嘴唇好多白点什么原因:手工清理病毒原来可以如此简单

当大家看到这个题目的时候一定会觉得手工杀毒真的很简单吗？笔者写这个文章的目的就是让所有菜鸟在面对病毒的时候能轻而易举的狙杀掉它，而不是重装系统，或者在重装N次系统以后无奈的选择格式化，结果却依然无法将讨厌的病毒驱逐出你可怜的电脑。 今天我们以今年泛滥比较严重的病毒之一的“AV终结者”的手工清理方法来像大家讲述如何手工清理这类非感染exe文件类型的病毒（本次讲述的办法在清理完病毒源头以后借助专杀工具依然可以适用于清理感染exe类病毒）。
第一步：知己知彼，百战百胜
要战胜AV终结者，我们先要了解自己的处境和它的特性还有弱点。首先我们来了解下AV终结者的执行以后的特征：1.在多个文件夹内生成随机文件名的文件
旧版本的AV终结者在任务管理器里可以查看2个随机名的进程，新的变种文件名格式发生变化，目前我遇到过2种。
一种是随机8个字母+数字.exe和随机8个字母+数字.dll；另一种是6个随机字母组成的exe文件和inf文件。不管变种多少它们保存的路径大概都是如下几个：
C:\windows
C:\windows\help
C:\Windows\Temp
C:\windows\system32
C:\Windows\System32\drivers
C:\Program Files\
C:\Program Files\Common Files\microsoft shared\
C:\Program Files\Common Files\microsoft shared\MSInfo
C:\Program Files\Internet Explorer
以及IE缓存等
这个是我个人总结出来的，随着病毒的变种。获取还有其他的。我这里只提供参考。2.感染磁盘及U盘
当你的系统中了AV终结者，你会发现你的磁盘右键打开时将出现一个”Auto”也就是自动运行的意思，此时你的电脑已经中毒了，而且如果你这个时候企图插入移动硬盘、U盘，或者刻录光盘以保存重要资料，都将被感染。这也就为什么许多用户重装完系统甚至格式化磁盘以后病毒依然的原因。
当你重装完系统，必定会有双击打开硬盘寻找软件或者驱动的时候，这个时候寄生在你磁盘根目录内的Autorun.inf文件就起到让病毒起死回生的功能了。这绝对不是耸人听闻哦！ 3.破坏注册表导致无法显示隐藏文件
我们一起来看看磁盘里的Autorun.inf，因为此时你的系统已经无法显示隐藏文件了。这个也是AV终结者的一个特征，所以我们这里用到几条简单的dos命令。
开始菜单-运行-输入“cmd”来到cmd界面，输入“D:” 跳转到D盘根目录，因为AV是不感染C盘根目录的，再输入“dir /a”显示D盘根目录内的所有文件及文件夹。“/a”这个参数就是显示所有文件，包含隐藏文件。如图：






我们看到D盘内多出了Autorun.inf以及随机生成的病毒文件017a4901.exe。我们一起看看Autorun.inf的内容，输入”type autorun.inf”，Autorun.inf里的代码的意思就是当你双击打开、右键打开、资源管理器打开。都会自动运行目录里的017A4901.exe这个文件。所以对于普通用户来说，即使你听过别人劝告，通过右键打开企图避免运行病毒也是徒劳的。因为“上有政策下有对策”，病毒也是在不断的变种升级的！当然它并不是无敌的，下文中我们就会讲述如何清理它。
5.映像劫持技术
通过修改注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options的内容达到劫持几乎所有主流杀毒软件，甚至360安全卫士这样的工具的目的，被劫持后的现象是，杀毒软件无法自动运行，实时监控也无法启动，双击运行闪出一个黑色dos窗口后立刻消失。其实这个时候就是利用劫持技术转向运行了病毒本身。这个时候杀毒软件就彻底倒下了。关键时刻我们果然还是要靠自己手工清理啊！
6.修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess Start dword:00000004
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv Start dword:00000004
7.删除以下注册表项，使用户无法进入安全模式
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
8.连接网络下载更多的游戏木马、广告软件以为病毒作何谋取经济利益。
9.强制关闭包含和病毒或者清理病毒或者杀毒软件有关的信息的页面。
10.注入Explorer.exe和TIMPlatform.exe反弹连接，以逃过防火墙的内墙的审核。
11.新的变种中加入双进程保护，当你结束一个进程，另一个进程自动重新启动它并关闭你的任务管理器。
12.跟随系统唯一可以使用的安全模式“控制目录恢复模式”启动，并防止企图清理注册表里的启动项以清除病毒的行为，让你清除注册表的下秒，它又自动建立了！
第二步：实战清理病毒 通过上面的内容相信你已经基本了解病毒的运作方式，现在杀毒软件已经“下岗”了，那么现在我们就靠自己的双手将它驱逐出去，还您一片蓝色的天空吧！
首先介绍今天的主角：WinPe 老毛桃修改版
这是一个类似windows98的操作系统。它体积很小只有几十M，现在很多系统安装版里都集成了这个软件，或者你也可以上网下载一个iso文件。用虚拟光驱运行，会有安装到系统的功能，所以没有刻录机的朋友一样可以使用它，当然它还有U盘版。我今天使用的是光盘版，或许你会问“为什么要用这个操作系统？他和xp有什么区别呢？难道用他就不会开机运行病毒了？”
是的！说的没错！因为WinPe是光盘或本地安装出来的一个虚拟磁盘的操作系统，他和系统本身是没有挂钩的，所以不会启动windows注册表里的启动项。这个的带来的优势就是我们可以在病毒启动之前就把他删除掉！设想，一个病毒虽然在注册表里配置的启动项，但是他的原始病毒文件已经不存在了。和谈启动运行？这就是我们今天的重点思路！在病毒启动以前将病毒文件全部删除，让他有心无力.
第三步：收拾战场，修复系统 首先我们重新启动重新上岗就业的杀毒软件。这里我使用360安全卫士，因为针对非感染exe类型的病毒，360足够应付了，而且速度快很多。






选择查杀流行木马。好的，检测结果。已经没有木马病毒了。下一步我们重启启动被病毒关闭的防火墙以及系统自动更新的服务，我的电脑-右键-管理-服务和应用程序-服务，找到windows firewall开头的服务右键属性，启动类型改为自动，再找到Automatic Updates这个服务，同样将启动类型改为自动。
下面修复安全模式：将如下代码保存为1.reg 然后运行导入既可
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"
将如下代码保存为2.reg运行导入后文件夹选项里重新出现“隐藏受系统保护的操作系统文件，以及“隐藏文件和文件夹”选项，选择显示后即可和一样一样，正常情况下不需要去设置，隐藏的病毒文件已经被我们删除了，需要的人可以自行选择
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
重新启动后。您的电脑又是一片蓝色的天空。 自此，菜鸟们再也不用为中毒烦恼了，重装系统和格式化，不再是噩梦！建议重启后用杀毒软件彻底查杀整个硬盘避免存在感染exe型病毒哦！偷懒的人跳过前面的介绍直接看操作实战，是不是觉得非常容易？以后你也可以轻易的告诉MM电脑中毒？找我就行！重装既浪费时间，又不能彻底解决问题哦！希望大家看完我的文章能够学会举一反三，轻松应对各种各样病毒哦！