如何全面清除计算机病毒

1、灭毒有招如何全面清除计算机病毒（防毒技巧）网络时代，病毒已经无所不在。在层出不穷、变化多端的病毒袭击下，中招基本上是不可避免的了。那么中招以后我们改如何处理（当然必须处理，否则计算机没法替你工作）？是格式化系统然后重装Windows,还是请人帮忙。因为职业关系，我不得不与这些让人讨厌的东西战斗着，逐步地积累了一些行之有效的办法，供大家参考。一、中毒的一些表现我们怎样知道电脑中病毒了呢？其实电脑中毒跟人生病一样，总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开，电脑不能正常启动、硬盘分区找不到了、数据丢失等等，就是中毒的一些征兆。二、中毒诊断1、

2、按Ctrl+Shift+Ese键（同时按此三键），调出windows任务管理器查看系统运行的进程，找出不熟悉进程并记下其名称（这需要经验），如果这些进程是病毒的话，以便于后面的清除。暂时不要结束这些进程，因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态，如果CPU的利用率接近100%或内存的占用值居高不下，此时电脑中毒的可能性是95%。2、查看windows当前启动的服务项，由控制面板”的管理工具”里打开服务”。看右栏状态为启动”启动类别为自动”项的行；一般而言，正常的windows服务，基本上是有描述内容的（少数被骇客或蠕虫病毒伪造的除外），此时双击打开认为有问题

3、的服务项查看其属性里的可执行文件的路径和名称，假如其名称和路径为C:winntsystem32explored.exe，计算机中招。有一种情况是控制面板”打不开或者是所有里面的图标跑到左边，中间有一纵向的滚动条，而右边为空白，再双击添加/删除程序或管理工具，窗体内是空的，这是病毒文件winhlpp32.exe发作的特性。3、运行注册表编辑器，命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_MachineSoftwareMicroSoftWindowsCurrentVersionRun和后面几个RunOnce等，查看窗体右侧的项值，看

4、是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累，你可以轻易的判断病毒的启动项。4、用浏览器上网判断。前一阵发作的Gaobot病毒，可以上,等网站,但是不能访问诸如,这样著名的安全厂商的网站，安装了symantecNorton2004的杀毒软件不能上网升级。5、取消隐藏属性，查看系统文件夹winnt（windows）system32,如果打开后文件夹为空，表明电脑已经中毒；打开system32后，可以对图标按类型排序，看有没有流行病毒的执行文件存在。顺便查一下文件夹Tasks,wins,drivers.目前有的病毒执行文件就藏身于此；driversetc

5、下的文件hosts是病毒喜欢篡改的对象，它本来只有700字节左右，被篡改后就成了1Kb以上，这是造成一般网站能访问而安全厂商网站不能访问、著名杀毒软件不能升级的原因所在。6、由杀毒软件判断是否中毒，如果中毒，杀毒软件会被病毒程序自动终止，并且手动升级失败。三、灭毒1、在注册表里删除随系统启动的非法程序，然后在注册表中搜索所有该键值，删除之。当成系统服务启动的病毒程序，会在Hkey_Local_MachineSystemControlSet001services和controlset002services里藏身，找到之后一并消灭。2、停止有问题的服务，改自动为禁止。3、如果文件system32d

6、riversetchosts被篡改，恢复它，即只剩下一行有效值“localhost其余的行删除。再把host设置成只读。4、重启电脑，据F8进带网络的安全模式”。目的是不让病毒程序启动，又可以对Windows升级打补丁和对杀毒软件升级。5、搜索病毒的执行文件，手动消灭之。6、对Windows升级打补丁和对杀毒软件升级。7、关闭不必要的系统服务，如remoteregistryservice。8、第6步完成后用杀毒软件对系统进行全面的扫描，剿灭漏网之鱼。9、上步完成后，重启计算机，完成所有操作。四、建议防范病毒作用远甚于查杀病毒。因此建立严密的防范措施是十分必要的。在具备条件的大

7、中型网络里，应该软硬兼施、立体防护。理想得到情况是：Internet的接入处是外网防火墙；紧接着是防毒网关（熊猫卫士的性价比较高）；然后是路由器，服务器区，可为应用服务器配置一台病毒服务器；再往内是内网防火墙；内网架设杀毒服务器，每个用户都安装杀毒软件的可管理客户端。怎样预防熊猫烧香系列病毒？最近那个熊猫烧香病毒让所有用电脑的人很生气，熊猫这个国宝似乎不再可爱，而成了人人喊打的过街老鼠。熊猫变种实在太多，中招后的损失很严重，杀毒软件一直在救火中。以下几招很简单易行，帮你预防熊猫烧香病毒，至少能明显减少你中招的几率。1 .立即检查本机administrator组成员口令，一定放弃简单口令甚至空口

8、令，安全的口令是字母数字特殊字符的组合，自己记得住，别让病毒猜到就行。修改方法，右键单击我的电脑，选择管理，浏览到本地用户和组，在右边的窗格中，选择具备管理员权限的用户名，单击右键，选择设置密码，输入新密码就行。2 .利用组策略，关闭所有驱动器的自动播放功能。步骤：单击开始，运行，输入gpedit.msc,打开组策略编辑器，浏览到计算机配置，管理模板，系统，在右边的窗格中选择关闭自动播放，该配置缺省是未配置，在下拉框中选择所有驱动器，再选取已启用，确定后关闭。最后，在开始，运行中输入gpupdate,确定后，该策略就生效了。3 .修改文件夹选项，以查看不明文件的真实属性，避免无意双击骗子程序中

9、毒。步骤：打开资源管理器（按windows徽标键+E）,点工具菜单下文件夹选项，再点查看，在高级设置中，选择查看所有文件，取消隐藏受保护的操作系统文件，取消隐藏文件扩展名。4 .时刻保持操作系统获得最新的安全更新，建议用杀毒软件的漏洞扫描功能。5 .启用windows防火墙保护本地计算机。熊猫烧香病毒专杀及手动修复方案本文介绍了熊猫烧香病毒、熊猫烧香病毒变种的查杀方法，及熊猫烧香病毒的手动清除方案。提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案，和熊猫烧香病毒专杀工具。在动手查杀熊猫烧香病毒之前，强烈建议先注意以下四点：1 .本文包含两种熊猫烧香病毒变种的描述

10、，请注意查看病毒症状，根据实际情况选用不同的查杀方法。2 .对于被熊猫烧香病毒感染的.exe可执行文件，推荐先备份，再修复！3 .找回被熊猫烧香病毒删除的ghost（.gho）文件，详情请见文中！4 .对计算机了解不多的用户，请在专家指导下清除熊猫烧香病毒。熊猫烧香病毒变种一：病毒进程为“spoclsv.exe”这是熊猫烧香”早期变种之一，特别之处是杀死杀毒软件”，最恶劣之处在于感染全盘.exe文件和删除.gho文件（Ghost的镜像文件）。最有灵感”的一招莫过于在所有htm/html/asp/php/jsp/aspx文件末尾添加一段代码来调用病毒。目前所有专杀工具及杀毒软件均不会修复此病毒行

11、为。需要手动清除病毒添加的代码，且一定要清除。否则访问了有此代码的网页，又会感染。其他老一点的熊猫烧香"spoclsv变种的病毒行为比此版本少。就不再单独列出。病毒描述：武汉男生”，俗称熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe,com,pif,src,html,asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，（.gho为GHOST的备份文件），使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。以下是熊猫烧香病毒详细行为和解决办法：熊猫烧香病毒详细行为：1 .复制自身到系统目录下：%Syste

12、m%driversspoclsv.exe（"%System%代表Windows所在目录，比如:C:Windows)不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是:C:WINDOWSSystem32Driversspoclsv.exe。2 .创建启动项：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"svcshare"="%System%driversspoclsv.exe"3 .在各分区根目录生成病毒副本：X:setup.exeX:autorun.

13、infautorun.inf内容：AutoRunOPEN=setup.exeshellexecute=setup.exeshellAutocommand=setup.exe4 .使用netshare命令关闭管理共享：cmd.exe/cnetshareX$/del/ycmd.exe/cnetshareadmin$/del/y5 .修改显示所有文件和文件夹”设置：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"CheckedValue"=dwo

14、rd:000000006 .熊猫烧香病毒尝试关闭安全软件相关窗口：天网防火墙进程VirusScanNOD32网镖杀毒毒霸瑞星江民黄山IE超级兔子优化大师木马清道夫木焉清道夫QQ病毒注册表编辑器系统配置实用程序卡巴斯基反病毒SymantecAntiVirusDubaWindows任务管理器esteemprocs绿鹰PC密码防盗噬菌体木马辅助查找器SystemSafetyMonitorWrappedgiftKillerWinsockExpert游戏木马检测大师超级巡警msctls_statusbar32pjf(ustc)IceSwordViking病毒（威金病毒）进程:7 .尝试结束安全软件相关进

15、程以及Mcshield.exeVsTskMgr.exenaPrdMgr.exeUpdaterUI.exeTBMon.exescan32.exeRavmond.exeCCenter.exeRavTask.exeRav.exeRavmon.exeRavmonD.exeRavStub.exeKVXP.kxpKvMonXP.kxpKVCenter.kxpKVSrvXP.exeKRegEx.exeUIHost.exeTrojDie.kxpFrogAgent.exeLogo1_.exeLogo_1.exeRundl132.exe8 .禁用安全软件相关服务：SchedulesharedaccessRsCCe

16、nterRsRavMonKVWSCKVSrvXPkavsvcAVPMcAfeeFrameworkMcShieldMcTaskManagernavapsvcwscsvcKPfwSvcSNDSrvcccProxyccEvtMgrccSetMgrSPBBCSvcSymantecCoreLCNPFMntorMskServiceFireSvc9 .删除安全软件相关启动项：SOFTWAREMicrosoftWindowsCurrentVersionRunRavTaskSOFTWAREMicrosoftWindowsCurrentVersionRunKvMonXPSOFTWAREMicrosoftWindo

17、wsCurrentVersionRunkavSOFTWAREMicrosoftWindowsCurrentVersionRunKAVPersonal50SOFTWAREMicrosoftWindowsCurrentVersionRunMcAfeeUpdaterUISOFTWAREMicrosoftWindowsCurrentVersionRunNetworkAssociatesErrorReportingServiceSOFTWAREMicrosoftWindowsCurrentVersionRunShStatEXESOFTWAREMicrosoftWindowsCurrentVersionR

18、unYLive.exeSOFTWAREMicrosoftWindowsCurrentVersionRunyassistse10.遍历目录修改htm/html/asp/php/jsp/aspx等网页文件，在这些文件尾部追加信息:<iframesrc="hxxp:/但不修改以下目录中的网页文件：C:WINDOWSC:WINNTC:system32C:DocumentsandSettingsC:SystemVolumeInformationC:RecycledProgramFilesWindowsNTProgramFilesWindowsUpdateProgramFilesWindo

19、wsMediaPlayerProgramFilesOutlookExpressProgramFilesInternetExplorerProgramFilesNetMeetingProgramFilesCommonFilesProgramFilesComPlusApplicationsProgramFilesMessengerProgramFilesInstallShieldInstallationInformationProgramFilesMSNProgramFilesMicrosoftFrontpageProgramFilesMovieMakerProgramFilesMSNGaminZ

20、one11 .在访问过的目录下生成Desktop_.ini文件，内容为当前日期。12 .此外，病毒还会尝试删除GHO文件。病毒还尝试使用弱密码将副本以GameSetup.exe的文件名复制到局域网内其它计算机中：passwordharleygolfpussymustangshadowfishqwertybaseballletmeincccadminabcpasspasswddatabaseabcdabc123sybase123qweservercomputersuper123asdihavenopassgodblessyouenablealpha1234qwer123abcaaapatrick

21、patadministratorrootsexgodfuckyoufucktesttest123temptemp123winasdfpwdqweryxcvzxcvhomexxxownerloginLoginlovemypcmypc123admin123mypassmypass123AdministratorGuestadminRoot病毒文件内含有这些信息:whboy*武*汉*男*生*感*染*下*载*者*解决方案：1 .结束病毒进程：%System%driversspoclsv.exe不同的spoclsv.exe变种，此目录可不同。比如12月爆发的变种目录是：C:WINDOWSSystem32

22、Driversspoclsv.exe。但可用此方法清除。“%System%spoclsv.exe”是系统文件。（目前看来没有出现插入该系统进程的变种，不排除变种的手法变化。）查看当前运行spoclsv.exe的路径，可使用超级兔子魔法设置。2 .删除病毒文件：%System%driversspoclsv.exe请注意区分病毒和系统文件。详见步骤1。3 .删除病毒启动项：HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun"svcshare"="%System%driversspoclsv.exe&qu

23、ot;4 .通过分区盘符右键菜单中的打开”进入分区根目录，删除根目录下的病毒文件：X:setup.exeX:autorun.inf5 .恢复被修改的显示所有文件和文件夹”设置：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL"CheckedValue"=dword:000000016 .修复或重新安装被破坏的安全软件。7 .修复被感染的程序。可用专杀工具进行修复，收集了四个供读者使用。金山熊猫烧香病毒专杀工具、安天熊猫烧香病毒专杀工具、江民熊

24、猫烧香病毒专杀工具和瑞星熊猫烧香病毒专杀工具。也可用手动方法(见本文末)。8 .恢复被修改的网页文件，可以使用某些编辑网页的工具替换被添加文字为空。机器上有htm/html/asp/php/jsp/aspx等网页文件，一定要删除此段代码。有危险代码的网页一但发布到网页可能会感染其他用户。熊猫烧香病毒变种二：病毒进程为“FuckJacks.exe”以下是数据安全实验室提供的信息与方法。病毒描述：含有病毒体的文件被运行后，病毒将自身拷贝至系统目录，同时修改注册表将自身设置为开机启动项，并遍历各个驱动器，将自身写入磁盘根目录下，增加一个Autorun.inf文件，使得用户打开该盘时激活病毒体。随后病

25、毒体开一个线程进行本地文件感染，同时开另外一个线程连接某网站下载ddos程序进行发动恶意攻击。病毒基本情况：文件信息病毒名：Virus.Win32.EvilPanda.a.ex$大小：0xDA00(55808),(disk)0xDA00(55808)SHA1?:F0C3DA82E1620701AD2F0C8B531EEBEA0E8AF69D壳信息：未知危害级别：高病毒名：Flooder.Win32.FloodBots.a.ex$大？小：0xE800(59392),(disk)0xE800(59392)SHA1?:B71A7EF22A36DBE27E3830888DAFC3B2A7D5DA0D壳

26、信息：UPX0.89.6-1.02/1.05-1.24危害级别：高病毒行为：Virus.Win32.EvilPanda.a.ex$1、病毒体执行后，将自身拷贝到系统目录：%SystemRoot%system32FuckJacks.exe2、添加注册表启动项目确保自身在系统重启动后被加载：键路径：HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun键名：FuckJacks键值："CWINDOWSsystem32FuckJacks.exe"键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosof

27、tWindowsCurrentVersionRun键名：svohost键值："CWINDOWSsystem32FuckJacks.exe”3、拷贝自身到所有驱动器根目录，命名为Setup.exe,并生成一个autorun.inf使得用户打开该盘运行病毒，并将这两个文件属性设置为隐藏、只读、系统。C:autorun.inf?1KB?RHSC:setup.exe?230KB?RHS4、关闭众多杀毒软件和安全工具。5、连接*.3322.org下载某文件，并根据该文件记录的地址，去www.*.com下载某ddos程序，下载成功后执行该程序。6、刷新,某QQ秀链接。7、循环遍历磁盘目录，感染文件，对关键系统文件跳过，不感染Windows媒体播放器、MSN、IE等程序。Flooder.Win32.FloodBots.a.ex$1、病毒体执行后，将自身拷贝到系统目录：%SystemRoot%SVCH0ST.EXE（注意文件名中的“虚数字零”，不是字母“。”%SystemRoot%system32SVCH0ST.EXE（注意文件名中的“面数字零”，不是字母"o）2、该病毒后下载运行后，添加注册表启动项目确保自身在系统重启动后被加载：键路径：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion