进程粉碎功能 增加: 1. 采用美国国防部DOD 5220.22-m标准阻止文件还原 2. 可以从其它进程里强制卸载模块 3. 可以检索模块被哪些进程使用了 2010-03-27 PowerTool V1.3 修改: 1. 改进了Unlock功能,可解锁/强删Unlocker/超级巡警文件粉碎机/金山文件粉碎机等 无法解锁的文件 增加: 1. 增加了简易的自我保护功能 2010-03-21 PowerTool V1.2 修改: 1. 改进了文件粉碎的逻辑,基本上可以删除顽固文件 2. 改进了进程粉碎的逻辑,基本上可以关闭顽固进程 增加: 1. 增加了文件的管理,可以彻底检测所有隐藏文件,安全可靠 2. 可以查看文件锁定/被占用的情况,并可以解锁/unlock 2010-03-16 PowerTool V1.1 改进: 1. 增加了进程管理,枚举隐藏进程/模块的功能,基本上所有的进程都能看到了 2010-03-01 PowerTool V1.0 功能: 1. 简易的文件/进程粉碎机
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值