電腦初學者學習如何手工檢測電腦病毒

　　文章我認為可能會有問題，希望高手多多指教，我會在春節前把文章更新好，並且會發布完整版。屆時將有我整理的一些進程、服務等等，需要經驗來說明的東西，目的都是為了新手和想學習的人，希望這些經驗可以幫助大家，可以在論壇裡面和我交流也可以發郵件。總之謝謝大家。

　　在對新手說一句，不管什麼病毒，請先貼日志，讓大家了解你計算機後，才能對症下藥，解決你的問題。

　　手工檢測未知病毒

　　近期，病毒作者耐不住寂寞，紛紛發表新的病毒，年底的“熊貓燒香”，去年的“威金”等等大型蠕蟲病毒，給我帶來的很多麻煩，我們應該如何對付這些病毒呢?我們要增強我們自己的防病毒意識。雖然現在殺毒軟件做的非常不錯，但對某些病毒的更新速度還需要改善，這就需要我們來自己動手檢測未知病毒。

　　說到檢測未知病毒，對於新手來說，可能很困難，經過這個文章可以讓你完整了解病毒的檢測和刪除過程，加上自己努力學習和實踐，就可以實現自己手工殺毒。好了廢話就說這麼多，我們來看看如何檢測未知病毒。

　　第一、全面檢測計算機

　　對於新手，手動全面檢測計算機是非常困難的，因為需要打開注冊表，一項一項去檢查，那我們就使用簡單的方法——運用SRE這個軟件，SRE全名System Repair Engineer。打開軟件後，點擊軟件左邊的智能掃描，再點擊“掃描”，就可以對計算機進行較為全面的掃描了。

　　對於不想自己分析的新手，請把日志貼到論壇上，會有人幫你解決。

　　第二、分析掃描日志

　　這個是最關鍵的一步，對於很多新手，選擇來論壇發布日志，讓有經驗的高手來分析，這樣省時省力，但是如果大家學會分析日志，那麼就可以有更多的人幫助新來的人，減少版主和論壇高人的勞動。分析日志學習起來很難，因為需要不斷積累經驗，在這裡只介紹簡單的方法(若有更好的方法，希望論壇或者郵件進行討論)。

　　1、了解日志

　　SRE日志分別掃描了注冊表啟動項、啟動文件夾、服務、驅動、浏覽器加載項、進程、文件關聯、Winsock 提供者、autorun.inf、HOSTS文件、API HOOK。我會重點介紹一些檢測時常用的項目

　　2、看進程

　　看進程，看什麼呢?看的就是，是否有除系統基本進程和軟件產生進程外的其他進程，尤其注意進程路徑是c:windows和C:windowssystem32下的文件，可能有些新手不知道那些是系統基本進程，那些是軟件安裝的進程，這就是需要經驗積累的地方。

　　對於系統進程加載的DLL，這個需要具體分析，很多盜號木馬運用了這個方式，那就要經過下面三步去完善。

　　3、看啟動項(包括注冊表啟動項、啟動文件夾、服務、驅動)

　　看了進程以後，對那些是可疑文件有了一定了解後，就可以來看啟動項目。SRE這個日志非常適合新手使用，因為它已經在服務和驅動這兩個地方把微軟簽名的啟動項隱藏，對於服務，驅動需要經驗才能動，下面我一項一項的介紹。

　　4、對比

　　對比所有可疑啟動項目和所有可疑進程，是否可以一一對應，如果不可以，那麼就要看是哪裡出現的問題，就對那裡進行進一步的研究。看看是否是因為病毒的運行方式或者保護方式問題，或者有其他病毒的存在。當然，原因不只這一些，還是需要大家積累經驗。實踐是根本。

　　5、看其余項目

　　第一個要看的就是autorun.inf這個項目，如果某個盤有此文件，或者每個盤都有，那麼就說明你的計算機中了病毒，處理方法很多，這裡介紹幾種。當然處理的時候，要保證系統中沒有病毒運行了。

　　第一種：利用WinRAR。具體方法：打開所感染的硬盤，刪除對應文件。說明不會感染計算機，方便實用。

　　第二種：利用資源管理器。具體方法：在打開顯示隱藏文件和系統文件的前提下，利用資源管理器，在資源管理器左面選擇感染的盤符，右面刪除對應文件。說明對於某些病毒又感染的危險。

　　第三種：利用命令提示符。具體方法利用了DOS命令，具體命令如下：

　　Attrib –s –h –r –a X:autorun.inf

　　Attrib –s –h –r –a X:對應啟動文件(EXE或者PIF)

　　Del X:autorun.inf

　　Del X: 對應啟動文件(EXE或者PIF)

　　其中X代表感染的盤符。

　　說明可以刪除徹底，需要懂一些DOS命令和CMD的使用方法。

　　第四種：利用冰刃。具體方法打開冰刃後，點擊下面的文件，後面的處理如同資源管理器。說明刪除徹底，建議新手使用。

　　第二個要看的就是HOSTS文件，這裡的看法是按照行，日志前面寫的是網址對應的DNS解析的IP地址，如果所有IP地址都是同一個，或者和其他計算機解析的IP地址不同，那麼就有問題，最主要的還是同一個或者同為127.0.0.1。處理方法很簡單，利用記事本打開Host這個文件，路經在C:WINDOWSsystem32driversetc，這個處理最好是在病毒刪除以後。

　　第三、處理所有可疑文件(清除病毒文件)

　　這個是最關鍵的一步，這一步就要刪除病毒了，看到論壇以前有人光用SRE這類日志掃描程序刪除，就非常氣憤，因為這個程序無法完全解決問題。現在先來說明一下原因，第一，若病毒運行，病毒會不時的自動檢測啟動項是否被修改，你用SRE刪除以後，病毒會立刻檢測到，自動添加，當重新啟動的時候就會重新回來，解決方法倒是有一個，這個可以在安全模式下進行，但是有部分病毒在安全模式下照樣會運行，下一點就說明了這個。第二，有很多病毒選擇了Winlogon啟動或者初始化動態鏈接庫啟動再或者驅動啟動，這三類啟動有一個共同特點，就是病毒在安全模式下也會運行，那麼SRE對其根本沒有效果。那我們怎麼進行處理呢，最可靠的方法還是使用冰刃(IceSword)。

　　當然也有一點冰刃不是全能的，現在有病毒以進程來結束冰刃，以後會怎麼樣，《黑客防線》曾經有一篇文章就是專門介紹冰刃的漏洞，利用這個漏洞，病毒可以結束掉冰刃。

　　廢話就說以上這麼多，看看具體處理方法吧。冰刃在殺毒的時候需要做一個預處理，點擊上方文件下的設置，選中禁止線程創建。然後就可以做下面的處理了

　　刪除方法：

　　第一種情況，有確實的EXE進程。打開冰刃後，點擊進程，結束此可疑進程，這樣此進程不會創建，按照上面對比後的結果，如果是注冊表中的，在冰刃下面可以看到注冊表，直接進行修改，注意一點就是<>項目需要雙擊打開編輯框清空，其它的直接找到對應鍵值刪除即可;如果是服務啟動，在冰刃下進入服務，找到啟動服務，點右鍵，改為已禁用即可;如果是驅動啟動，可以打開注冊表進入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices找到對應的刪除即可，也可以使用SRE進行刪除。最後運用冰刃強制刪除文件後殺毒結束。

　　第二種情況，無確定的EXE進程，現在很多木馬喜歡用DLL潛入方式，比如江湖木馬，征途木馬，這些木馬對應的啟動項目是一個EXE文件，而最終起作用的是一個潛入進程的DLL，找此DLL的方法也是有經驗的。此病毒刪除方法就是先處理EXE文件，打開冰刃，進入對應啟動項，按照第一種情況所說方法先刪除啟動項。然後強制刪除對應文件，最後強制刪除DLL文件重新啟動後即可完成殺毒，如果找不到對應的DLL，不刪除也可以，此DLL會成為系統垃圾，放在它該存在的位置，而不在產生作用。

　　第三種情況，也是最難處理的一種情況，現象就是殺毒軟件報告病毒，但是無法從日志中找到任何病毒蹤跡，這裡要先啟動冰刃，在進程、內核程序、啟動組和服務中進行一次徹底查找(後面對次問題有解釋)，如果還是沒有，就屬於這種情況。此情況刪除及其復雜。可以用冰刃強制刪除對應文件(若殺毒軟件以成功刪除就不用做這一步)，並且打開我的電腦，找到對應位置，建立一個同名的文件夾(包括擴展名)，這樣病毒將不會再產生，然後運用Filemon這個文件監控軟件，進行監控，在監控過程中，逐一運行軟件，看看那個軟件要創建前面用冰刃或者殺毒軟件刪除的文件，找到後，刪除此軟件裡面的所有文件重新安裝，即可。

　　注冊表啟動項

　　在SRE裡面，這冊表啟動項包括了Winlogon啟動，普通注冊表啟動等等多個項目。這個只能看下我在虛擬機下面剛安裝一版SP2的Windows XP的日志了，當然因為每一種系統(盜版方式不同或者正版等等)不同，可能掃描出來的不僅相同，剩下的需要大家經驗積累。

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]

　　[(Verified)Microsoft Corporation](啟動輸入法)

　　超級兔子、MSN Messenger等通過此項目啟動

　　[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]

　　<> [N/A]

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]

　　<"C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation](微軟輸入法啟動項)

　　[(Verified)Microsoft Corporation] (微軟輸入法啟動項)

　　[(Verified)Microsoft Corporation] (微軟輸入法啟動項)

　　暴風影音、NVIDIA顯卡、聲卡、超級解霸、瑞星殺毒軟件、瑞星個人防火牆、卡卡上網助手、金山毒霸、江民殺毒軟件、Emule、金山詞霸、Nero、Real系列、酷狗等通過此項目啟動

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWinlogon]

　　[(Verified)Microsoft Corporation]

　　[(Verified)Microsoft Corporation](Winlogon啟動項，逗號後面若有東西90%是病毒)

　　[(Verified)Microsoft Corporation]

　　[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionWindows]

　　<> [N/A](初始化動態鏈接庫，若這裡面有東西90%是病