对电脑进行了手工杀毒技巧

《对电脑进行了手工杀毒技巧》
一、检查注册表启动项

大多病毒都会进入注册表启动项的，我们可以通过一些方法查看和删除。打开注册表HKEY_LOCAL_MACHINESOFTWARE MicrosoftWindowsCurrentVersion点击查看其中RUN中的内
容，如果不懂，把里面的东西就全删了。不过这样并不能
解决病毒，病毒还会重新写入的，不过到时可以解决木马。如果想手工杀毒，就接着看下面的文章吧！

二、解决不能查看隐藏文件的方法
1、有时病毒通过修改注册表和修改文件属性（伪造CheckedValue值）的方法来达到不能查看隐藏文件的目的
，这是可是打开修改注册表，找
到  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer   AdvancedFolderHiddenSHOWALL,删除CheckedValue键（该键当前为字符串类
型），新建 CheckedValue为DWORD值（正确的键为DWORD类型），修改值为1，系
统隐藏文件就会显示了，恢复正常。

2、也可以通过ATTRIB命令使文件去掉隐藏和系
统的属性。例如显示C盘根目录下文件，就可以在CMD命令提示符下输入CD命令
切换到根目录下，然后输入ATTRIB -S -H AUTORUN.INF命令就可以了
三、怎样删除病毒的主体文件
    病毒都是有主体文件的，我们要手工杀毒首先就要清除病毒的主体文件，主体文件一般都是DLL文件，直接删是无法删除的，我们可以试试一下的方法（目前还没有发现什么DDL  文件不能被这三种方法删除的）。

1、进入安全模式删除

2、用windows系统自带的Rundll32.exe卸载后再删除，这一招对付wmpcd32.dll是很灵验的。在命令提示符下输入：Rundll32.exe 文件名.DLL Uninstall

3、找出这个DLL文件的寄宿。方法：要使用一款名为procexp进程管理工具，点击find，再点击find DLl，打开DLL文件查找对话框，在DLL Substring中输入“文件名.DLL”.点击   Search按钮就可以看到DLL文件被哪个进程调用了，只要结束这些进程，再尝试删除DLL文件就可以了。
注：如病毒文件为RGWatch.sys的也可以使用同样的方法找出寄宿进程，然后再删掉。此外冰刃也是个不错的选择。
四、删除注册表病毒垃圾
    这个没什么好说的，就是在我们手工杀完毒后别忘了删除其所在注册表留下的一些信息。方法：打开注册表（regedit），搜索我们要删除的病毒名即
可。有时候我们无法删除，
可以使用冰刃强行删除。因为冰刃没有注册表修改搜索功能，我们可以先在注册表编辑器中搜索出相关项，再在冰刃的注册表中定位
到搜索项目，然后删除！
五、找到病毒保护文件，强行删除！

很多病毒都会产生保护文件的，当你删出病毒后，病毒又会回来，很烦人，也很难办！我们可以使用下面的方法找出其保护文件，在这里需要两款辅助工
具：Filemon和冰刃。  Filemon的作用是记录下对所有文件的添加、修改和删除记录，并且可以显示是哪个进程进行的修改！

方法操作如下：打开冰刃，在设置里选择“禁止进/线程建立”，打开进程，结束所有无用进程（结束explorer.exe进程），只留下系统基本进程
（不包括explorer.exe进程）一
方便我们详细记录。逐一删除注册表启动项目，并且刷新查看是否会自动恢复。在Filemon中就会发现这个保护进程了！
六、杀毒软件被禁用的解决方法
    杀毒软件是病毒的克星，所以病毒要想生存就必须杀掉杀毒软件。这也是现在很多病毒都具备的功能，也就是中毒后杀毒软件不可用了。
   1、关于瑞星，有比较好的解决方法（因为我用的就是瑞星(*^__^*) ……）。瑞星的工具列表中有个功能，叫做“瑞星安装包制作程序”使用这个功能可以将瑞星升级到最新病
毒
库的瑞星打包安装程序，这样在重新安装瑞星的时候就可以省去重新更新的麻烦，而这个安装包在运行的时候其进程名与瑞星保护进程名是不同的，这样就可以顺
利安装
了，这
样杀毒软件就可以使用了。
   2、比较普遍的杀毒软件中毒现象是会提示：应用程序正常初始化（0x00000ba）失败。
 
原因分析：
   ws2_32.dll是windows sockets应用程序接口，用于支持Internet和网络应用程序，程序运行时会自动调用ws2_32.dll文件。ws2_32.dll是个动态链
接库文件，位于系统文件夹
中，windows在查找动态链接库文件时，会现在应用程序当前目录搜索，如果没有找到才会搜索windows所在目录，如果还没有找到就会搜索 system32和system目录。一些病毒就
是利用此原理在杀毒软件目录中建立了ws2_32.dll文件或文件夹，在杀毒软件看来这是一个它需要的文件而调用，但事实上这个所谓的“文件”又不具真
正的ws2_32.dll文件所
具备的功能，所以杀毒软件也就无法正常运行了，于是就会提示：应用程序正常初始化（0x00000ba）失败！
解决办法：

到杀毒软件安装目录找 ws2_32.dll文件或文件夹，删除即可！

注：如果找不到，可能是隐藏了，按照上面说的方法即可解决。如果找到后仍无法删除，原因是里面有个名为1.的文件夹，该文件夹对于windows环境无法识别，此时可以用冰
刃删除
 3、IFEO劫持（冰刃等杀病毒工具不可用）
 
 貌似冰刃是病毒的一个大危害，病毒自然也不会放过。有时候中毒后，所有杀毒软件和反病毒工具（比如冰刃）都无法使用了，原因就是IFEO劫持。原因：

通过修改注册表，在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options下建立特定的子键来屏蔽一些特定的程序，或指向
目标程序，来达到启动病毒和禁用工具的目的。
 
解决方法：到此目录下，把我们的工具从黑名单里拖出来就可以了（删掉呗）

七、重装系统都无法解决的病毒问题
    很多人认为中病毒了，重装系统就可以解决了，其实不然，有些病毒强制修改IE，设置默认首页，即使你重装了系统后仍然无法解决。方法是：把java虚拟机停掉后病毒就不会
发作了，然后再结束进程