平时经常使用手动查杀木马,病毒,流氓软件方法

许多人通常中毒喜欢下杀毒软件杀毒,可是有毒是一些杀毒杀不出来的.那可以手动杀了.
相信很多人都懂得用msconfig..这个开机启动项设置,可是现在很多毒或木马或流氓软件都是禁不掉的..
就拿CNNIC发行的流氓软件就禁不掉.
这时候我们就应该可以手动查杀.
1、首先打开任务管理器,发现有异常进程,先打开msconfig看看里面有没有多出可疑启动项，也可以打开注册表regedit查看。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKEY_CURRENT_USER/SoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellFolders
一般注册表启动就这几项。如有发现就可删除，也可以打开键值找到相应的文件路径，将其文件删除，当然不要忘了删除注册表那个选项，否则开机会提示找不到XXXX文件。

2、用Netstat查看是否有可疑连接，可输入netstat /?查看它的所有命令，我们通常就使用
-a:显示所有主机建立连接的端口
-n:显示端口进程的PID
如发现可疑的连接，可以去任务管理器找到该PID将其结束。
3、现在很多木马会隐藏，修改文件名跟系统进程相近，如：expl0rer.exe其实中间那个是数字0不是英文字母o，这样的文件通常躲过很多人的眼睛。不过只要注意看就很容易发现。还有一些毒假装系统文件隐藏起来。通过“工具选项”——“查看”——“隐藏受保护的操作系统文件（推荐）”查看。以前我中过熊猫烧香（还没变种以前）就是用这种方法杀掉的。。虽然系统重了几次，但是有经验了，以后就不会再犯了。
4、以上通常是普通查法，还有一些毒是通过系统进程载入，如win.ini，SYSTEM.INI。
在win.ini中通常以“run=”和“load=”是载入木马的。以下是正常的XP的win.ini文件（本人的系统，刚装的,不过是GHOST版的）:
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEG謎deo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo
[MCI Extensions.BAK]以下都不要管他。。是视音频文件。
而SYSTEM.INI经常会以“shell=文件名”加载木马。以下我正常的文件。
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app936.FON
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON
如果以上系统文件被木马感染，可把加载项删除。
5、DLL病毒查杀，也是最难杀的一种。它以常会加载到系统进程的子进程里，一些杀毒软件会误认为系统进程是病毒将其杀掉，造成系统崩溃（本人就有一次经历）。
通常DLL病毒会加载到Rundll32.exe和Svchost.exe这两个系统文件子进程下。用户不可乱禁这两个文件。因为系统中SVCHOST。EXE进程结束就要倒计时关机。
Svchost.exe所在的注册表的键值是在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrent
我们可以通过运行“tasklist /svc”最好在CMD下运行，要不一下就没了。只会找到一个C:WindowsSystem32目录下的Svchost.exe多出来的就是毒。（这招刚学的，不过很管用，大家最好要试一下。）
还有毒就是加载到它的子进程里。。大家可以用完美卸载或优化大师自带的进程查看器查看Svchost.exe的子进程下运行的DLL文件，如有发现可疑的DLL文件。记下文件名，可通过注册表删除。

以上只是本人经常使用的查杀方法。。
如还有其他方法，大家补充
忘了说一下。。如果进程里一些进程结束不掉可用ntsd命令结束进程，如：ntsd -c q -p 355
即杀掉PID为355的进程。。如果不知道PID可以由 进程选项卡-查看-选择列，里面调出来