手工查殺這類型病毒需要哪些方法

① 請教手工清除病毒的方法

一般過程就是先結束進程，然後通過這個進程找到相應文件，刪，然後刪除注冊的啟動項，注冊的服務等

推薦軟體：IceSword

② 我要學手工查殺木馬病毒的方法

發現木馬

由於木馬是基於遠程式控制制的程序，因此，中木馬的機器會開有特定的埠。一般一台個人用的系統在開機後最多隻有137、138、139三個埠。若上網，會有其他埠，這是本機與網上主機通訊時打開的，如IE一般會打開連續的埠:1025，1026，1027等。

在DOS命令行下用」netstat -na」命令可以看到本機所有打開的埠。如果發現除了以上所說的埠外，還有其他埠被佔用(特別是木馬常用埠被佔用)，那可要好好查查了，很有可能中了木馬。

查找木馬

要使你的系統能顯示隱藏文件，因為一些木馬文件屬性是隱藏的。多數木馬都會把自身復制到系統目錄下並加入啟動項(如果不復制到系統目錄下則很容易被發現，不加入啟動項在重啟後木馬就不執行了)，啟動項一般都是加在注冊表中的，具體位置在：HKEY_LOCAL _MACHINE\Software \Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值;HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion下所有以「run」開頭的鍵值;HKEY_USERS\Default\Software\Microsoft\Windows\CurrentVersion下所有以「Run」開頭的鍵值。

不過，也有一些木馬不在這些地方載入，它們躲在下面這些地方:

●在Win.ini中啟動

在Win.ini的[windows]欄位中有啟動命令「load=」和「run=」，在一般情況下「＝」後面是空白的，如果有程序，比方說是: run=c:\windows\file.exe或load=c:\windows\file.exe，要小心了，這個file.exe很可能就是木馬。

●在System.ini中啟動

System.ini位於Windows的安裝目錄下，其[boot]欄位的shell=Explorer.exe是木馬喜歡的隱蔽載入之所，木馬通常的做法是將該句變為這樣:shell=Explorer. exe window.exe，注意這里的window.exe就是木馬程序。

另外，在System.ini中的[386Enh]欄位，要注意檢查在此段內的「driver=路徑\程序名」，這里也有可能被木馬所利用。再有，在System.ini中的[mic]、[drivers]、[drivers32]這三個欄位，這些段也是起到載入驅動程序的作用，但也是增添木馬程序的好場所。

●在Autoexec.bat和Config.sys中載入運行

這種載入方式一般都需要控制端用戶與服務端建立連接後，將已添加木馬啟動命令的同名文件上傳到服務端覆蓋這兩個文件才行，而且採用這種方式不是很隱蔽，所以這種方法並不多見，但也不能因此而掉以輕心。

●在Winstart.bat中啟動

Winstart.bat是一個特殊性絲毫不亞於Autoexec.bat的批處理文件，也是一個能自動被Windows載入運行的文件。它多數情況下為應用程序及Windows自動生成，在執行了Win.com並載入了多數驅動程序之後開始執行。由於Autoexec.bat的功能可以由Winstart.bat代替完成，因此木馬完全可以像在Autoexec.bat中那樣被載入運行，危險由此而來。

●啟動組

木馬隱藏在啟動組雖然不是十分隱蔽，但這里的確是自動載入運行的好場所，因此，還是有木馬喜歡在這里駐留的。啟動組對應的文件夾為:C: \Windows\Start Menu\Programs\StartUp，在注冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Explorer\Shell Folders Startup="C:\windows\start menu\programs\startup"。

●*.INI

即應用程序的啟動配置文件，控制端利用這些文件能啟動程序的特點，將製作好的帶有木馬啟動命令的同名文件上傳到服務端覆蓋同名文件，這樣就可以達到啟動木馬的目的了。

●修改文件關聯

修改文件關聯是木馬常用手段(主要是國產木馬，老外的木馬大都沒有這個功能)，比方說，正常情況下txt文件的打開方式為Notepad.EXE文件，但一旦中了文件關聯木馬，則txt文件打開方式就會被修改為用木馬程序打開，如著名的冰河就是這樣乾的。一旦你雙擊一個txt文件，原本應用Notepad打開該文件的，現在卻變成啟動木馬程序了。請大家注意，不僅僅是txt文件，其他諸如HTM、EXE、ZIP、COM等都是木馬的目標。對付這類木馬，只能檢查HKEY_CLASSES_ROOT\文件類型\shell\open\command主鍵，查看其鍵值是否正常。

●捆綁文件

實現這種觸發條件首先要控制端和服務端已通過木馬建立連接，然後，控制端用戶用工具軟體將木馬文件和某一應用程序捆綁在一起，然後上傳到服務端覆蓋原文件，這樣，即使木馬被刪除了，只要運行捆綁了木馬的應用程序，木馬又會被安裝上去了。綁定到某一應用程序中，如綁定到系統文件，那麼，每一次Windows啟動均會啟動木馬。

手工清除木馬

如果發現自己的硬碟總是莫明其妙地讀盤，軟碟機燈經常自己亮起，網路連接及滑鼠、屏幕出現異常現象，很可能就是因為有木馬潛伏在你的機器裡面，此時，就應該想辦法清除它們了。

當發現可疑文件時，可以試試能不能刪除它，因為木馬多是以後台方式運行，通過按「Ctrl+Alt+Del」是找不到的，而後台運行的應是系統進程。如果在前台進程里找不到，而又刪不了(提示正在被使用)，那就應該注意了。

那麼，如何清除木馬而不誤刪其他有用文件呢？當你通過上述方法找到可疑程序時，你可以先看看該文件的屬性。一般系統文件的修改時間應是1999年或1998年，而不應該是最近的時間(安裝最新的Win2000、WinXP的系統除外)，文件的創建時間應當不會離現在很近。當看到可疑的執行文件時間是最近甚至是當前，那八成就有問題了。

首先，查進程。檢查進程可以藉助第三方軟體，如Windows優化大師，利用其「查看進程」功能把可疑進程殺掉，然後，再看看原來懷疑的埠還有沒有開放(有時需重啟)，如果沒有了，那說明殺對了，再把該程序刪掉，這樣，就手工刪除了這個木馬了。

如果該木馬改變了TXT、EXE或ZIP等文件的關聯，那應把注冊表改過來，如果不會改，那就把注冊表改回到以前的，就可以恢復文件關聯，可通過在DOS下執行「scanreg/restore」命令來恢復注冊表，不過這條命令只能恢復前5天的注冊表(這是系統默認的)。此舉可輕松恢復被木馬改變的注冊表鍵值，簡單易用。

③ 哪位大俠教教怎麼手工殺毒,家底的分全給你了

你家底還真少啊~~~
網最恐怖的事莫過於新病毒出來的時候，盡管電腦上我們都裝有各種強大的殺毒軟體，也配置了定時自動更新病毒庫，但病毒總是要先於病毒庫的更新的，所以中招的每次都不會是少數，這里列舉一些通用的殺毒方法，自己親自動手來用系統自帶的工具絞殺病毒：
一、自己動手前，切記有備無患——用TaskList備份系統進程
新型病毒都學會了用進程來隱藏自己，所以我們最好在系統正常的時候，備份一下電腦的進程列表，當然最好在剛進入Windows時不要運行任何程序的情況下備份，樣以後感覺電腦異常的時候可以通過比較進程列表，找出可能是病毒的進程。
在命令提示符下輸入：
TaskList /fo:csv>g:zc.csv
上述命令的作用是將當前進程列表以csv格式輸出到「zc.csv」文件中，g:為你要保存到的盤，可以用Excel打開該文件.
二、自己動手時，必須火眼金睛——用FC比較進程列表文件 如果感覺電腦異常，或者知道最近有流行病毒，那麼就有必要檢查一下。
進入命令提示符下，輸入下列命令：
TaskList /fo:csv>g:yc.csv
生成一個當前進程的yc.csv文件列表，然後輸入：
FC g:\zccsv g:\yc.csy
回車後就可以看到前後列表文件的不同了，通過比較發現，電腦多了一個名為「Winion0n.exe」(這里以這個進程為例)不是「Winionon.exe」的異常進程。
三、進行判斷時，切記證據確鑿——用Netstat查看開放埠 對這樣的可疑進程，如何判斷它是否是病毒呢？根據大部分病毒（特別是木馬）會通過埠進行對外連接來傳播病毒，可以查看一下埠佔有情況。
在命令提示符下輸入：
Netstat -a-n-o
參數含義如下：
a:顯示所有與該主機建立連接的埠信息
n:顯示打開埠進程PID代碼
o：以數字格式顯示地址和埠信息
回車後就可以看到所有開放埠和外部連接進程，這里一個PID為1756（以此為例）的進程最為可疑，它的狀態是「ESTABLISHED」，通過任務管理器可以知道這個進程就是「Winion0n.exe」，通過查看本機運行網路程序，可以判斷這是一個非法連接！
連接參數含義如下：
LISTENINC：表示處於偵聽狀態，就是說該埠是開放的，等待連接，但還沒有被連接，只有TCP協議的服務埠才能處於LISTENINC狀態。
ESTABLISHED的意思是建立連接。表示兩台機器正在通信。TIME-WAIT意思是結束了這次連接。說明埠曾經有過訪問，但訪問結束了，用於判斷是否有外部電腦連接到本機。
四：下手殺毒時，一定要心狠手辣——用NTSD終止進程
雖然知道 「Winion0n.exe」是個非法進程，但是很多病毒的進程無法通過任務管理器終止，怎麼辦？
在命令提示符下輸入下列命令：
ntsd –c q-p 1756
回車後可以順利結束病毒進程。
提示：「1756」為進程PID值，如果不知道進程的ID，打開任務管理器，單擊「查看→選擇列→勾上PID（進程標識符）即可。NTSD可以強行終止除Sytem,SMSS.EXE,CSRSS.EXE外的所有進程。
五、斷定病毒後，定要斬草除根——搜出病毒原文件 對於已經判斷是病毒文件的「Winion0n.exe」文件，通過搜索「本地所有分區」、「搜索系統文件夾和隱藏的文件和文件夾」，找到該文件的藏身之所，將它刪除。不過這樣刪除的只是病毒主文件，通過查看它的屬性，依據它的文件創建日期、大小再次進行搜索，找出它的同夥並刪除。如果你不確定還有那些文件是它的親戚，通過網路搜索查找病毒信息獲得幫助。
六、清除病毒後一定要打掃戰場——手動修復注冊表雖然把病毒文件刪除了，但病毒都會在注冊表留下**鍵值，還需要把這些**清除干凈。1、用reg export備份自啟動。由於自啟動鍵值很多，發現病毒時手動查找很不方便。這里用reg export+批處理命令來備份。
啟動記事本輸入下列命令：
reg export HKLM\software\Microsoft\Windows\
CurrentVersion\Run fo:\hklmrun.reg
reg export HKCU\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run f:\hklcu.reg
reg export HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run hklml.reg
註：這里只列舉幾個常見鍵值的備份，其它鍵值請參照上述方法製作。
然後將它保存為ziqidong.bat在命令提示符下運行它，即可將所有自啟動鍵值備份到相應的reg文件中，接著再輸入：
f:\*.reg ziqidong.txt
命令的作用是將所有備份的reg文件輸出到「ziqidong.txt」中，這樣如果發現病毒新增自啟動項，同上次導出自啟動值，利用上面介紹的FC命令比較前後兩個txt文件，即可快速找出新增自啟動項目。
2、用reg delete刪除新增自啟動鍵值。比如：通過上面的方法在[HKER_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run],找到一個「Logon」自啟動項，啟動程序為「c:\windows\winlogon.exe」,現在輸入下列命令即可刪除病毒自啟動鍵值：
reg delete HKLM\software\Microssoft\Windows\
CurrentVersion\Run /f
3、用reg import恢復注冊表。Reg de-lete刪除是的是整個RUN鍵值，現在用備份好的reg文件恢復即可，輸入下列命令即可迅速還原注冊表：
reg import f:\hklmrun.reg
上面介紹手動殺毒的幾個系統命令，其實只要用好這些命令，我們基本可以KILL掉大部分的病毒，當然平時就一定要做好備份工作。
提示：上述操作也可以在注冊表編輯器裏手動操作，但是REG命令有個好處，那就是即使注冊表編輯器被病毒設置為禁用，也可以通過上述命令導出/刪除/導入操作，而且速度更快！
七、捆綁木馬剋星——FIND
上面介紹利用系統命令查殺一般病毒，下面再介紹一個檢測捆綁木馬的「FIND」命令。相信很很多網蟲都遭遇過捆綁木刀，這些「批著羊皮的狼」常常躲在圖片、FLASH、甚至音樂文件後面。當我們打開這些文件的時候，雖然在當前窗口顯示的確實是一幅圖片（或是播放的FLASH），但可惡的木馬卻已經在後台悄悄地運行了。比如近日我就收到一張好友從QQ傳來的超女壁紙，但是當我打開圖片時卻發現：圖片已經用「圖片和傳真查看器」打開了，硬碟的指示燈卻一直在狂閃。顯然在我打開圖片的同時，有不明的程序在後台運行。現在用FIND命令檢測圖片是否捆綁木馬，在命令提示符輸入：
FIND /c /I」This program〃g:\chaonv.jpe.exe
其中:
g:\chaonv.jpe.exe表示需要檢測的文件
FIND命令返回的提示是「___G:CHAONV.EXE: 2」,這表明「G：、CHAONV.EXE」確實捆綁了其它文件。因為FIND命令的檢測：如果是EXE文件，正常情況下返回值應該為「1」；如果是不可執行文件，正常情況下返回值應該為「0」，其它結果就要注意了。
提示：其實很多捆綁木馬是利用Windows默認的「隱藏已知類型文件擴展名」來迷惑我們，比如本例的「chaonv.jpe.exe」，由於這個文件採用了JPG文件的圖標，才導致上當。打開「我的電腦」，單擊「工具→文件夾選項」，「單擊」「查看」，去除「隱藏已知類型文件擴展名」前的小勾，即可看清「狼」的真面目。
八、總結最後我們再來總結一下手動毒的流程：
用TSKLIST備份好進程列表→通過FC比較文件找出病毒→用NETSTAT判斷進程→用FIND終止進程→搜索找出病毒並刪除→用REG命令修復注冊表。這樣從發現病毒、刪除病毒、修復注冊表，這完成整個手動查毒、殺毒過程

④ 如何手動查殺木馬

雖然沒有絕對的安全，但如果能知已知彼，了解木馬的隱藏手段，對於木馬即使不能百戰百勝，也能做到及時發現，使損失最小化。那麼，木馬究竟是如何躲在我們的系統中的呢？ 最基本的隱藏: 不可見窗體＋ 隱藏文件木馬程序無論如何神秘，但歸根究底，仍是Win32平台下的一種程序。Windows下常見的程序有兩種:1.Win32應用程序(Win32 Application)，比如QQ、Office等都屬於此行列。2.Win32控制台程序(Win32 Console)，比如硬碟引導修復程序FixMBR。其中，Win32應用程序通常會有應用程序界面，比如系統中自帶的「計算器」就有提供各種數字按鈕的應用程序界面。木馬雖然屬於Win32應用程序，但其一般不包含窗體或隱藏了窗體(但也有某些特殊情況，如木馬使用者與被害者聊天的窗口)，並且將木馬文件屬性設置為「隱藏」，這就是最基本的隱藏手段，稍有經驗的用戶只需打開「任務管理器」，並且將「文件夾選項」中的「顯示所有文件」勾選即可輕松找出木馬，於是便出現了下面要介紹的「進程隱藏」技術。第一代進程隱藏技術:Windows 98的後門在Windows 98中，微軟提供了一種能將進程注冊為服務進程的方法。盡管微軟沒有公開提供這種方法的技術實現細節(因為Windows的後續版本中沒有提供這個機制)，但仍有高手發現了這個秘密，這種技術稱為RegisterServiceProcess。只要利用此方法，任何程序的進程都能將自己注冊為服務進程，而服務進程在Windows 98中的任務管理器中恰巧又是不顯示的，所以便被木馬程序鑽了空子。要對付這種隱藏的木馬還算簡單，只需使用其他第三方進程管理工具即可找到其所在，並且採用此技術進行隱藏的木馬在Windows 2000/XP(因為不支持這種隱藏方法)中就得現形！中止該進程後將木馬文件刪除即可。可是接下來的第二代進程隱藏技術，就沒有這么簡單對付了。第二代進程隱藏技術:進程插入在Windows中，每個進程都有自己的私有內存地址空間，當使用指針(一種訪問內存的機制)訪問內存時，一個進程無法訪問另一個進程的內存地址空間，就好比在未經鄰居同意的情況下，你無法進入鄰居家吃飯一樣。比如QQ在內存中存放了一張圖片的數據，而MSN則無法通過直接讀取內存的方式來獲得該圖片的數據。這樣做同時也保證了程序的穩定性，如果你的進程存在一個錯誤，改寫了一個隨機地址上的內存，這個錯誤不會影響另一個進程使用的內存。你知道嗎——進程(Process)是什麼 對應用程序來說，進程就像一個大容器。在應用程序被運行後，就相當於將應用程序裝進容器里了，你可以往容器里加其他東西(如:應用程序在運行時所需的變數數據、需要引用的DLL文件等)，當應用程序被運行兩次時，容器里的東西並不會被倒掉，系統會找一個新的進程容器來容納它。一個進程可以包含若干線程(Thread)，線程可以幫助應用程序同時做幾件事(比如一個線程向磁碟寫入文件，另一個則接收用戶的按鍵操作並及時做出反應，互相不幹擾)，在程序被運行後中，系統首先要做的就是為該程序進程建立一個默認線程，然後程序可以根據需要自行添加或刪除相關的線程。1.進程插入是什麼獨立的地址空間對於編程人員和用戶來說都是非常有利的。對於編程人員來說，系統更容易捕獲隨意的內存讀取和寫入操作。對於用戶來說，操作系統將變得更加健壯，因為一個應用程序無法破壞另一個進程或操作系統的運行。當然，操作系統的這個健壯特性是要付出代價的，因為要編寫能夠與其他進程進行通信，或者能夠對其他進程進行操作的應用程序將要困難得多。但仍有很多種方法可以打破進程的界限，訪問另一個進程的地址空間，那就是「進程插入」(Process Injection)。一旦木馬的DLL插入了另一個進程的地址空間後，就可以對另一個進程為所欲為，比如下文要介紹的盜QQ密碼。2.木馬是如何盜走QQ密碼的普通情況下，一個應用程序所接收的鍵盤、滑鼠操作，別的應用程序是無權「過問」的。可盜號木馬是怎麼偷偷記錄下我的密碼的呢？木馬首先將1個DLL文件插入到QQ的進程中並成為QQ進程中的一個線程，這樣該木馬DLL就赫然成為了QQ的一部分！然後在用戶輸入密碼時，因為此時木馬DLL已經進入QQ進程內部，所以也就能夠接收到用戶傳遞給QQ的密碼鍵入了，真是「家賊難防」啊！3.如何插入進程(1)使用注冊表插入DLL早期的進程插入式木馬的伎倆，通過修改注冊表中的[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs]來達到插入進程的目的。缺點是不實時，修改注冊表後需要重新啟動才能完成進程插入。(2)使用掛鉤(Hook)插入DLL比較高級和隱蔽的方式，通過系統的掛鉤機制(即「Hook」，類似於DOS時代的「中斷」)來插入進程(一些盜QQ木馬、鍵盤記錄木馬以Hook方式插入到其他進程中「偷雞摸狗」)，需要調用SetWindowsHookEx函數(也是一個Win32 API函數)。缺點是技術門檻較高，程序調試困難，這種木馬的製作者必須具有相當的Win32編程水平。你知道嗎——什麼是API Windows中提供各種功能實現的介面稱為Win32 API(Application Programming Interface，即「應用程序編程介面」)，如一些程序需要對磁碟上的文件進行讀寫，就要先通過對相應的API(文件讀寫就要調用文件相關的API)發出調用請求，然後API根據程序在調用其函數時提供的參數(如讀寫文件就需要同時給出需要讀寫的文件的文件名及路徑)來完成請求實現的功能，最後將調用結果(如寫入文件成功，或讀取文件失敗等)返回給程序。(3)使用遠程線程函數(CreateRemoteThread)插入DLL在Windows 2000及以上的系統中提供了這個「遠程進程」機制，可以通過一個系統API函數來向另一個進程中創建線程(插入DLL)。缺點很明顯，僅支持Windows 2000及以上系統，在國內仍有相當多用戶在使用Windows 98，所以採用這種進程插入方式的木馬缺乏平台通用性。木馬將自身作為DLL插入別的進程空間後，用查看進程的方式就無法找出木馬的蹤跡了，你能看到的僅僅是一些正常程序的進程，但木馬卻已經偷偷潛入其中了。解決的方法是使用支持「進程模塊查看」的進程管理工具(如「Windows優化大師」提供的進程查看)，木馬的DLL模塊就會現形了。不要相信自己的眼睛:恐怖的進程「蒸發」嚴格地來講，這應該算是第2.5代的進程隱藏技術了，可是它卻比前幾種技術更為可怕得多。這種技術使得木馬不必將自己插入到其他進程中，而可以直接消失！它通過Hook技術對系統中所有程序的進程檢測相關API的調用進行了監控，「任務管理器」之所以能夠顯示出系統中所有的進程，也是因為其調用了EnumProcesses等進程相關的API函數，進程信息都包含在該函數的返回結果中，由發出調用請求的程序接收返回結果並進行處理(如「任務管理器」在接收到結果後就在進程列表中顯示出來)。而木馬由於事先對該API函數進行了Hook，所以在「任務管理器」(或其他調用了列舉進程函數的程序)調用EnumProcesses函數時(此時的API函數充當了「內線」的角色)，木馬便得到了通知，並且在函數將結果(列出所有進程)返回給程序前，就已將自身的進程信息從返回結果中抹去了。就好比你正在看電視節目，卻有人不知不覺中將電視接上了DVD，你在不知不覺中就被欺騙了。所以無論是「任務管理器」還是殺毒軟體，想對這種木馬的進程進行檢測都是徒勞的。這種木馬目前沒有非常有效的查殺手段，只有在其運行前由殺毒軟體檢測到木馬文件並阻止其病毒體的運行。當時還有一種技術是由木馬程序將其自身的進程信息從Windows系統用以記錄進程信息的「進程鏈表」中刪除，這樣進程管理工具就無法從「進程鏈表」中獲得木馬的進程信息了。但由於缺乏平台通用性而且在程序運行時有一些問題，所以沒有被廣泛採用。你知道嗎——什麼是HookHook是Windows中提供的一種用以替換DOS下「中斷」的一種系統機制，中文譯名為「掛鉤」或「鉤子」。在對特定的系統事件(包括上文中的特定API函數的調用事件)進行Hook後，一旦發生已Hook的事件，對該事件進行Hook的程序(如:木馬)就會收到系統的通知，這時程序就能在第一時間對該事件做出響應(木馬程序便搶在函數返回前對結果進行了修改)。毫無蹤跡:全方位立體隱藏利用剛才介紹的Hook隱藏進程的手段，木馬可以輕而易舉地實現文件的隱藏，只需將Hook技術應用在文件相關的API函數上即可，這樣無論是「資源管理器」還是殺毒軟體都無法找出木馬所在了。更令人吃驚的是，現在已經有木馬(如:灰鴿子)利用該技術實現了文件和進程的隱藏。要防止這種木馬最好的手段仍是利用殺毒軟體在其運行前進行攔截。跟殺毒軟體對著干:反殺毒軟體外殼木馬再狡猾，可是一旦被殺毒軟體定義了特徵碼，在運行前就被攔截了。要躲過殺毒軟體的追殺，很多木馬就被加了殼，相當於給木馬穿了件衣服，這樣殺毒軟體就認不出來了，但有部分殺毒軟體會嘗試對常用殼進行脫殼，然後再查殺(小樣，別以為穿上件馬夾我就不認識你了)。除了被動的隱藏外，最近還發現了能夠主動和殺毒軟體對著乾的殼，木馬在加了這種殼之後，一旦運行，則外殼先得到程序控制權，由其通過各種手段對系統中安裝的殺毒軟體進行破壞，最後在確認安全(殺毒軟體的保護已被瓦解)後由殼釋放包裹在自己「體內」的木馬體並執行之。對付這種木馬的方法是使用具有脫殼能力的殺毒軟體對系統進行保護。你知道嗎——什麼是殼顧名思義，你可以很輕易地猜到，這是一種包在外面的東西。沒錯，殼能夠將文件(比如EXE)包住，然後在文件被運行時，首先由殼獲得控制權，然後釋放並運行包裹著的文件體。很多殼能對自己包住的文件體進行加密，這樣就可以防止殺毒軟體的查殺。比如原先殺毒軟體定義的該木馬的特徵是「12345」，如果發現某文件中含有這個特徵，就認為該文件是木馬，而帶有加密功能的殼則會對文件體進行加密(如:原先的特徵是「12345」，加密後變成了「54321」，這樣殺毒軟體當然不能靠文件特徵進行檢查了)。脫殼指的就是將文件外邊的殼去除，恢復文件沒有加殼前的狀態
本文來自猴島游戲論壇 ： http://bbs.hou.com/r2818477_u/

⑤ 手動查殺病毒的方法有哪些

要對系統有相當是熟悉性才性哦。不過也是有規律可尋的。
步驟：
1、關閉系統還原功能，清空臨時文件夾。
2、按照它的路徑和文件名,把病毒所在那個文件找到,刪除。
3、清理注冊表：開始－運行，輸入regedit。「編輯」，在彈出的菜單中點「查找」，在「查找」中你輸入你所用的殺毒軟體所查到的病毒所在路徑和文件名，找到一個，右鍵，「刪除」，按F3繼續查找，直到刪完。

平時要多注意積累經驗，會發現不少規律。
病毒總躲藏的地方：
C:\Documents and Settings\z\Local Settings\Temp
c:\windows\
c:\windows\system32\
等等`````

分析病毒文件方法：
1通過虛擬機模擬可疑文件的運行，檢測他的動作。
2反編譯程序，通過匯編語言判斷程序的性質
3病毒分析師需要有熟練的各種分析軟體的操作能力，還需要有強的匯編語言知識，還需要對windows中程序底層運行方式有一定的了解

⑥ 如何手動殺毒

可以通過以下步驟殺毒：

1.打開瀏覽器，在搜索欄輸入網路殺毒，找到官方網站，點擊進入官網，下載網路殺毒；

⑦ 怎麼手動查殺電腦病毒

手動查殺就是不藉助任何工具進行手工的檢查電腦有沒有木馬或者病毒，並刪除木馬文件這些。如何簡單進行手工查殺。一、關閉一切的聯網的軟體，例如QQ，MSN，瀏覽器，迅雷等等，確認沒有軟體聯網後，查看有沒有未知程序連接未知區域網路地址或IP，有就找到根目錄，查看文件大小，創建日期，進程名，這些，如果是陌生的，可能即使病毒，或者木馬！二、查看進程，一般windows的系統進程是20-30個，查看是否有多餘的進程，如果有那麼可能是病毒。常見的木馬病毒多事偽裝成系統進程來進行盜取電腦資料等等，那麼你的了解常見的系統進程，以及常見木馬的偽裝的系統進程，查看他們是否有異樣等等！

中國紅客聯盟AG小組