注册表启动项 
  在SRE里面，这册表启动项包括了Winlogon启动，普通注册表启动等等多个项目。这个只能看下我在虚拟机下面刚安装一版SP2的Windows XP的日志了，当然因为每一种系统（盗版方式不同或者正版等等）不同，可能扫描出来的不仅相同，剩下的需要大家经验积累。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Corporation]（启动输入法）
超级兔子、MSN Messenger等通过此项目启动
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation]（微软输入法启动项）
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [(Verified)Microsoft Corporation] （微软输入法启动项）
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft Corporation] （微软输入法启动项）
暴风影音、NVIDIA显卡、声卡、超级解霸、瑞星杀毒软件、瑞星个人防火墙、卡卡上网助手、金山毒霸、江民杀毒软件、Emule、金山词霸、Nero、Real系列、酷狗等通过此项目启动
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Corporation]（Winlogon启动项，逗号后面若有东西90%是病毒）
<UIHost><logonui.exe> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A]（初始化动态链接库，若这里面有东西100%是病毒）


4、 对比
对比所有可疑启动项目和所有可疑进程，是否可以一一对应，如果不可以，那么就要看是哪里出现的问题，就对那里进行进一步的研究。看看是否是因为病毒的运行方式或者保护方式问题，或者有其他病毒的存在。当然，原因不只这一些，还是需要大家积累经验。实践是根本。

5、 看其余项目
第一个要看的就是autorun.inf这个项目，如果某个盘有此文件，或者每个盘都有，那么就说明你的计算机中了病毒，处理方法很多，这里介绍几种。当然处理的时候，要保证系统中没有病毒运行了。

第一种：利用WinRAR。具体方法：打开所感染的硬盘，删除对应文件。说明不会感染计算机，方便实用。

第二种：利用资源管理器。具体方法：在打开显示隐藏文件和系统文件的前提下，利用资源管理器，在资源管理器左面选择感染的盘符，右面删除对应文件。说明对于某些病毒又感染的危险。

第三种：利用命令提示符。具体方法利用了DOS命令，具体命令如下：
Attrib –s –h –r –a X:\autorun.inf
Attrib –s –h –r –a X:\对应启动文件（EXE或者PIF）
Del X:\autorun.inf
Del X:\ 对应启动文件（EXE或者PIF）
其中X代表感染的盘符。
说明可以删除彻底，需要懂一些DOS命令和CMD的使用方法。

第四种：利用冰刃。具体方法打开冰刃后，点击下面的文件，后面的处理如同资源管理器。说明删除彻底，建议新手使用。

第二个要看的就是HOSTS文件，这里的看法是按照行，日志前面写的是网址对应的DNS解析的IP地址，如果所有IP地址都是同一个，或者和其他计算机解析的IP地址不同，那么就有问题，最主要的还是同一个或者同为127.0.0.1。处理方法很简单，利用记事本打开Host这个文件，路经在C:\WINDOWS\system32\drivers\etc，这个处理最好是在病毒删除以后。

第三， 处理所有可疑文件（清除病毒文件）

这个是最关键的一步，这一步就要删除病毒了，看到论坛以前有人光用SRE这类日志扫描程序删除，就非常气愤，因为这个程序无法完全解决问题。现在先来说明一下原因，第一，若病毒运行，病毒会不时的自动检测启动项是否被修改，你用SRE删除以后，病毒会立刻检测到，自动添加，当重新启动的时候就会重新回来，解决方法倒是有一个，这个可以在安全模式下进行，但是有部分病毒在安全模式下照样会运行，下一点就说明了这个。第二，有很多病毒选择了Winlogon启动或者初始化动态链接库启动再或者驱动启动，这三类启动有一个共同特点，就是病毒在安全模式下也会运行，那么SRE对其根本没有效果。那我们怎么进行处理呢，最可靠的方法还是使用冰刃（IceSword）。

当然也有一点冰刃不是全能的，现在有病毒以进程来结束冰刃，以后会怎么样，《黑客防线》曾经有一篇文章就是专门介绍冰刃的漏洞，利用这个漏洞，病毒可以结束掉冰刃。
废话就说以上这么多，看看具体处理方法吧。冰刃在杀毒的时候需要做一个预处理，点击上方文件下的设置，选中禁止线程创建。然后就可以做下面的处理了

删除方法：
第一种情况，有确实的EXE进程。打开冰刃后，点击进程，结束此可疑进程，这样此进程不会创建，按照上面对比后的结果，如果是注册表中的，在冰刃下面可以看到注册表，直接进行修改，注意一点就是<AppInit_DLLs><>项目需要双击打开编辑框清空，其它的直接找到对应键值删除即可；如果是服务启动，在冰刃下进入服务，找到启动服务，点右键，改为已禁用即可；如果是驱动启动，可以打开注册表进入HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services找到对应的删除即可，也可以使用SRE进行删除。最后运用冰刃强制删除文件后杀毒结束。

第二种情况，无确定的EXE进程，现在很多木马喜欢用DLL潜入方式，比如江湖木马，征途木马，这些木马对应的启动项目是一个EXE文件，而最终起作用的是一个潜入进程的DLL，找此DLL的方法也是有经验的。此病毒删除方法就是先处理EXE文件，打开冰刃，进入对应启动项，按照第一种情况所说方法先删除启动项。然后强制删除对应文件，最后强制删除DLL文件重新启动后即可完成杀毒，如果找不到对应的DLL，不删除也可以，此DLL会成为系统垃圾，放在它该存在的位置，而不在产生作用。

第三种情况，也是最难处理的一种情况，现象就是杀毒软件报告病毒，但是无法从日志中找到任何病毒踪迹，这里要先启动冰刃，在进程、内核程序、启动组和服务中进行一次彻底查找（后面对次问题有解释），如果还是没有，就属于这种情况。此情况删除及其复杂。可以用冰刃强制删除对应文件（若杀毒软件以成功删除就不用做这一步），并且打开我的电脑，找到对应位置，建立一个同名的文件夹（包括扩展名），这样病毒将不会再产生，然后运用Filemon这个文件监控软件，进行监控，在监控过程中，逐一运行软件，看看那个软件要创建前面用冰刃或者杀毒软件删除的文件，找到后，删除此软件里面的所有文件重新安装，即可。

第四， 清除后遗症

病毒后遗症，论坛上经常会有此类帖子出现，我一项一项分别来说。

1、 EXE文件不能正常运行
有的时候病毒删除了，EXE文件还无法运行，那怎么办呢，介绍几种方法

第一种方法：最简单的方法，打开我的电脑，选择工具——文件夹选项——文件类型，点击新建，文件扩展名输入.exe（注意小数点），然后点击高级，选择应用程序就可以了。

第二种方法：利用修复软件，如我们上面提到的SRE、超级兔子等等。

第三种方法：直接修改注册表。打开冰刃，进入注册表。找到HKEY_CLASSES_ROOT\.exe查看其下面的（默认）是不是为exefile，不是则修改为exefile。然后，打开HKEY_CLASSES_ROOT\exefile\shell\open\command检查（默认）是否为"%1" %*，不是则修改。

第四种方法：把下面的语句复制下来放在reg文件里面（建立记事本文件，修改扩展名为.reg），双击运行导入注册表中，就可以打开EXE文件。
REGEDIT4
（空一行）
[HKEY_CLASSES_ROOT\.exe]
@="exefile"
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@=""%1" %*"

第五种方法：可以说这种方法比较万能，就是用命令提示符，但是因为测试过程中有问题，现在无法给出具体方法。

2、 无法显示隐藏文件
这个也是常见的病毒后遗症。和上面一样，同样介绍一些方法。

第一种方法：把下面的语句复制下来放在reg文件里面（建立记事本文件，修改扩展名为.reg），双击运行导入注册表中，问题即可解决。
REGEDIT4
（空一行）
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

第二种方法：可以说这种方法比较万能，就是用命令提示符，但是因为测试过程中有问题，现在无法给出具体方法。


3、 对开机无法找到文件提示的处理
这个是一般用杀毒软件杀毒后出现的后遗症，按照第二里面的检查启动项查看是那个启动项出了问题，就可以了。

以上只叙述了一般的检测清除未知病毒的方法，但是此方法并不对任何病毒使用，每一位高手都会有自己特殊的方法对付顽固的病毒，我在这里献丑了，把我对付顽固病毒的经验写一写。对付病毒还要对症下药，所以我从两个方面写，就是病毒运行和病毒保护，了解这两个方面，才能对症下药，对每一种病毒进行删除。

第五，介绍病毒运行方法及其对策

1、EXE文件运行
这个是早期的，也是最简单的病毒运行方法，就是在启动项里面加入一个EXE文件运行的项目，从而达到病毒文件运行的目的，比如：密西木马在注册表启动项里面加入这么项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ToP: "C:\WINDOWS\LSASS.exe"，达到运行C:\WINDOWS\LSASS.exe文件的目的，这样的运行方式在任务管理器中可以看见进程（病毒自身做了保护的除外）。
至于这样的病毒清除起来非常简单，按照上面说的第一种情况就可以了——结束进程，删除启动项，删除文件。

2、DLL嵌入（直接嵌入）
DLL嵌入分为两种，我们先说直接嵌入，大家都知道DLL文件是动态链接库，这类文件必须经过c:\windows\system32\rundll32.exe解释后才可以运行。在进程中只显示一个rundll32.exe的进程，这样直接在注册表启动项目里面添加一个键值为“c:\windows\system32\rundll32.exe 病毒DLL位置”的项就可以运行了。因为这种运行方式可以发现病毒进程，所以就有了嵌入Explorer.exe的，在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run中建立，就可以隐藏在Explorer.exe里面启动。当然除了这几种方式，还有好多种可以嵌入系统EXE文件的方式，这样就加大了我们的检查难度。
对于这样的病毒，我们一般可以看SRE日志中的DLL加载项目，注意c:\windows\和c:\windows\system32\两个文件夹的文件，经过经验积累来判断是否是病毒。我的经验有几点，第一，按启动项判断，很多加载DLL的启动项比较独特，而且按照上面的叙述有明显的特征；第二，若一个DLL文件被多个进程启动，50%是病毒（这个概率较低，我原来犯错误就是认为这个概率应该很高）；第三，看文件数字签名，SRE后面附带了数字签名，若签名为N/A，50%是病毒，有特殊的软件（一般为小软件或者个人开发的）不带签名。这类病毒删除起来也相对容易，直接用冰刃强制删除DLL文件，并且删除对应的启动项目就可以了。

3、DLL嵌入（间接嵌入）

我们再来看看这个间接嵌入，说它间接是因为病毒使用EXE文件作跳板来嵌入EXE文件。这类病毒很多，比如征途木马（Trojan.PSW.ZhengTu.*）的部分变种、Trojan.PSW.WSGame等等，这些病毒如果试验，有一个特点，其EXE文件会在运行后删除。
这个运行方式比较复杂，EXE文件会干以下几件事情：释放要嵌入的DLL、运行DLL（执行嵌入）、建立自身以供下一次运行、建立启动项指向自身、删除自身（顺叙就不知道了，没有试验）。完成运行过程后，EXE文件和DLL文件都会保住，且病毒也会正常运行。
删除方式很简单，就是首先查看启动项，掌握启动的EXE，然后把此EXE文件复制出来，可以用虚拟机（VMware Workstation）进行运行，估计新手没有这种条件，可以使用filemon监视，看看运行此文件创建或者读写了那一个DLL文件，用冰刃删除启动项和对应EXE、DLL文件，病毒解决。

4、多点运行及保护
这是最复杂的，我手头里面的试验过的典型病毒是Trojan.Agent.afz和密西木马（落雪、Trojan.PSW.Misc.*）病毒，而这种类型最为普遍，比如现在流行的威金（Worm.Viking.*）、熊猫烧香（Worm.Nimaya.*）。这种类型的病毒有着多边的特点，它不只是自己的保护非常到位，而且还释放了其他文件。这种类型的病毒就需要老手经过经验来处理，对于新手来说可能就非常棘手，那么怎么办呢？
提出以下几点建议，认真学习下面的保护方法介绍，因为此种类型病毒具有多种保护于一身，所以要先去除内存中的病毒后去除保护，否则病毒可能会卷土重来，但是去除保护。

第六，介绍某些病毒的保护方法及其对策

1、隐藏文件
这个最简单的一种，对于初级菜鸟特别有用，理论我不说大家也应该知道。只不过论坛有些人喊找不到文件的时候，我还以为预见了自身保护型病毒，结果就是此原因，让我郁闷半天。
解决方法：
打开我的电脑，点击工具——文件夹选项——查看，选择显示所有文件和文件夹，而且要去除“隐藏受保护的操作系统文件（推荐）”项目前面的对勾，如果无用，请看病毒后遗症，里面有具体解决方法。

2、EXE文件关联
典型病毒：密西木马（落雪、Trojan.PSW.Misc.*）
具体现象：清除病毒后，点击任何EXE文件，一定是任何，不是单一的病毒都会死灰复燃，且注册表项HKEY_CLASSES_ROOT\exefile\shell\open\command和HKEY_CLASSES_ROOT\.exe被修改（具体默认值参看清除病毒后遗症）。
解决方法：参看清除病毒后遗症
说明：此种保护方法比较厉害，但是很容易被发现，要和下面的第4项区分开来，现象差不多，但是处理方法不一样

3、autorun.inf保护
典型病毒：熊猫烧香（Worm.Nimaya.*）、U盘破坏者（Worm.vb.hy）等等
具体现象：在分区根目录或者移动硬盘、MP3、U盘根目录产生autorun.inf和一个病毒文件，达到传播病毒和保护病毒的作用。
解决方法：参看第二中的第五项
说明：一种常见的保护方法，应用也非常普遍，也有一种防护措施，参看第七的第一项。这种保护防止一些菜鸟重新安装系统来清除病毒，若重新安装系统后又运行带有此文件的分区，病毒会立马出现

4、文件保护
典型病毒：威金（Worm.Viking.*）、熊猫烧香（Worm.Nimaya.*）、过去的劳拉、CIH
具体想象：某一类文件被修改，在文件头或者文件的尾部加上病毒代码，以便日后运行此文件的时候释放病毒，达到病毒传播和保护的目的，而且一般被修改的文件图标也会被修改。
解决办法：少量文件高手可以自行解决，对于新手来说可以利用专杀、杀毒软件等清除代码
说明：最棘手的保护之一，删除非常困难。最可怕就是大量EXE文件被修改，数据丢失而且无法回复。

5、IE浏览器保护
就是利用桌面上的IE图标，桌面上的IE图标是通过注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\的（默认）项来控制的，这里面的键值，就是双击桌面IE的连接。
解决方法：
第一种方法：打开注册表编辑器（c:\windows\regedit.exe），直接找到HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\项目，修改默认为"C:\Program Files\Internet Explorer\iexplore.exe" %1即可。
第二种方法：编辑记事本文件，导入注册表即可，内容如下：
REGEDIT4
（空一行）
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command]
@=” "C:\Program Files\Internet Explorer\iexplore.exe" %1”

6、应用软件保护
这个最开始是被QQ盗号程序利用，病毒修改QQ安装文件夹里面的一个文件，让QQ启动后会自动检查病毒是否存在，如果不存在就会恢复，比如Trojan.Clicker.Agent.*的部分变种就有这个特性。
解决方法：参看第三项里面的第三种情况

7、自身保护自身
这个是最难处理的一种，有少量病毒，如Trojan.Agent.bfm、Trojan.EliteBar.*就是这一种，如果病毒进程在运行，那么此病毒的文件、注册表添加项、进程等明显部分都被隐藏了，利用多种软件无法查看（Windows基本软件、SRE、HJ、瑞星听诊器等），我用的软件只有冰刃可以看到这些进程等内容。
处理方法：利用冰刃，查看启动组、进程、服务是否有可疑项目，尤其是进程，然后按照第一种情况删除。

8、多进程木马
这个早年就有，一个病毒进程，一个保护进程，非常简单。

9、COM文件的保护
这种保护不容易发现，主要就是在windows文件夹下建立一个与某文件同名的.com文件。比如：regedit.exe是注册表编辑器，那么病毒就建立一个regedit.com，一般人利用windows里面的运行功能来执行这个文件，仅输入regedit，那么就会运行病毒。
处理方法：删除病毒后，删除那个保护文件即可。

第七，简单防护方法
本来我无意去写防护，毕竟对于防护来说，每一位高手都有自己的防护方法，比如baohe选择了SSM、Tiny等软件，包括杀毒软件，虽然是卡卡论坛，但是也包括了瑞星、金山、江民、卡巴、诺顿等多款杀毒软件的用户，所以写防护真的很难。
我使用瑞星杀毒软件，因为它的服务态度是比较好的，防火墙和杀毒功能等方面综合起来是国内最好的（病毒库另说，我认为防火墙功能江民做的非常出色）。废话就这么多吧，不同人有不同理论，以上只是我个人意见，不要因为这个吵起来。

1、防护autorun.inf
在清除autorun.inf后，在分区根目录或者U盘、移动硬盘、MP3的根目录建立一个autorun.inf的文件夹，属性为只读、隐藏，有能力的可以加上系统属性。

2、浏览网页时候的防护
浏览网页时候尽量在大网站留言，不要使用baidu、google进行搜索，尤其软件、游戏外挂等等。
有能力的可以运行虚拟机和影子系统，来达到防护的目的

3、下载文件的防护
下载后的文件，在运行前一定要看图标、文件大小，并用杀毒软件进行查毒。下面介绍一个软件Universal Extractor，一款不错的解压缩软件，有些人该问了，WinRAR不就可以么？我介绍的这款软件可以解EXE文件，还能脱一些壳，一般的安装程序都能解开，看里面的文件是否有异样，也可以辨别病毒。

4、注册表防护
经常备份注册表，保护好关键注册表项，也就是各个注册表启动项，有能力的用户可以运用一些注册表监视程序。对于新手，瑞星的注册表监控在上网的时候弹出，一定要点拒绝修改，而且要立马手工检查病毒。
5、文件保护
尽量可以进行文件监控，比如SSM等。
对于4、5，我再推荐一款软件RegShot，这款软件进行前后扫描，然后对比，来反映修改，如果你上网浏览网页，比如查资料，要经常进入小网站，就可以在浏览前作一次扫描，浏览后作一次扫描，就可以看到你浏览时计算机对注册表和文件的添加、删除、修改。

进程列表（表一）（只是简略说明，详细说明请自己查找，你会学习得更多）
进程名 svchost.exe 路径 c:\windows\system32\ 说明 服务启动辅助文件，若其他地方出现，或者出现相似，则90%为病毒

进程名 svchost.exe 路径 c:\windows\system32\ 说明 服务启动辅助文件，若其他地方出现，或者出现相似，则90%为病毒

进程名 ctfmon.exe 路径 c:\windows\system32\ 说明 输入法辅助文件。

进程名 winlogon.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 csrss.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 services.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 smss.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 lsass.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 alg.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 spoolsv.exe 路径 c:\windows\system32\ 说明 系统基础文件之一

进程名 explorer.exe 路径 c:\windows\ 说明 系统桌面文件，大部分DLL病毒会集中在这里

说明，以上是部分系统基本进程，一个完整的SP2按照后是18个进程左右（不同版本进程数量不同）。注意路径，若路径有问题，90%

是病毒

进程名 ccenter.exe 路径 瑞星所安装的文件夹 说明 瑞星

进程名 ravmon.exe 路径 瑞星所安装的文件夹 说明 瑞星，会被病毒利用

进程名 ravmond.exe 路径 瑞星所安装的文件夹 说明 瑞星

进程名 ravstub.exe 路径 瑞星所安装的文件夹 说明 瑞星

进程名 ravtask.exe 路径 瑞星所安装的文件夹 说明 瑞星

感谢楼主


奖:

经验:50
货币:50

顶啊 ...正想找这样的东西啊