独发卡卡社区，如果大家觉得这个文章还不错，请你顶一下。
个人blog，欢迎光临：http://www.badguy.name

一、预备

在和大家分享我的杀毒技巧之前，希望朋友们对一些基本的电脑操作及命令相对了解，此处需要大家掌握以下命令：

msconfig命令
regedit命令
services.msc命令
关于Windows服务的详细设置及说明，推荐大家参考（仔细的看哟，一定对你有帮助的）：
http://www.badguy.name/article.asp?id=9
http://www.badguy.name/article.asp?id=10
tasklist及taskkill命令
推荐大家参考：
http://www.badguy.name/article.asp?id=311
taskmgr，也就是任务管理器啦，呵呵


二、中毒的原因

好了，了解了上面的命令，Start！

虽然是教大家杀毒，但为什么中招呢？

简洁一些，我们浏览网站，即使是正规的，即使是知名网站，也不一定安全，大网站也被挂马的报告不少啊，更不要提一些小网站，以及那些恶意网站了，稍不注意，中招啦！！
使用USB存储设备，移动硬盘，U盘，一不注意，一个双击，中招啦！！
收发电子邮件，一时好奇，附件一点，中招啦！！
你什么事情都不做，结果中招啦！！！（主要是局域网中的用户，别人中招，你也跟着倒霉啊）

这么说，主要是希望大家养成一些好的习惯，比如不要浏览一些不健康的网页，不打开一些来历不明的电子邮件，共享的时候尽量不要设为完全访问，安装一款不错的杀毒软件，打开实时监控，尽量避免中毒。

二、中毒的判断

大家什么时候会考虑：我是不是中病毒了啊？

一般说来，是你的电脑开机启动N慢，打开程序N慢，电脑运行N慢，卡、卡、卡的你几乎都什么动不了的时候。更明显的症状，任务管理器打不开，msconfig系统配置实用程序无法运行（如果不是系统出了问题，此时你可以直接判断已经中招）。

到底是不是中毒了啊，

打开任务管理器，Ctrl+Shift+Esc.
1.看CPU使用率（除去病毒，常见CPU使用率很高的情况：1.spoolsv.exe）
2.查看进程名称（重要）

高危进程类型1：

数字型进程，如0.exe;0[1].exe];3.exe;1050.exe;10sy.exe;21sy.exe;0000000.exe;145432.exe,719EB.exe,任何不规则的纯数字组合的进程，我个人都将其归为高危进程(虽不是放之四海而皆准，但准确率也应该达95%以上)

高危进程类型2：

仿系统进程类型，这种进程一般都在数字0于字母o，数字1与字母l，以及字母的不同组合上下文章。
比如：
c0nime.exe-----conime.exe
bootini.exe-----boot.inf你知道吧？boot是启动的意思，这个进程你敢结束吗？
cmdbs.exe\cmdbscs.exe\cmdbcs.exe-----cmd你知道吧，另外三个兄弟？
d11host.exe-----仿dllhost.exe
driver.exe-----驱动.exe,怎么样?
ie777.exe\Iexplores.exe-----是IE,应该没问题吧.仿iexplore.exe
internet.exe\internt.exe\intrenat.exe-----
javavmj.exe-----我还以为是
KVMonXP22.exe-----你用的是江民杀毒软件啊,什么,没用,那它怎么来的.中招啊........
logonuit.exe-----仿logonui.exe
LSASSS[1].exe-----仿lsass.exe
N0tepad.exe-----仿notepad.exe
net2.exe-----net是网络的意思,没有它我会不会不能上网啊(系统中存在net.exe和net1.exe,位于WINDOWS\system32)
netmuser.exe-----仿net user命令
nortonq.exe-----这算什么东东,仿诺顿Norton!
photohse.EXE----搞设计的朋友仔细看啦，仿photoshop.exe
ravsvc.exe\ravwl.exe\RAVWM.EXE-----RAV,睁大眼睛，仿瑞星的病毒
Rundl123.exe\rundl132.exe\rundll2000.exe\rundllfromwin2000.exe-----这组很经典哟，仿Rundll32.exe
service.exe\servicer.exe\severe.exe\servet.exe-----你想冒充的是services.exe?
spo0lsv.exe\spoolnt.exe-----仿后台打印程序spoolsv.exe
SVCH0ST.exe\SVCHOTS.EXE\SVCHOTS[1].exe\svhost32.exe-----同意经典，仿SVCHOST.EXE
wauclt.exe\wauclt1.exe-----仿WIndows自动更新wuauclt.exe
winform.exe-----恩，win+form，迷惑中........木马群：cmdbcs.exe，wsttrs.exe，msccrt.exe，winform.exe,upxdnd.exe成员之一
winl0gon.exe\winlog0n.exe-----仿winlogon.exe
winplayer.exe-----仿WMP的wmplayer.exe
explore.exe\expl0rer.exe\exp1orer.exe-----仿Explorer.exe

高危进程类型3：

长文件名或短文件名进程
这一类一般程序名称没有固定规律，仅仅是字母的组合，很难看出什么意义（cxcj.exe，wlvn.exe，WNSO.exe，zts.exe）。
一般，进程名称少于3或多于9的进程，可疑程度比较高。这一条仅是辅助，不一定准，但在一定程度上可以作为参考。
特别的如：iyyrehbbn.exe，或者是3nn0yytzfe.dll之类的文件基本可以判断为病毒。
再来几个例子：b.exe，bd5.exe，c.exe，，Dc0.exe，Dc1.exe，my.exe，migpwda.exe

高危进程类型4：

此类进程，从名称（如down，temp）来讲就颇具威胁。常见的有down.exe，down1.exe，down[1].exe，fuck.exe,FuckJacks.exe（熟悉吧，呵呵），temp.exe，temp1.exe，temp2.exe，tempA.exe，tempB.exe

如果任务管理器打不开，如何查看进程呢？

除了借助第三方工具之外，我们也可以使用系统自带的tasklist和taskkill命令来查看和结束进程。这两个命令的使用，还是推荐到我的BLog看一下，图文并茂-_-!!


与病毒的斗争正式开始！！！！！！！！！！！！！！


Pro1.

清理临时文件。包含哪些呢？？？
\Documents and Settings\你的用户名\Local Settings\Temp
\Documents and Settings\你的用户名\Local Settings\Temporary Internet Files
\Documents and Settings\Default User\Local Settings\Temp
\Documents and Settings\Default User\Local Settings\Temporary Internet Files
\Windows\Temp
\Windows\Prefetch

使用瑞星卡卡的临时文件清理更简单快捷一些。


Pro2.

运行msconfig
既然中毒了，不要犹豫，
（1）服务--隐藏所有Microsoft服务--全部禁用（什么，里面有杀毒软件的相关服务，装了杀毒软件怎么还中毒吧，先废之）
（2）启动--全部禁用，然后应用。不要忙着重新启动哦，还有呢。







msconfig无法运行
运行regedit，啊？！
regedit无法运行，去Windows下面把regedit.exe名字改改，改成reg.com，试试看。
把HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
的所有项目，删除～～～～～～～～～～～。顺便把RunOnce，RunOnceEx之类的也处理一下。

Pro3.

运行services.msc
这里就要看大家的功力了，你必须：对系统的所有服务了然于心！！！
很难吧，把下面的两篇烂文狂看100遍。
http://www.badguy.name/article.asp?id=9
http://www.badguy.name/article.asp?id=10
如果发现了某个服务是上面的两篇烂文中没有提到的，请十二分的小心吧。

告诉你一个小技巧。如果右边某个服务的描述为空白，仔细看看，是病毒否？？？（当然有例外，比如SQL SERVER 2000的服务就没有描述；而一些制作精美的病毒，却会给自己加一个冠冕堂皇的描述）







找到可疑服务，直接禁用～～～～～～～～

Pro4.

OK，重新启动～～～～～～～～～～～～～

Pro5.

重启了，看看进程，病毒进程还在，看看，是什么进程?aaa.exe.别慌，记住它的名字。然后，杀手锏！！！

下载杀手锏（本程序可以很好解决硬盘不能双击打开，无法显示隐藏文件的问题），运行。
社区内好像不能传附件啊，到我的blog里下载吧
下载地址：http://www.badguy.name/article.asp?id=373

里面的15.本地磁盘打不开,无法显示隐藏文件,映像劫持。




输入病毒名称，不包含.exe后缀。比如aaa.exe,只需输入aaa,然后点击hijack按钮即可。其它病毒程序类推，然后重新启动，病毒进程绝对不会出现啦。
此处利用的是映像劫持原理，所谓以毒攻毒嘛。（重要：不要劫持系统进程或与系统进程名称完全相同的病毒进程！！！）

顶下，学习。。

不错，但还有些缺陷，需要进一步弥补。
尽管如此，还是要顶一下。

有这个想法很好
不过提醒一下,

首先是工具的选择.系统自带的工具功能有限,最好还是使用第三方专门工具,比如ICESWORD,SRENG,HIJACKTHIS,AUTORUNS,PROCEXP等等

其次,病毒一般采用1.启动项2.服务和驱动 加载
加载后,以进程/DLL注入其他进程等方式驻留内存,有的会截取API调用隐藏自身

再次,有的病毒有保护手段,不是简单结束进程能解决的

这片文章作为初学者看看可以,深度还不够

========Content========
我还是希望大家能把文章全部看完，一些的确很基础，也许那些惯于使用SSM，Icesword，sreng的高手对此不屑，但一切以解决问题为根本。

不管病毒还是木马，一般都有其关联程序。单纯的DLL嵌入是很罕见的。

对于绝大多数病毒来讲，假如它自启动中没有，服务中没有，进程中没有，我们是不是可以忽略它了呢。

我们不能单纯通过看进程或是结束进程来杀毒，同时，这篇文章一定也有不足和疏漏，但从我的经验来看，我的方法的手工杀毒效果是一流的。

悲哀～～～～～～～～～

挺不错的哦

帮您顶下

呵呵！！！！

他说的那个可以解决隐藏文件显示的小工具，在双击运行以后，会释放一个fishpe.sys文件。

SRENG日志显示在驱动里：

==================================
驱动程序

[Fish PE Shield Driver / FishPeShield][Running/Manual Start]
  <\??\C:\winnt\system32\fishpe.sys><N/A>

有些杀软会干了这玩意，所以这小工具，使用的人，可能会觉得怪怪的。

呵呵！！！！！！！

引用:

【天月来了的贴子】有些杀软会干了这玩意，所以这小工具，使用的人，可能会觉得怪怪的。 呵呵！！！！！！！ ………………

是啊，我用fishpe压缩了一下，有的杀毒软件直接报毒～

不过，源程序的代码绝对是规规矩矩的，加了壳就乱报，鄙视，哈哈～