按图索骥查杀顽固病毒

图索骥查杀顽固病毒 2007-08-10 11:22不喜欢杀毒软件，按照某大侠的理论，其实杀毒软件本身也像一个病毒。所以只好手杀，刚刚在电脑爱好者上看到这个文章，还不错，就发了上来，是一个字一个字地打上去的，累。 -_______-!

不过这个过程感觉有点倒了，感觉应该是先结束进程再删除病毒才对。还有就是对于我们不安装杀毒软件的同志们的一个大问题就是如何发现病毒，这一点防火墙应该是最好的东西。

---------------------------------------------------------


有那么多的杀毒软件，为什么还要手工查杀呢？其实杀毒软件一直非常被动，总是等新病毒出现（甚

至出现很久）之后，它才能想办法查杀，而在这个时间差中，我们的电脑就处在了高度风险之中。而

一旦掌握了手工查杀的方法，就能即时保护好自己的系统。注意：本文所说的病毒，指病毒、木马、

流氓软件等恶意程序。

第一步：常用方法显示病毒文件

首先要做的是确认病毒文件确实存在。打开Windows资源管理器，依次占击“工具－文件夹选项－查看

”，点击勾选高级设置中的“显示系统文件夹的内容”和“显示所有文件和文件夹”两项，再点击去

掉“隐藏已知文件类型的扩展名”和“隐藏受保护的操作系统文件”前面的对钩。

第二步：巧用WinRAR打回病毒文件原形

经过上面的操作后应该可以看到所有文件了吗？未必，有时中毒之后，这些设置会被禁止，或者设置

后马上失效。还有些病毒文件，即使成功完成以上设置，还是看不到。但是不用着急，借用WinRAR可

以看到所有文件。
举个例子，每个盘符下都有RECYLED（回收站）这个文件夹。当你右键清空后，里面什么文件也没了。

但是打开WinRAR再看看这个文件夹，就有可能找到病毒文件，比如我在自己的电脑中，通过WinRAR在

回收站中发现了INFO2和desktop.ini这两个病毒文件。还有一个特殊的文件夹

“D:\WINDOWS\Downloaded Program Files”这个文件夹常被病毒利用。你用Windows资源管理器和用

WinRAR分别打开看看。比较一下内容是不是有所不同？

第三步：强制终止病毒进程

确认病毒文件确实存在了，接下来就是想办法删除它。如果病毒文件正被恶意进程调用，用普通方法

是无法删除的，这时先要终止病毒进程。终止进程最简单的方法就是使用Windows的任务管理器，按

Ctrl+Alt+Del组合键即可调出它，再点选“进程”选项卡，选中相应进程再单击“结束进程”即可。
不过大多数病毒进程针对Windows任务管理器做过处理，通过上面的方法可能无法终止它，这时可借助

第三方工具来完成，比如瑞星卡卡的进程管理，Windows杀毒助手，冰刃IceSword和SYSCHECK等。其中

的冰刃IceSword和SYSCHECK具有禁止进程创建功能，可以防止病毒进程和服务在终止后重新加载，这

里强烈推荐。如果能够进入安全模式我们就省事多了。安全模式下病毒的常规启动项和服务项不会加

载，我们就可以顺利删除病毒文件并修复注册表，这是个理想的境界。比较顽固的病毒发作后会破坏

系统进入安全模式的相关注册表项，导致不能进入安全模式，比如3448和最近很流行的AV终结者等。

还有一些驱动级的病毒、木马、流氓软件，即使安全模式也会加载并保护病毒文件和注册表项不被删

除。所以不能完全依赖安全模式。

第四步：使用费尔强制删除工具

如果上一步中没能成功删除病毒，这时可借助其他强力删除工具来完成，我推荐大家试试费尔强制删

除工具。这款工具小巧玲珑，使用方便，可批量输入要删除的病毒文件的路径，即使隐藏文件不可显

示也能删之，并可抑制文件再生。
使用这个工具时，可以在输入框中直接输入文件路径，也可以点击右侧“…”浏览按钮查找，选中找

到的病毒文件，点选“清除”或“清除，并抑制文件再生成”项，再单击“开始”就可以了。对有些

病毒文件，可能会提示在重启后删除。

第五、六步：马来杀马，毒来杀毒的Unlocker

对Unlocker这款软件，我们已多有介绍，这里只简单说一下它的使用。Unlocker安装后会自动集成到

右键菜单中，在管理器中直接右击要删除的病毒文件，选择“Unlocker”打开一个简单的对话框，在

左侧下拉菜单中选择“删除”，确定即可。有些文件的删除，会要求重新启动才能最终完成。

第七、八步：断绝病毒后路再删除

现在的病毒比较“智能”，当删除某个病毒文件后，它又会自动创建进程再生新的病毒文件。为了断

绝病毒再生的后路，可启动IceSword，执行“文件－设置”，选中“禁止所有进/线程创建”项，确定

即可。然后，继续使用Unlocker删除。

第九步：金蝉脱壳彻底杀病毒

如果按以上步骤操作后还是失败了，可考虑进入另外的操作系统再进行。如果安装了双系统，直接进

入另一个系统即可，如果没有安装双系统，可制作WinPE光盘启动电脑。

第十步：一剂“免疫针”

通过上面的方法成功杀掉病毒文件后，为了避免病毒“死而复活”，可在资源管理器同一目录下，建

立和病毒文件同名（包括扩展名，如果有的话）的文件夹，这样可达到免疫功能，然后再继续删除其

它病毒文件。
注意：等病毒完全清除后，这些免疫文件夹可以删除。虽然可以永久保留这些免疫文件夹，但这样有

可能会被360安全卫士等软件识别为流氓软件残留。