黑客技术群

怎样彻底清除木马病毒？

　一、使用正确的杀毒方法

1、在安全模式或纯DOS模式下清除病毒

当计算机感染病毒的时候，很多人都会图方便，在正常模式下清除病毒，但这种方法往往是不能干净清除病毒的。

这里说的正常模式准确的说法应该是实模式（Real Mode），这里通俗点说了。其包括正常模式的Windows和正常模式的Windows下的"MS-DOS方式"或"命令提示符"。

在正常模式下，由于带毒的文件正在运行，是无法对这些文件直接进行操作的。从现今的反病毒技术和病毒来看，绝大部分病毒都不可能在正常模式下简单的就可以彻底清除了的。很多一些朋友误以为只要装上反病毒软件，软件可以彻底清除计算机上的病毒，当病毒无法彻底清除的时候就认为软件不好，这是很错误的！

建议在查杀病毒的时候，要在安全模式（Safe Mode）或者纯DOS下进行清除。对于现在大多数流行的病毒，如蠕虫病毒、木马程序和网页代码病毒等，都可以在安全模式下清除，不必要像以前那样必须要用软盘启动杀毒；但对于一些引导区病毒和感染可执行文件的病毒才需要在纯DOS下杀毒（建议用干净软盘启动杀毒）。而且，当计算机原来就感染了病毒，那就更需要在安装反病毒软件后（升级到最新的病毒库），在安全模式（Safe Mode）或者纯DOS下清除一遍病毒了！

2、不要使用网页在线杀毒

我想这也是很多朋友使用的杀毒方法，其实这种方法也是和上述的一样，同样无法彻底清除病毒，同时，由于利用了IE的特殊功能，会带来更多的安全隐患，而且一般反病毒厂商也不会提供全面的病毒库文件，所以这种方法充其量只能查出计算机上是否感染流行的病毒，而不能实际的进行清除病毒。而且，换个角度来看，如果这样就能干净清除病毒的话，那么厂商就没必要销售反病毒软件了。^o^

二、带毒文件存在于特定的目录或文件中的清除方法

这里所说的是由于某些目录和文件的特殊性，无法直接清除（包括安全模式下杀毒等一些方式杀毒），而需要某些特殊手段清除的带毒文件。以下所说的目录均包含其下面的子目录。

1、带毒文件在Temporary Internet Files目录下

由于这个目录下的文件，Windows会对此有一定的保护作用（未经证实）。所以对这个目录下的带毒文件即使在安全模式下也不能进行清除，对于这种情况，请先关闭其他一些程序软件，然后打开IE，选择IE工具栏中的"工具""Internet选项"，选择"删除文件"删除即可，如果有提示"删除所有脱机内容"，也请选上一并删除。

2、带毒文件在\_Restore目录下，*.cpy文件中

这是系统还原存放还原文件的目录，只有在装了Windows Me/XP操作系统上才会有这个目录，由于系统对这个目录有保护作用。

对于这种情况需要先取消"系统还原"功能，然后将带毒文件删除，甚至将整个目录删除也是可以的。

3、带毒文件在.rar、.zip、.cab等压缩文件中

现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少，即使有也只能支持常用的一些压缩格式；所以，对于绝大多数的反病毒软件来说，最多只能检查出压缩文件中的带毒文件，而不能直接清除。而且有些加密了的压缩文件就更不可能直接清除了。

要清除压缩文件中的病毒，建议解压缩后清除，或者借助压缩工具软件的外挂杀毒程序的功能，对带毒的压缩文件进行杀毒。

4、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中

这种病毒一般是引导区病毒，报告的病毒名称一般带有boot、wyx等字样。如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直接进行查杀；如果这种病毒是在硬盘上，则需要用干净的可引导盘启动进行查杀。

对于这类病毒建议用干净软盘启动进行查杀，不过在查杀之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows、Linux等。

如果没有干净的可引导盘，则可使用下面的方法进行应急杀毒：

(1) 在别的计算机上做一张干净的可引导盘，此引导盘可以在Windows 95/98/ME系统上通过"添加／删除程序"进行制作，但要注意的是，制作软盘的操作系统须和自己所使用的操作系统相同；

(2) 用这张软盘引导启动带毒的计算机，然后运行以下命令：

A:fdisk/mbr

A:sys a: c:

如果带毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中，那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件，一般作用不大，病毒在其中已经不起作用了。

5、带毒文件的后缀名是.vir、.kav、.kbk等

这些文件一般是一些防毒软件对原来带毒的文件做的备份文件，一般情况下，如果确认这些文件已经无用了，那就将这些文件删除即可。

6、带毒文件在一些邮件文件中，如dbx、eml、box等

有些防毒软件可以直接检查这些邮件文件中的文件是否带毒，但往往不能对这些带毒的文件直接的进行操作，对于一些邮箱中的带毒的信件，可以根据防毒软件提供的信息找到那带毒的信件，删除信件中的附件或者删除该信件；如果是eml、nws一些信件文件带毒，可以用相关的邮件软件打开，确认该信件及其附件，然后删除相关内容。一般有大量的eml、nws的带毒文件的话，都是病毒自动生成的文件，建议都直接删除。

7、文件中有病毒的残留代码

这种情况比较多见的就是带有CIH、Funlove、宏病毒（包括Word、Excel、Powerpoint和Wordpro等文档中的宏病毒）和个别网页病毒的残留代码，通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是int、app等结尾，而且并不常见，如W32/FunLove.app、W32.Funlove.int。一般情况下，这些残留的代码不会影响正常程序的运行，也不会传染，如果需要彻底清除的话，要根据各个病毒的实际情况进行清除。

8、文件错误

这种情况出现的并不多，通常是某些防毒软件将原来带毒的文件并没有很干净地清除病毒，也没有很好的修复文件，造成文件无法正常使用，同时造成别的防毒软件的误报。这些文件可以直接删除。

9、加密的文件或目录

对于一些加密了的文件或目录，请在解密后再进行病毒查杀。

10、共享目录

这里包括两种情况：本地共享目录和网络中远程共享目录（其中也包括映射盘）。

遇到本地共享的目录中的带毒文件不能清除的情况，通常是局域网中别的用户在读写这些文件，杀毒的时候表现为无法直接清除这些带毒文件中的病毒，如果是有病毒在对这些目录在写病毒操作，表现为对共享目录进行清除病毒操作后，还是不断有文件被感染或者不断生成病毒文件。以上这两种情况，都建议取消共享，然后针对共享目录进行彻底查杀，恢复共享的时候，注意不要开放太高的权限，并对共享目录加设密码。

对远程的共享目录（包括映射盘）查杀病毒的时候，首先要保证本地计算机的操作系统是干净的，同时对共享目录也有最高的读写权限。如果是远程计算机感染病毒的话，建议还是直接在远程计算机进行查杀病毒。

特别的，如果在清除别的病毒的时侯都建议取消所有的本地共享，再进行杀毒操作。在平时的使用中，也应注意共享目录的安全性，加设密码，同时，非必要的情况下，不要直接读取远程共享目录中的文件，建议拷贝到本地检查过病毒后再进行操作。

11、光盘等一些存储介质

对于光盘上带有的病毒，不要试图直接清除，这是神仙也做不到的事情。同时，对另外一些存储设备查杀病毒的，也需要注意其是否处于写保护或者密码保护状态。

如何删除一个“顽固”木马病毒？

1.重新启动Windows操作系统后，再按常规方式删除文件。

2.在DOS（或命令提示符）界面中用Del、Deltree之类的命令删除。

3.利用非Windows资源管理器的第三方工具删除，例如具有浏览文件夹功能的Total Commander、ACDSee、FlashFXP、Nero等软件。

4.如果你安装了两个以上的操作系统，那么就可以在当前系统中删除其它操作系统的文件。

5.在启动时按F8键选择进入安全模式执行删除操作。

下面，我们将针对具体问题做具体分析，为大家介绍因各种原因不能删除文件时应采取的非常规方法。

二、删除“其它程序正在使用”的文件

问题表现：

Windows XP系统中，准备删除一个大容量的AVI格式文件，但系统却总是提示无法执行删除操作，有别的程序在使用，即使刚开机进入Windows系统时也是如此。

问题解决：

方法1：打开记事本，点击菜单栏“文件”→“另存为”，命名文件和你想删除的那个文件名一致（包括扩展名），而后进行替换，会发现容量变为0 KB了。此时，执行删除命令即可。

方法2：在那个AVI文件同目录中新建一个文件夹，然后重新启动。现在，不要选那个AVI文件，先选择适才新建的文件夹，然后再同时按Ctrl键+那个AVI文件，执行删除操作。

方法3：把AVI文件的扩展名改为其它任意无效的文件类型，再执行删除操作。

方法4：有一个一劳永逸的方法就是禁用Windows XP的媒体预览功能，点击“开始”→“运行”，输入：“CMD”后回车。然后在“命令提示符”窗口下输入：regsvr32 /u shmedia.dll

回车确认操作后将卸载视频文件的预览功能。以后在需要恢复视频文件预览功能时，在“命令提示符”中输入：regsvr32 shmedia.dll命令即可。

方法5：启动曾播放过那个AVI文件的媒体播放器，打开另一个文件。此后，再尝试删除即可。

方法6：可用WinRAR程序删除，用鼠标右键单击那个AVI文件，在弹出菜单中选择“添加到压缩文件”，而后在弹出窗口的“常规”标签页中选择“压缩后删除源文件”复选框。确认操作后，执行压缩操作。最后再删除该压缩文件。

方法7：调出“Windows任务管理器”，在其中选择结束Explorer进程，但此时不要关闭该窗口。这时候，会出现像死机一样的状况。我们切换到“应用程序”标签页，点击“新任务”按钮，输入Explorer.exe 并确认操作。此后，桌面又恢复正常了，再执行删除操作即可。

三、巧妙删除“非空文件夹”或“坏文件”

问题表现：

在Windows XP系统下（NTFS分区格式），无论是在资源管理器还是用第三方工具都删除不了指定文件，例如用Total Commander删除，先提示文件夹非空，确认后没任何反应。即使用DOS盘启动，加载ntfs for dos pro可读写版本，也删除不了，提示说是“坏的文件名”，但是可以看到该文件夹。

问题解决：

这种情况下的文件无法删除很有可能是由于在NTFS格式下长文件名造成的。我们可以使用8.3格式缩小长度或更改路径中部分目录名以减少路径的长度。例如可以暂时把路径中某些目录改名字，或在命令行模式下使用8.3格式。例如，“Linux Faq”的目录变成8.3就是“LINUXF~1”了，通过“Linuxf~1”就能进入目录了，此后就可以使用Del命令删除指定文件了。如果需要删除目录，则使用Rd命令。

四、巧妙删除“指定程序或文件正在使用”的文件

问题表现：

在执行删除文件操作时，系统在弹出对话框中提示指定程序或文件正在使用，无法删除之类的警告信息。

问题解决：

方法1：对于此类情况，我们可通过结束预删除文件的相关进程来解决问题。那么，如何能获知指定文件与哪些进程相关联呢？可以使用WhoLockMe这款小工具一探究竟。我们运行“Install.exe”先安装该程序。

下面，进入预删除文件所在目录，用鼠标右键单击该文件，在弹出菜单中选择“Who Lock Me?”。

这时会弹出“Lockers”窗口，在其中我们可以获知当前所有调用该文件的进程。

选定其中的进程名称后，点击“Kill Process”按钮，弹出“Kill-Confirmation”对话框，在此点击“是”按钮确认结束进程操作即可。结束所有相应进程后，就可以通过正常途径删除指定文件了。

小提示：其实这种方法尤其适用于删除木马服务器，这种极有威胁性的小东东只有封杀了与其相关的所有进程后才能删除。

方法2：如果指定程序或文件所调用的DLL动态链接库文件还在内存中未释放，删除时也会提示文件正在使用。这种情况下，我们在DOS环境中删除系统的页面文件即可，Windows 9X系统中是“WIN386.SWP”文件（位于系统盘的Windows目录中），Windows 2000/XP系统中是“pagefile.sys”文件（位于系统盘根目录下）。

方法3：如果系统中常驻病毒防火墙，而它在扫描查毒时正在检查你准备删除的文件，那么系统也会提示文件正在使用。此时，我们只需要暂停实时监控操作即可。

五、巧妙删除其它类别的怪文件

1.用户权限问题导致无法删除文件

如果当前的Windows用户登录身份不具有删除指定文件/文件夹的权限（针对Windows NT/2000/XP/2003操作系统），只要重新以管理员身份登录即可。

2.非法字符导致文件或文件夹无法删除

如果是由于非法字符导致文件或文件夹无法删除，可以在“命令提示符”界面中进入要删除文件的目录，输入“dirdel.bat”，利用DOS的管道命令把当前目录的文件列表自动输入到批处理命令文件“del.bat”中，然后修改该批命令文件，仅保留文件或目录名，并在文件或者目录名称前增加“del ”或者“rd”，然后运行批处理命令即可删除。

3.无法删除系统中的任何文件

查看系统中是否安装了具有反删除功能的防护软件，如果是则将其删除即可。

木马病毒怎么清除？

你中了木马，杀毒软件都不能彻底删除木马(也就是当时提示删除成功,可重启后,木马依旧存在)。你必须用专业的杀木马软件才能彻底清除它，推荐三款正版免费杀木马软件：Ewido ，杀马 ，超级巡警。

推荐下载网站----- " 英雄无敌缉毒先锋 " 在“木马专杀”栏目里去下载。

如果上面的软件还不行的话,就在该页面下载"冰刃"强制删除.

在百度里搜索 英雄无敌之缉毒先锋 就可以找到该网站了.

如何清除木马病毒:木马病毒清除的通用解法

在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。 当然它也会悄无声息地启动，你当然不会指望用户每次启动后点击“木马”图标来运行服务端，，“木马”会在每次用户启动时自动装载服务端，Windows系统启动时自动加载应用程序的方法，“木马”都会用上，如：启动组、win.ini、system.ini、注册表等等都是“木马”藏身的好地方。下面具体谈谈“木马”是怎样自动加载的。 在win.ini文件中，在[WINDOWS]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。 在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。 在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY－LOCAL－MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 Explorer 键值改为Explorer=“C:\WINDOWS\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY－CURRENT－USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY－USERS\＊＊＊＊\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索即可。 知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最安全也是最有效的方法就是马上将计算机与网络断开，防止黑客通过网络对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接将“HKEY－LOCAL－MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS－DOS下源码天空 ，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了

如何清除木马病毒？

目前网络上最猖獗的病毒估计非木马程序莫数了，特别是在过去的2004年木马程序的攻击性也有了很大的加强，在进程隐藏方面，做了较大的改动，不再采用独立的EXE可执行文件形式，而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等，这些木马也是目前最难对付的。本期就教你查找和清除线程插入式木马。

操作步骤：

1.通过自动运行机制查木马

一说到查找木马，许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”，具体的地方一般有以下几处：

1）注册表启动项：

在“开始/运行”中输入“regedit.exe”打开注册表编辑器，依次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]，查看下面所有以"Run"开头的项，其下是否有新增的和可疑的键值，也可以通过键值所指向的文件路径来判断，是新安装的软件还是木马程序。

另外[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\]键值也可能用来加载木马，比如把键值修改为“X:\windows\system\ABC.exe "%1"%”。

2）系统服务

有些木马是通过添加服务项来实现自启动的，大家可以打开注册表编辑器，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑键值，并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主键。

然后禁用或删除木马添加的服务项：在“运行”中输入“Services.msc”打开服务设置窗口，里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务，双击打开它，把启动类型改为“已禁用”，确定后退出。也可以通过注册表进行修改，依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服务显示名称”键，在右边窗格中找到二进制值“Start”，修改它的数值数，“2”表示自动，“3”表示手动，而“4”表示已禁用。当然最好直接删除整个主键，平时可以通过注册表导出功能，备份这些键值以便随时对照。

3）开始菜单启动组

现在的木马大多不再通过启动菜单进行随机启动，但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项，可以右击它选择“查找目标”到文件的目录下查看一下，如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看，它的位置为[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]，键名为Startup。

4）系统INI文件Win.ini和System.ini

系统INI文件Win.ini和System.ini里也是木马喜欢隐蔽的场所。选择“开始/运行”，输入“msconfig”调出系统配置实用程序，检查Win.ini的[Windows]小节下的load和run字段后面有没有什么可疑程序，一般情况下“＝”后面是空白的；还有在System.ini的[boot]小节中的Shell=Explorer.exe后面也要进行检查。

5）批处理文件

如果你使用的是WIN 9X系统，C盘根目录下“AUTOEXEC.BAT”和WINDOWS目录下的“WinStart.bat”两个批处理文件也要看一下，里面的命令一般由安装的软件自动生成，在系统默认会将它们自动加载。在批处理文件语句前加上“echo off”，启动时就只显示命令的执行结果，而不显示命令的本身；如果再在前面加一个“@”字符就不会出现任何提示，以前的很多木马都通过此方法运行。

2.通过文件对比查木马

最近新出现的一种木马。它的主程序成功加载后，会将自身做为线程插入到系统进程SPOOLSV.EXE中，然后删除系统目录中的病毒文件和病毒在注册表中的启动项，以使反病毒软件和用户难以查觉，然后它会监视用户是否在进行关机和重启等操作，如果有，它就在系统关闭之前重新创建病毒文件和注册表启动项。下面的几招可以让它现出原形（下面均以Win XP系统为例）：

1）对照备份的常用进程

大家平时可以先备份一份进程列表，以便随时进行对比查找可疑进程。方法如下：开机后在进行其他操作之前即开始备份，这样可以防止其他程序加载进程。在运行中输入“cmd”，然后输入“tasklist /svc X:\processlist.txt”（提示：不包括引号，参数前要留空格，后面为文件保存路径）回车。这个命令可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。输入“tasklist /？”可以显示该命令的其它参数。

2）对照备份的系统DLL文件列表

对于没有独立进程的DLL木马怎么办吗？既然木马打的是DLL文件的主意，我们可以从这些文件下手，一般系统DLL文件都保存在system32文件夹下，我们可以对该目录下的DLL文件名等信息作一个列表，打开命令行窗口，利用CD命令进入system32目录，然后输入“dir *.dllX:\listdll.txt”敲回车，这样所有的DLL文件名都被记录到listdll.txt文件中。日后如果怀疑有木马侵入，可以再利用上面的方法备份一份文件列表“listdll2.txt”，然后利用“UltraEdit”等文本编辑工具进行对比；或者在命令行窗口进入文件保存目录，输入“fc listdll.txt listdll2.txt”，这样就可以轻松发现那些发生更改和新增的DLL文件，进而判断是否为木马文件。

3）对照已加载模块

频繁安装软件会使system32目录中的文件发生较大变化，这时可以利用对照已加载模块的方法来缩小查找范围。在“开始/运行”中输入“msinfo32.exe”打开 “系统信息”，展开“软件环境/加载的模块”，然后选择“文件/导出”把它备份成文本文件，需要时再备份一个进行对比即可。

4）查看可疑端口

所有的木马只要进行连接，接收/发送数据则必然会打开端口，DLL木马也不例外，这里我们使用netstat命令查看开启的端口。我们在命令行窗口中输入“netstat -an”显示出显示所有的连接和侦听端口。Proto是指连接使用的协议名称，Local Address是本地计算机的IP地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的IP地址和端口号，State则是表明TCP连接的状态。Windows XP所带的netstat命令比以前的版本多了一个-O参数，使用这个参数就可以把端口与进程对应起来。输入“netstat /？”可以显示该命令的其它参数。

接着我们可以通过分析所打开的端口，将范围缩小到具体的进程上，然后使用进程分析软件，例如《WINDOWS优化大师》目录下的WinProcess.exe程序，来查找嵌入其中的木马程序。有些木马会通过端口劫持或者端口重用的方法来进行通信的，一般它们会选择139、80等常用端口，所以大家分析时要多加注意。也可以利用网络嗅探软件（如：Commview）来了解打开的端口到底在传输些什么数据.

电脑木马病毒怎么清除(电脑已经打不开了)？

还不行就找一个人现场给你分析 针对解决。因为我们看不见 摸不到 不知道你的具体情况 更不知道你中的是什么毒。重装不重装不是你能决定的，如果系统文件大面积破坏就得重装。好比人全面烧伤就要植皮，不能单纯用药。

为了防止此类事情再次发生，今后怎么办？请看～

只要阅读下面的《防毒真经》就可以远离盗号，黑客攻击，系统破坏，木马病毒杀不完之困扰。 【根本解决之道,不信依旧中毒!】

您是不是感觉杀毒软件排名很高，但是实际使用确实一般呢，病毒杀完又出来，杀毒软件被关闭

这是因为阻止病毒加载能力弱，所以出现反复查杀的情况!

【杀毒排名是给人个用户的迷魂汤】

杀毒市场的泡沫，靠提高排名来扩大自己的市场，但是企业不吃这一套。排名前几名没有一个是在企业级能带来巨大影响的

杀毒排名并不会考虑到阻止病毒加载能力这个因素，不会作为排名标准，所以排名就是只是扫描静态病毒测试。

他们都还是在走传统的路,但像McAfee企业版早已有了Generic Buffer Overflow Protection（缓冲区溢位保护）

没有一个杀毒测试是在测这个的。

原创+心得体会 不可删除/杀不完又出来的病毒/免杀病毒 `杀必~~!!!

杀毒--吸取教训--学习知识--永不中毒 这个才是正确的

杀毒--利用别的给你的具体方法照猫画虎-再次中毒-循环 是跳不出的怪圈

想要彻底不中毒并不容易 除非你学习了。 人人都凭几句话就能彻底避免中毒， 那么就不可能有病毒流行，也没有存在的意义。正是因为大部分用户并不是计算机行业或者不是很懂计算机，造成安全意识不强，病毒才得以传播有价值。

【快速成为安全专家3步曲】【第一步学习原理】【第二部找杀毒软件】【第三步McAfee规则杀毒防毒之终极大法】

【第一步学习原理】

《Windows安全原理与技术》[AVI]

http://www.verycd.com/topics/209612/

《病毒防护技巧－东方标准－高显嵩主讲》avi

http://www.verycd.com/topics/193233/

《计算机病毒与维护1-12》[美河原创][西安电子科技大学]

http://www.verycd.com/topics/76357/

《吉大-计算机维护与维修》视频版

http://www.verycd.com/topics/132863/

《计算机病毒与木马程序剖析》

http://www.verycd.com/topics/79116/

《上海交大网络安全》[RMVB]

http://www.verycd.com/topics/139299/

计算机精选技巧5000篇 一套非常值得收藏的精品教程 含多方面电脑知识

http://www.97sky.cn/downinfo/2741.html

【第二部找杀毒软件】

【McAfee爱好者 - 麦粉丝中文社区 - 值得信赖的迈克菲学习交流技术社区】

http://bbs.mcafeefans.com/index.php

//**如果有一定的计算机知识 推荐使用McAfee企业版 利用自定义规则打造百度不侵系统。病毒写入不到磁盘干着急没办法。

McAfee公司已经连续六年占据企业级防病毒市场的第一名，并且占据硬件防毒市场第一名。

//**如果你是新手推荐使用ESET NOD32。 卡巴老是提示有风险，让用户判断。用户能判断要你做什么。所以不适合新手。

【节省你的银两--杀毒软件大全】特集：26种手机杀毒软件 for Symbian系统(9 MB)

包含:①金山,②McAfee(迈克菲/麦咖啡),③Syamtenc(赛门铁克)/Norton(诺顿),④卡巴斯基,⑤Avira(小红伞),⑥ESET/NOD32,⑦avast!,⑧Bitdefender,⑨Trend Micro/PC-cillin(趋势科技),⑩Panda(熊猫),⒒F-Secure,⒓F-Prot,⒔G DATA,⒕CA,⒖AVG,⒗Norman,

【节省你的银两--杀毒软件大全】的信息转移到百度空间:

http://hi.baidu.com/eriko_futami/blog/item/8cfb39d3d55ce7daa9ec9afe.html

【第三步McAfee规则杀毒防毒法】

如果你安装了McAfee 企业版防毒软体 可以很容易搞定 不可删除/杀不完又出来的病毒/免杀病毒终结者

【McAfee规则杀毒防毒法-防止USB一定设备自动运行auto实例】

开启McAfee控制台-打开访问保护-右键属性-用户定义的规则-新建(F)-注册表阻止规则。

填写如下资料: (进程可带路径,可以使用通配符)

规则名称:禁止生成自动播放选项

包含进程:*

排除进程：预留空

要保护的注册表项。HKCU /Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/**

要阻止的注册表操作: 除了删除 读取其他都选上。

然后再确定保存 看McAfee日志 是什么程序产生了那些文件

然后按照同样的方法把根源程序阻止 然后就能轻易删除 杀毒就是这么容易。

日志就是这么一个例子:

2008-7-18 14:12:45 将由访问保护规则 (当前不强制执行规则) 禁止 MSDN-XP\McAfee C:\DOCUME~1\McAfee\LOCALS~1\Temp\Rar$EX00.172\UXTender.exe C:\Documents and Settings\McAfee\Local Settings\Temp\Rar$EX00.172\UXTender.exe 防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件 已阻止的操作: 执行

这个例子表明前面那个文件运行的结果就是产生那个文件。 分析你阻止的那些文件 阻止掉源头程序。(但不总是这样的，要学会分析.)

【注册表访问保护规则】(利用McAfee自定义规则防止病毒篡改首页实例)

规则名称:自己写

要包含的进程:*

要排除的进程:预留空 根据自己实际填写。可带路径

要保护的注册表项或者注册表值:

选择 HKLM 填入 /SOFTWARE/Microsoft/Internet Explorer/Main/**

规则类型:项

要阻止的操作:选中“向项或值中写入”和“创建项或值”

规则名称:自己写

要包含的进程:*

要排除的进程:预留空 根据自己实际填写。可带路径

要保护的注册表项或者注册表值:

选择 HKCU 填入 /Software/Microsoft/Internet Explorer/Main*/**

规则类型:项

要阻止的操作:选中“向项或值中写入”和“创建项或值”

【注册表访问保护规则】(利用McAfee自定义规则保护安全模式不被病毒篡改实例)

规则名称:自己写

要包含的进程:*

要排除的进程:预留空 根据自己实际填写。可带路径

要保护的注册表项或者注册表值:

选择 HKLM 填入 /SYSTEM/ControlSet*/Control/SafeBoot/**

规则类型:项

要阻止的操作:选中“向项或值中写入”和“创建项或值”和“删除项或值”

中了多个木马病毒后,重装程序后,能清除那些木马吗

能的 因为重装删除了所有不必要的非系统文件那些病毒当然死光光了