病毒手动查杀步骤参考

病毒手动查杀Windows操作系统下的病毒windows操作系统是一个极度依赖注册表运行的操作系统，其内部所有程序的启动都依赖于注册表。病毒，一段恶意的程序。由以上两点可以得出windows操作系统中的病毒的启动也一定会在注册表中留下痕迹。结论：手动杀毒无非是修改被病毒修改了的注册表，使得病毒无法自动运行，达到保护计算机系统和资料的目的。手动查杀病毒的目标控制病毒：修改被病毒修改了的注册表，使得病毒无法自动运行，达到保护计算机系统和资料的目的。完全清除病毒：在控制病毒的基础上，把病毒的源程序找到完全删除。（病毒可能有很多备份，所以完全删除比较困难）病毒样本本次使用的病毒样本来自于一个杀毒软件的病毒测试包。病毒类型：木马——Troj.Agent2文件名：17..exe特点：生命力极其顽强，一旦中招，极难彻底杀死。特别提示：病毒查杀测试前的准备首先，病毒查杀、测试等具有一定危险性的操作最好在虚拟机中操作。其次，为了方便的观察和检测病毒，在测试前当为虚拟机创建为中毒前的快照，以便快速恢复测试环境。最后，当前有大量的网络病毒，在测试前应关闭虚拟机的网卡，如进行多个虚拟机联合测试，需使用与当前宿主机物理网络无关的虚拟网络。中毒症状1桌面被修改成如图所示，且右键→属性，显示属性中的主题、桌面选项卡中的设置项无法使用、或使用后不生效。切每次注销，启动，重启后背景色会变动。中毒症状2打开任务管理器时，提示任务管理器以被管理员禁用，打开命令行时，命令行被强制关闭，切弹出英文提示框，bat文件执行现象同命令行。且rar压缩文件不能执行。病毒程序漏洞经多次测试，发现该程序只能对一个命令行进行监控，即当不理会提示框的情况下打开第二个命令行时，第二个命令行将不被强行关闭，且可以正常使用。查找病毒启动项使用msconfig命令打开系统配置实用程序，打开启动项选项卡后可以看到2个smss32.exe的启动项。smss(SessionManagerSubsystem)是会话管理子系统用以初始化系统变量。至于smss32.exe是什么想必大家也都能猜到。↑启动项名称↑被执行文件路径 ↑注册表记录仔细观察会发现2个smss32被在了注册表的2个不同的地方杀毒要删除病毒文件首先必须关闭病毒文件的进程，即需要查看任务管理器。通过命令行regedit打开系统注册表，将注册表展开到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

找到“DisableTaskmgr”并将其值设置为0任务管理器被解锁！通过任务管理器，将smss32.exe进程关闭后，进入windows\system32将smss32.exe文件删除，且在原处创建文件夹smss32.exe并进入命令行，到当前目录下执行attrib+s+rsmss32.exe进行手动文件免疫，以免改文件被再次生成。进入windows\system32将winlogon32.exe删除。启动SREngLdr.exe软件，启动项目会自动跳出该注册表键值被修改，是否需要修复。KEY_LOCAL_MACHINE\Software\Microsoft\WINDOWSNT\CurrentVersion\Winlogon\Userinit键值为：C:\WINDOWS\system32\winlogon32.exewinlogon32.exe为启动病毒。正常的值为Ｃ:\WINDOWS\system32\Userinit.exe接下来就是恢复桌面了\HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\\HKCU\SOFTWARE\Microsoft\Windows\CurrentVersio