如何手工杀病毒的好文章

弱电初学者

    木马，病毒，总是要加载系统的。用工具杀是好，但是有些新出的木马病毒可能没专杀工具呢，所以掌握一点手工杀马的技术也是好的，通用型 NT/2000/Xp系统里都可以用，98就不讨论了。
 
常见木马病毒分类：
1、DLL类：此类木马病毒，一般引导加载一个dll文件，多数用
      rundll32.exe *.dll
      explorer.exe *.dll
      usrist  *.dll
     这样的参数加载，它的特点是，删掉后会自动再加载
 对抗：『此处的*.需要包括路径名』
    1>注销相应控件
        regsvr32 /i /n  *.dll  写个bat文件，把所有需要注销卸载的控件注销掉
    2>删除相应控件
        del /f  *.dll   这是强制删除命令
 
2、SYS系统服务或驱动类：此类是加载一个后台任务或驱动，也是删不掉的
对抗：『此处的*.需要包括路径名』
    1>关闭并卸载任务
          SC stop *.sys  关闭服务
          SC delete *.sys 卸载服务
    2>删除服务文件
        del /f  *.sys 强制删除木马或病毒的.sys文件
 
3、exe加载类：此类是在进程中加载一个exe程序
对抗：
    1>关闭进程
        taskkill /im  *.exe 强制关闭进程 『此处的*.不用包括路径名』
    2>删除程序
        del /f  *.exe 强制删除木马或病毒的.exe文件『此处的*.需要包括路径名』
4、综合类：此类是包含了以上3种特征的
对抗：把3种方法一起用咯
 
实战：
1、用命令列出进程
tacklist  /svc /v list      //列出当前系统所有进程保存为列表文件
2、找到可疑程序控件服务【也可以用bat脚本实现自动发现，以后再说】
     这个要自己眼睛去看的～～～
3、写bat或cmd脚本删除
例子：
echo 开始注消非法控件
@echo off
IF EXIST C:\ROGRA~1\gentad\gentad.dll
IF EXIST C:\rogram Files\Kuree\kpfa.dll
IF EXIST C:\rogram Files\Ringz Studio\Storm Codec\Codecs\TTL2Dec.dll
IF EXIST C:\ROGRA~1\ypwu\isje.dll
IF EXIST C:\ROGRA~1\ypwu\lcmh.dll
IF EXIST C:\ROGRA~1\ypwu\qhrm.dll
IF EXIST C:\ROGRA~1\ypwu\neoj.dll
IF EXIST C:\WINDOWS\system32\drivers\kelbqb.sys
IF EXIST C:\WINDOWS\system32\wsttrs.dll
IF EXIST C:\WINDOWS\system32\drivers\usrinit.dll
IF EXIST C:\rogram Files\NetTransport 2\NTIEHelper.dll goto _unreg  

『IF EXIST命令表示“如果有，则...”－此处表示为如果有这些文件，则运行_unreg   』
:_unreg   『：冒号为定义文件，定义文件_unreg，下面是_unreg  的命令  』

regsvr32 /i /n C:\ROGRA~1\gentad\gentad.dll
regsvr32 /i /n C:\rogram Files\Kuree\kpfa.dll
regsvr32 /i /n C:\Program Files\Ringz Studio\Storm Codec\Codecs\TTL2Dec.dll
regsvr32 /i /n C:\PROGRA~1\ypwu\isje.dll
regsvr32 /i /n C:\PROGRA~1\ypwu\lcmh.dll
regsvr32 /i /n C:\PROGRA~1\ypwu\qhrm.dll
regsvr32 /i /n C:\PROGRA~1\ypwu\neoj.dll  『regsvr32 /i /n  强制注销并卸载这些控件』
regsvr32 /i /n C:\WINDOWS\system32\wsttrs.dll
regsvr32 /i /n C:\WINDOWS\system32\drivers\usrinit.dll
regsvr32 /i /n C:\Program Files\NetTransport 2\NTIEHelper.dll  
SC stop C:\WINDOWS\system32\drivers\kelbqb.sys 『SC stop 停止相关服务或驱动』
SC delete C:\WINDOWS\system32\drivers\kelbqb.sys 『SC delete 卸载服务或驱动』

del /f C:\PROGRA~1\gentad\gentad.dll 
del /f C:\Program Files\Kuree\kpfa.dll
del /f C:\Program Files\Ringz Studio\Storm Codec\Codecs\TTL2Dec.dll
del /f C:\PROGRA~1\ypwu\isje.dll
del /f C:\PROGRA~1\ypwu\lcmh.dll
del /f C:\PROGRA~1\ypwu\qhrm.dll
del /f C:\PROGRA~1\ypwu\neoj.dll
del /f C:\WINDOWS\system32\drivers\kelbqb.sys
del /f C:\WINDOWS\system32\wsttrs.dll
del /f C:\WINDOWS\system32\drivers\usrinit.dll
del /f C:\Program Files\NetTransport 2\NTIEHelper.dll   『del /f  强制删除文件』
：_done
echo 开始调用注册表控制台
@echo off
regedit  『调用注册表控制台准备手动清扫的步骤』
end
 
5、清理注册表：用参数也可清理注册表，但是太复杂了，不用工具的话手动调用注册表编辑器，搜索所有的数据。
比如，接上面的例子！
echo 开始调用注册表控制台
@echo off
regedit
end

如果想用参数直接删，那是要下载一个命令行的注册表修改程序才行，如regfind.exe