瑞星卡卡安全论坛

抛开软件，学学手工杀毒
一、从病毒来源入手
    病毒来源大多是来自互联网（比如下载软件时误下载了病毒，运行是感染病毒）和移动存储设备（比如用U盘拷贝文件时双击打开触发病毒）。
一、预防来自互联网的病毒
  1.安装一个杀毒软件，并保证病毒库比较新。可以尝试装两个，当然不是随便装两个，可以到网上搜索杀毒软件的黄金组合！最好是国内国外相结合，不要以为世界前几名的杀毒软件就一定好，对于国内的病毒也许国产的杀毒软件更了解如何查杀！
  2.在浏览网页，下载资料软件时不要去那些不知名的小网站上，以及不要随便点击那些小广告如：有个美女想和你聊天是否接受?QQ窗口中的诱人网站链连之类的危险链接！在下载资料后，先杀毒，然后用WinRAR查看是否有可疑文件（方法下面有）特别是*.exe的文件，没有程序图标的。如果你不能肯定是什么文件，可以用文件名到网上搜索；下载软件后首先从文件名，文件大小，判断，看看文件名是不是自己要下载的文件，大小是否和想下载的文件大小相差很远，一般病毒程序都很小，一般几百K！在安装软件时点击下一步时仔细看看有没有附加什么软件，有的话取消选项或不安装！还有一种情况是安装后，安装目录后里附带了小程序，尽量不要双击运行！
二、预防移动存储设备的病毒
    1.用U盘拷贝资料时千万不要双击U盘盘符打开，里面的autorun.inf,一直在等待你这个操作！当你不小心双击，假如里面有病毒时，打开时会有一个轻微的延迟（相对于没有病毒时）！最好是点击我的电脑或资源管理器工具栏上的第五个按钮（通常是）“文件夹”，打开窗口左边的树形目录，单击你的U盘名称打开，这样即使有病毒，也不会触发！
  2.用WinRAR查杀病毒的方法！
U盘查到电脑上后，如果你的电脑屏蔽“自动播放”时，会弹出可移动磁盘窗口，让你选择让Windows做什么，可以先关闭。在桌面或其它地方单击右键-选择“新建”-“WinRAR文件”，双击打开新建的WinRAR文件，选择“文件”-“改变驱动器”-选择“可移动磁盘”就是你U盘的名称，WinRAR列出U盘中包括隐藏文件、系统文件（有的病毒就加了系统属性），首先看有没有autorun.inf,其你再看看有没有没有应用程序图标，体积很小不是自己拷贝熟悉的exe文件，如果有autorun.inf的话，可要小心了，里面一般内容是这样的：
[AutoRun]
open=usbdriver.exe
shellexecute=usbdriver.exe
shell\Auto\command=usbdriver.exe
shell=Auto
    其中usbdriver.exe就是近来常见的病毒，可以先记住后面＊.exe的可执行文件名，将autorun.inf,删除后再将后面那个可执行文件删除，按住shift（彻底删除），右击文件-“删除”即可！但有时这样是不行的，如果以前计算机上有这个病毒，并且已经在运行，即你删除掉，刷新一下就后再出现，在用WinRAR查杀后，将WinRAR最小化，然后再最大化，看看有没有彻底删除，如果有，很有可能该病毒已在你的电脑上运行，这需要结束该进程，删除文件，请参阅后面所讲的杀毒方法！如果没有说明已删除，一般来说病毒算是查杀完毕！还有个问题说一下，在删除autorun.inf后，双击U盘的打开（不建议）时，后出现选择打开程序，这个不用担心，重启电脑后，即可以了！
    其实用WinRAR也可以查看文件扩展名，修改扩展名，当用上面方法在想查看的目录下新建打开WinRAR,就可以看到修改当前目录下的文件扩展名，当然常用方法是在“资料管理器”－“工具”菜单－＂文件夹选项＂－＂查看＂，选中＂显示系统文件夹内容＂，取消选择＂隐藏受保护的操作系统文件＂，选中＂显示所有文件和文件夹
＂确定，但有时因病毒或其它设置，＂工具＂菜单没有＂文件夹选项＂，你怎么办？当然可以在命令提示符下也可以，但比起在Winows界面下操作，用winRAR会简单方便一点，后面也会讲在命令提示符下的操作！
如果在用WinRAR查看U盘文件列表后，没有发现autorun.inf和可疑程序一般来说是没有问题的！

三、查杀病毒
1.了解系统进程，找病毒。。。。。。
许多病毒感染计算机后后常驻内存（一直在运行），要删除病毒常常需要先结束病毒进程，如果你经常看进程的话，看一遍进程就会看出那些是系统进程 ，那些是可疑进程，常见系统进程有：
System Idle Process //Windows 页面内存管理进程
System  //Microsoft Windows 系统核心进程
smss.exe //Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS 驱动名称类似 LPT1 以及 COM，调用 Win32 壳子系统和运行在 Windows 登陆过程。它是一个会话管理子系统，负责启动用户会话。
winlogon.exe //Windows Logon Process，Windows NT 用户登陆程序，管理用户登录和退出
services.exe //该进程是多个 Windows 系统服务的宿主
lsass.exe //该进程是多个 Windows 系统服务的宿主
xp中有四个svchost.exe 2000中有两个 //Service Host Process 是一个标准的动态连接库主机处理服务
Explorer.EXE //Windows 资源管理器
spoolsv.exe //管理所有本地和网络打印队列及控制所有打印工作
alg.exe //应用程序网关服务
ctfmon.exe //用户输入法选择服务，用于控制输入法语言条，提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。
taskmgr.exe //Windows 任务管理器
上面只是一些简介，如果想详细了解请登陆我的博客后面有地址！这些进程只是系统常见进程再加上你所用的杀毒软件和开的一些应用程序，一般25-30个，超过这个数目的话，要么是你开的程序，服务，自动运行的文件多，当然也难免有病毒进程！这就需要你常看看进程管理器了，
    当然有的朋友，对进程不了解，没关系，用工具，给大家介绍 Windows进程管理器 v4.00 ，这收集了大部份进程信息，常见的都有，不断在更新，非系统可疑进程它会以不同的颜色显示，想了解正在运行的程序有什么用的话可点击该进程，点击右上解的描述即可知道！
    当然也可以将可疑进程到网上搜索，也可以得到答案！

2.检测你的启动项
许多病毒感染计算机后，在计算机启动后随机启动，常驻内存，许多时候病毒删不掉也是因为它正在运行！单击“开始”-“运行”-输入“msconfig”,打开系统配置实用程序，单击“启动”选项卡，下面会列出电脑启动时启动的程序！如果你的电脑启动项目有2-3个，通常是很正常的，其中应该有杀毒软件，比如：瑞星：RavTask,输入法管理：ctfmon,如果装SQL2000,就会有服务管理器！，也会有一些你所安装的实时监控之类的软件，如果你的启动项超过3-5个的话，也许就有病毒趁虚而入！需要优化！如果想取消那个启动项，取消前面的复选框即可！

3.发现病毒，删除病毒。。。。。。
当你发现病毒，或确认可疑程序对你没什么用的话，就可以进行删除了，之所以推荐Windows进程管理器 ，还有个原因是windows自动的不显示可疑或病毒程序的路径（在那里），这就给杀病毒带来点麻烦，所以呢！要善其事，先利其器，最好有个功能强一点的查进程工具，如果实在没有的话就到系统目录下如system32下或各个盘的根目录，或你可疑的目录下看看有隐藏+系统+只读属性的文件;这就要借助winowdsr的命令提示符了，通俗一点就是不纯的DOS
  如果你已得知可病毒或可疑程序的路径就可以用下面方法直接杀了！
  点击”开始“-”运行“,或按WIN+R键 输入CMD,回车！常用命令如下，比如要杀c:\windows\ststem32\scrss.exe 这个病毒加了系统属性，使你在windows下没办法改它的隐藏属性，还加了只读，隐藏属性！
运行CMD,；输入cd\ 到C盘根目录
输入 cd windows 进入windows文件夹
输入 cd system32进入system32文件夹下
输入 dir/ah 查看目录下的所有隐藏文件 如果你确定病毒在此目录下，就可以到和进程名相同的*.exe文件了，这我已看到scrss.exe
输入 dir/as 查看目录下的所有系统属性文件,如果该病毒有该属性就会显示出来，我已看到scrss.exe
输入 dir/aa 可查看目录下只读文件  当然这样的文件就比较多，不容易看出来！
输入 del scrss.exe 提示del 不是合法命令 这只是假象，这时看进程有没有该进程有的话先结束
输入 attrib -s scrss.exe 想去掉它的系统属性 但提示del 不是合法命令
输入 attrib -h scrss.exe 想去掉它的隐藏属性 但提示未重设系统文件,
当前情况来看，无法删除！我考虑了一下，可能这两个属性有什么关联！
输入 attrib -s -h scrss.exe 没有提示，说明操作成功！已去掉了它的系统和隐藏属性，
输入 del scrss.exe 提示del 不是合法命令
输入 attrib -r scrss.exe 去掉它的只读属性，无提示，操作成功，说明它有只读属性且已去掉
输入 del scrss.exe  无提示 说明已删除！
  至此该病毒已删除！
  当然上面只是一般比较顺利的情况，大多情况下，在windowsxp正常启动情况是很难清除的，这时你可以重启电脑，按F8键，再按向上光标键选"安全模式"，进入系统后执上述操作就可以了！


[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )