常用病毒木馬的詳細清除方法

摘 要：本文針對病毒，結合工具，提出一些清除病毒的方法，供大家參考。

關鍵詞：常用病毒木馬； 清除方法

中圖分類號：TP309.5 文獻標識碼：A 文章編號：1006-3315（2012）01-174-001

電腦普及千家萬戶，相當人群對電腦病毒恨之入骨，僅靠殺毒軟件難以實現干凈的天空。我們在實際工作中經常遇到電腦系統崩潰或不穩定，大多原因都是因為病毒木馬。

一、必備工具

System Repair Engineer（SREng）、HijackThis(備用)、Windows清理助手、unlocker （用于刪除病毒文件）、IceSword、July、純DOS系統For 2000/xp（unlocker刪除不成功時必備）如MaxDOS、（查找病毒文件須知：打開我的電腦，點擊工具-點文件夾選項-點擊查看-然后在找到隱藏文件和文件夾選項那里-點上“顯示所有文件和文件夾”；取消“隱藏受保護的系統文件”前面的勾勾；取消“隱藏已知文件類型的擴展名”前面的勾勾，再點確認。）

若隱藏文件不能正常顯示：運行regedit，HKEY_LOCAL_MACHINE\\Software\\Microsoft

windows\\CurrentVersion\\explorer\\Advanced\\Folder\\Hidden\\SHOWALL，將CheckedValue鍵值修改為1。

二、清除病毒文件的步驟

1．刪除病毒驅動文件

由于此類sys文件在系統啟動時最先加載，并加入到system進程，即時在安全模式也無法刪除。必須依靠刪除工具或瑞星的碎甲技術專殺工具(或者先利用NTFS權限控制或者unlock，hijackthis，killbox等的重啟刪除)。在刪除前建議關閉所有正在運行的程序和窗口，如IE瀏覽器，QQ，BT，殺毒軟件等，以確保刪除成功。

沒有專殺或專殺無效時，建議使用unlocker，這是目前發現的最簡單有效的刪除工具。建議使用unlocker 把病毒文件改名，（注釋：改名字和刪除文件的效果是一樣的，還可以恢復）；必須先使用unlocker解鎖。

如果unlocker改名失敗，需要進DOS改名，可進實模式DOS后直接輸入批處理文件名，回車即可搞定。

2．刪除病毒驅動注冊表項

此項進行時必須重啟到安全模式。如果不重啟，病毒驅動還加載在內存中，修改注冊表會失敗；如果只能重啟到正常模式，不能進入安全模式，我們必須在上一步做一個免疫的文件夾，防止還沒有刪除病毒的其他啟動文件可能會修復我們刪除的sys驅動文件。

重啟到安全模式之后，我們先檢查一下剛才刪除的sys病毒文件是否刪除成功，再刪除注冊表項。

方法一：手動刪除，點開始——運行——輸入“regedit”打開注冊表編輯器，點編輯——查找——搜索病毒文件名（帶擴展名，不帶擴展名的有些項直接刪不掉，留下沒關系，做個紀念），刪除注冊表左欄 的加載鍵。刪除后要按F3一直查找完。再查下一個。

方法二：使用瑞星卡卡上網安全助手3.0：點系統啟動項管理——點驅動——可以看到他們。我們要右鍵點右側欄，把“包含空項”選上兩個“隱藏xx已簽名的項”前面的勾勾去掉，會看到全部加載的驅動。我們右鍵點病毒的服務項，然后選“刪除當前選中的項”，可以刪除。

方法三：使用System Repair Engineer（SREng）:點“啟動項目”——服務——驅動程序——選中找到的病毒驅動－我們可以點選“刪除服務”，然后點“設置”即可。

方法四：使用AutoRuns:點“驅動”——右鍵點病毒驅動－刪除。

3．停用注冊的服務

此項我們還需要在安全模式進行。這些服務在安全模式不會加載，我們可以順利清除。

右鍵點我的電腦，選管理——服務和應用程序——服務；查找我們查到的病毒服務，雙擊打開屬性對話框，停止此服務并修改啟動類型為“已禁用”。

4．刪除注冊的服務項和將病毒文件改名

這些文件一般是exe或dll文件，在安全模式不會加載。如果不在安全模式，需要使用unlocker將病毒文件改名。

方法一：手動刪除：在注冊表搜索文件名，刪除在注冊表左邊欄注冊的服務項，在注冊表里一般會加載到兩個以上位置，都要刪除。

方法二：使用瑞星卡卡上網安全助手：點系統啟動項管理－點服務項——可以看到他們。我們右鍵點病毒的服務項，然后選“刪除當前選中的項”，可以刪除。

方法三：使用SREng:點“啟動項目”——服務——win32服務應用程序（同第2步）

方法四：使用AutoRuns:點“服務”——右鍵點病毒服務－刪除。

5．刪除注冊的病毒啟動項和啟動文件

方法一：手動刪除：在注冊表搜索病毒文件名，刪除在注冊表右邊欄包含文件名的那一行注冊的啟動項。（如果不在安全模式，改名可能需要使用unlocker，然后可能需要重啟，然后才能清注冊表）。

方法二：使用瑞星卡卡上網安全助手：點系統啟動項管理－點登錄項－可以看到他們。點包含空項可以看到所有此類病毒的可能的藏身之處。我們右鍵點病毒的啟動項，然后選“刪除當前選中的項”，可以刪除。

方法三：使用SREng:點“啟動項目”－“注冊表”

方法四：使用AutoRuns:點“登錄”－右鍵點病毒啟動－刪除。

三、補充說明

以上步驟是按照病毒文件加載的層次和次序，從底層開始清理的，一般不要顛倒進行。當某項清除失敗，即使重啟也不能成功，可以閃過進行下一步。這時需要unlocker掉一個，做一個同名文件夾，步步為營，攻掉一個算一個，差不多了再重啟，再刪。

刪除文件后一定要記得清除注冊表項，否則重新掃描系統報告時還會出現在系統報告里，360的報告還看不出文件是不是真的存在，給我們繼續診斷帶來麻煩，切記切記！！清除注冊表的工作建議使用修復工具如瑞星卡卡上網安全助手和SREng，AutoRuns，省事。

如果以上提到的文件都已處理，就重起到正常模式看看。

一般發現中毒比較深，比較厲害的，最好保存SREng或HijackThis的日志，一個是記錄，一個是以后分析之用。