??? 文章有點(diǎn)長，請進(jìn)來看……
??? 以下的說法全部是建立在Windows XP的基礎(chǔ)上的。
??? 似乎現(xiàn)在很多人的電腦都染了病毒，很慘，我也是電腦小菜，也被病毒折磨過一段時(shí)日，所以寫下這篇文章，希望對那些還在被一些低級病毒折磨的人有點(diǎn)幫助，呵呵……
??? PS：因?yàn)槲椰F(xiàn)在也只能殺殺低級病毒哦……
??? 我們都知道，一個(gè)程序要運(yùn)行就必須被載入內(nèi)存，而載入內(nèi)存后，這個(gè)程序就成為了一個(gè)進(jìn)程。所謂的系統(tǒng)進(jìn)程，不過就是操作系統(tǒng)運(yùn)行需要載入的程序而已，而病毒要運(yùn)行也一樣，他們也一樣會被載入內(nèi)存，成為進(jìn)程，所以，只要我們認(rèn)識好了進(jìn)程，也就具備了手動(dòng)殺毒的基本知識……
??? 首先，按Ctrl+Alt+Del打開任務(wù)管理器，點(diǎn)選進(jìn)程，在底下的列表里面就列出了十幾個(gè)或者甚至幾十個(gè)進(jìn)程，你會發(fā)現(xiàn)一些很熟悉的名字，比如iexplore.exe（Internet Explorer的進(jìn)程名）、eMule.exe（EMule的進(jìn)程名）、QQ.exe（QQ的進(jìn)程名），所以我們大概可以猜到一般來說進(jìn)程名和程序名是一樣的，但是也有例外。
??? 那么要學(xué)會手殺，就必須先認(rèn)識這些7788的進(jìn)程名，特別是系統(tǒng)進(jìn)程，不然就會出現(xiàn)一些奇奇怪怪的問題……呵呵……
??? 以下是我暫時(shí)想起來的一部份常見的系統(tǒng)進(jìn)程，當(dāng)然實(shí)際上系統(tǒng)進(jìn)程的數(shù)量要多得多，不認(rèn)識的可以去網(wǎng)上查一下，或者去Baidu的知道里面問一下也可以：
??? alg.exe?Windows網(wǎng)絡(luò)連接共享和網(wǎng)絡(luò)連接防火墻
??? cmd.exe?命令行
??? conime.exe?輸入法編輯器相關(guān)程序
??? csrss.exe?子系統(tǒng)服務(wù)器進(jìn)程
??? ctfmon.exe?Microsoft Office的語言欄
??? explorer.exe?資源管理器
??? internat.exe?托盤區(qū)的拼音圖標(biāo)（注意：不是internet，是internat）
??? llssrv.exe?證書記錄服務(wù)
??? lsass.exe?管理IP 安全策略以及啟動(dòng)IKE和IP 安全驅(qū)動(dòng)程序
??? mstask.exe?計(jì)劃任務(wù)
??? nvsvc32.exe?NVIDIA顯示卡相關(guān)程序
??? point32.exe?微軟的鼠標(biāo)驅(qū)動(dòng)
??? regsvc.exe?遠(yuǎn)程注冊表操作，開啟系統(tǒng)服務(wù)remoteregister運(yùn)行的
??? services.exe?包含很多系統(tǒng)服務(wù)
??? smss.exe?session manager會話管理器
??? spoolsv.exe?打印緩沖池
??? svchost.exe?windows 2000/xp 的文件保護(hù)系統(tǒng)
??? system?Windows System Process
??? system idle process?用于顯示CPU可用資源百分比情況。
??? tftpd.exe?實(shí)現(xiàn)tftp internet標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)不要求用戶名和密碼。
??? taskmgr.exe?任務(wù)管理器
??? userinit.exe??管理不同的啟動(dòng)順序，載入完用戶后就退出運(yùn)行了
??? wdfmgr.exe?一個(gè)系統(tǒng)服務(wù)windows user mode driver framework ，是安裝Windows media player 10添加的，用于減少兼容性問題。
??? winlogon.exe?管理用戶登錄
??? wmiexe.exe?Windows Management Instrumentation，Windows管理程序
??? wmiprvse.exe?Windows的一部份，通過WinMgmt.exe程序處理WMI操作
??? wuauclt.exe?Windows自動(dòng)升級管理程序
??? 有點(diǎn)暈？正常，但是多看看就習(xí)慣了。
??? 接著，讓我們來想想病毒的習(xí)性，載入內(nèi)存，復(fù)制和偽裝自己，感染文件，并且有一定的自我保護(hù)的能力，能在一定情況下復(fù)發(fā)。所以手殺病毒的思維應(yīng)該是先結(jié)束掉病毒的進(jìn)程，再找出并刪除與病毒相關(guān)的文件，再刪除和病毒相關(guān)的啟動(dòng)項(xiàng)和服務(wù)，如果刪不掉，則重啟到安全模式，甚至DOS下（故障控制臺），刪除。
對了，介紹幾個(gè)工具：
??? 一個(gè)是進(jìn)程分析工具ProcXP（Process Explorer），它的進(jìn)程管理十分的底層，為了測試他的能力，你可以運(yùn)行他，結(jié)束system看看，結(jié)果就是你的機(jī)子重啟了，因?yàn)樗裌indows都結(jié)束掉了，呵呵……
??? http://m.shnenglu.com/Files/asp/ProcessExplorer.rar
??? 第二個(gè)工具就是文件關(guān)聯(lián)恢復(fù)器，因?yàn)楝F(xiàn)在很多的病毒都和應(yīng)用程序掛上了鉤，所以殺毒的時(shí)候這個(gè)工具是十分有效的。
??? http://m.shnenglu.com/Files/asp/recover.rar
??? 第三個(gè)工具是IceSword，這個(gè)工具幾乎可以觀察系統(tǒng)中所有的情況，并且能夠刪除一些特別頑固的文件，還可以結(jié)束進(jìn)程，不過個(gè)人做了試驗(yàn)，發(fā)現(xiàn)它結(jié)束程序的權(quán)限好像沒有ProcXP高。
??? http://m.shnenglu.com/Files/asp/icesword_cn.rar
??? 接下來，我們就要開始學(xué)習(xí)怎么檢查和刪除病毒了。
??? 首先，看你的電腦有沒有異樣，比如開機(jī)就是一個(gè)temp1執(zhí)行非法操作什么的；速度奇慢無比；插上別人的U盤，別人U盤里面就多了幾個(gè)文件等等，有就說明，你中彩了。
??? 運(yùn)行文件關(guān)聯(lián)恢復(fù)器，把“使注冊表編輯器可用”選上，點(diǎn)開始修復(fù)，然后關(guān)掉它。
??? 打開ProcXP，第一次打開的時(shí)候會有提示框，選Yes就OK，接下來，你會看見他的界面，如下：

??? 里面有幾欄：
??? 第一欄Process，進(jìn)程名和其父子關(guān)系。
??? 第二欄PID，就是進(jìn)程在系統(tǒng)中的特定的ID——Process ID。
??? 第三欄CPU，CPU占用率
??? 第四欄Description，對程序的描述。
??? 第五欄Company Name，廠家名。
??? 另外把鼠標(biāo)停在一個(gè)進(jìn)程上一會兒，或者在上面點(diǎn)右鍵，點(diǎn)properties，就可以顯示出這個(gè)進(jìn)程對應(yīng)的程序是什么和這個(gè)程序加載了什么。
??? 然后就是看你的經(jīng)驗(yàn)了，找出那些很奇怪的進(jìn)程吧，暫時(shí)我用的判定方法有：
??? 1、?經(jīng)驗(yàn)，認(rèn)得病毒。（呵呵，等于沒有說）
??? 2、?一些偽裝自己的進(jìn)程或者文件名：Rundl132.exe、Rundll.exe（偽裝Rundll32.exe）、scchost.exe、scvhost.exe、svchost..exe、svchost32.exe、svch0st.exe（偽裝svchost.exe）等等。
??? 3、?一些和系統(tǒng)進(jìn)程名字一樣，但是路徑不一樣的，比如c:\windows\svchost.exe，而系統(tǒng)文件的路徑是：c:\windows\system32\svchost.exe等。
??? 4、?一些看著名字就不順眼的：sex.exe等。
??? 5、?一些很奇特的名字：123.exe、temp1.exe、temp2.exe、sxs.exe、qwer.exe、asdf.exe、run.dll等等。
??? 6、?一些名字和描述不符合的進(jìn)程，比如Rundll32.exe描述變成了MS Rundll，而不是Run a Dll as an App。
??? 7、?用Rundll打開的程序，一般來說不是流氓軟件，就是木馬，呵呵，暫時(shí)給我的感覺就是這樣，當(dāng)然也有例外。這就要自己去ProcXP里的Properties里面看了。
??? 8、?一些會動(dòng)不動(dòng)就會自己復(fù)制成幾個(gè)的進(jìn)程，如stup.exe。
??? 9、?本不應(yīng)該存在的進(jìn)程，現(xiàn)在存在了，比如說一些非系統(tǒng)進(jìn)程，常見于一些流氓軟件，比如：assisstant.exe（3721），YLive.exe（雅虎助手）
??? 確定好目標(biāo)之后就要開始找病毒文件了。
??? 任意打開一個(gè)文件夾，點(diǎn)選工具，文件夾選項(xiàng)，查看。把下面列表里的隱藏受保護(hù)的系統(tǒng)文件（推薦）和隱藏已知文件類型的擴(kuò)展名前面的勾點(diǎn)掉，再選上顯示所有文件和文件夾，這樣病毒就無處藏身了。但是有時(shí)候這種方法會無效，隱藏的文件照樣隱藏，比如Rose病毒的一個(gè)變種。解決方法是開始-〉運(yùn)行-〉regedit，打開注冊表編輯器，到主鍵（即里面像文件夾的東西）HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/explorer / Advanced/Folder/Hidden/SHOWALL下面，把右邊列表里面的CheckedValue刪除，沒有的話也好，然后新建一個(gè)DWORD值，并設(shè)定該值為1，再到文件夾選項(xiàng)里面，就可以改了。
好的，現(xiàn)在顯示了所有的文件，病毒在哪里？ProcXP里面不是有寫程序的位置嗎，記下病毒的位置，結(jié)束病毒的進(jìn)程，去吧，但是注意，這里有幾個(gè)注意事項(xiàng)：
??? 第一，進(jìn)入磁盤和文件夾的時(shí)候不要直接雙擊，而要點(diǎn)右鍵，選打開，不然的話自動(dòng)播放會把部分病毒又激活的。
??? 第二，如果是c:\windows\system32\rundll32.exe的話，那找的文件應(yīng)該是rundll32.exe后面的加載項(xiàng)，rundll32.exe是無辜的。
找到病毒文件后，刪吧，后綴名為.exe的文件一般就刪了，但是如果是后綴名為.dll的文件，有時(shí)還是刪不掉的，怎么辦？
??? 打開ProcXP，點(diǎn)菜單欄里的Find，選Find Dlls，輸入你要?jiǎng)h的dll名，點(diǎn)Search，如果這個(gè)文件被底下調(diào)用，就會顯示在底下的列表框中，再一個(gè)個(gè)的找這幾個(gè)dll所在的進(jìn)程，把這幾個(gè)進(jìn)程結(jié)束掉，就可以刪除了。
刪除了病毒體，我們還要做一點(diǎn)殘余工作。
??? 再次運(yùn)行文件關(guān)聯(lián)恢復(fù)器，把“使注冊表編輯器可用”選上，點(diǎn)開始修復(fù)，然后關(guān)掉它吧，它已經(jīng)沒有利用價(jià)值了，呵呵（好殘忍哦）。
??? 比如，病毒復(fù)制的磁盤的自動(dòng)播放，最著名的如rose病毒的一個(gè)變種，在每個(gè)盤下面都會建立文件，copy.exe、host.exe和autorun.ini，當(dāng)然判定的依據(jù)是autorun.ini里面的內(nèi)容，里面應(yīng)該有autorun=，這個(gè)后面的內(nèi)容就是病毒的位置，找到并刪掉吧，和autorun.ini一起刪掉之后，你會發(fā)現(xiàn)自動(dòng)播放還在那里，并沒有刪除，這是因?yàn)樵谧员砝锩孢€有殘余的原因，還記得autorun=后面的內(nèi)容嗎？運(yùn)行regedit，進(jìn)入注冊表，進(jìn)入主鍵：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2，在里面搜索autorun=后面的內(nèi)容，即copy.exe，把找到的項(xiàng)所對應(yīng)的在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2下的主鍵整個(gè)刪掉，即可。注意可能有很多個(gè)，全部要?jiǎng)h哦。刪完之后，自動(dòng)播放就沒有了。
??? 另外，還有病毒的啟動(dòng)項(xiàng)，運(yùn)行msconfig，選啟動(dòng)，在列表框里面又很多的啟動(dòng)項(xiàng)，看看命令欄里面有沒有病毒文件的路徑，有的就全部勾掉，確定。
??? 在右鍵點(diǎn)我的電腦，選管理。點(diǎn)服務(wù)和應(yīng)用程序，點(diǎn)服務(wù)，在右邊的列表里面一個(gè)一個(gè)確定有沒有服務(wù)調(diào)用病毒，有就禁用掉。（什么？看不懂？那就點(diǎn)右鍵，屬性，進(jìn)去看撒……）
??? 如果上面的方法不行的話，就去安全模式底下用吧，那些工具在安全模式下也可以用的。
??? OK，這樣，一般的病毒也就基本上搞定了。:D……
??? 對了，上面的方法只能保證病毒無法運(yùn)行，但不一定能完整地刪除病毒，因?yàn)檫@種方法是基本通用的方法，不是針對各個(gè)病毒的特法，所以請大家見諒哦。
??? 另外上面的方法只能用于一般比較良性的病毒，如果病毒比較惡劣，比如感染exe文件，而不是在文件關(guān)聯(lián)上綁定，那就沒有辦法手殺，我說的不是沒有辦法用這個(gè)方法手殺，而是沒有辦法手殺。因?yàn)槟阋粋€(gè)一個(gè)應(yīng)用程序的去把病毒刪掉，要改程序的入口點(diǎn)，這會導(dǎo)致你可能要手動(dòng)修改幾千個(gè)文件，假設(shè)一個(gè)文件你2分鐘就搞定了，而你一共要修改1000個(gè)文件，你也要33.33個(gè)小時(shí)才能搞定，不過如果你有興趣，可以去研究一下Windows PE文件的結(jié)構(gòu)和分離文件的原理，你會了解很多的事情，比如為什么殺毒軟件會在殺毒的時(shí)候把一些應(yīng)用程序刪爛，加殼和脫殼的原理，BindFile的原理還有那種不增加文件大小的FileBind的原理等等。
??? 好吧，說了是略談，結(jié)果說了這么多，說得很淺，但愿大家會喜歡，并且共同進(jìn)步。

PS：
??? 如果沒有ProcXP的話，可以使用下面的方法，具體使用，自己研究一下吧，我就不說了。
??? 以下是轉(zhuǎn)Baidu知道的內(nèi)容：
??? 打開資源管理器，找到控制面板→管理工具→服務(wù)，或許你能找到你想要KILL的進(jìn)程。
??? 除了采用PROCXP之類工具外，也可用Windows 2000以上自帶幾個(gè)工具。
??? ntsd -c q -p PID
??? 在windows中，只有System、SMSS.EXE和CSRSS.EXE不能殺。前兩個(gè)是純內(nèi)核態(tài)的，最后那個(gè)是Win32子系統(tǒng)，ntsd本身需要它。ntsd從2000開始就是系統(tǒng)自帶的用戶態(tài)調(diào)試工具。被調(diào)試器附著(attach)的進(jìn)程會隨調(diào)試器一起退出，所以可以用來在命令行下終止進(jìn)程。使用ntsd自動(dòng)就獲得了debug權(quán)限，從而能殺掉大部分的進(jìn)程。ntsd會新開一個(gè)調(diào)試窗口，本來在純命令行下無法控制，但如果只是簡單的命令，比如退出(q)，用-c參數(shù)從命令行傳遞就行了。NtsdNtsd 按照慣例也向軟件開發(fā)人員提供。只有系統(tǒng)開發(fā)人員使用此命令。有關(guān)詳細(xì)信息，請參閱 NTSD 中所附的幫助文件。用法:開個(gè)cmd.exe窗口，輸入：
??? ntsd -c q -p PID
??? 還有就是tasklist、tskill或taskkill。tasklist能列出所有的進(jìn)程，和相應(yīng)的信息。tskill能查殺進(jìn)程，語法很簡單：tskill 程序名