手工杀毒

2024年4月25日发(作者：)

手工杀毒之“三十六计”

手工杀毒之“三十六计”

计算机病毒已经越来越多的严重的威胁用户的信息安全，不论您是个人还是企业用户，

掌握如何去清楚木马病毒，显得十分迫切。本文将介绍几种清楚病毒的常用方法……

电脑用户与病毒、木马的斗争不亚于一场战争，而且旷日持久!战争中，杀毒软件或存

妇人之仁，不能除恶务尽，或悄无声息地倒下了。伟大的孙子兵法，不仅被应用于人类社会

的战争，而且适用于这场战争。在与病毒、木马的赤膊大战中灵活运用孙子兵法，你就会取

得最后的胜利。下面看我手工杀毒之“三十六计”......

一、声东击西

说明：在平常的操作中，一些病毒因为正被调用而无法删除，我们常常要到DOS环境下

查杀。根据病毒、木马运行的机制，我们可以采用忽东忽西，即打即离的战术，制造假象，

引诱它们作出错误判断，然后乘机歼灭它们。

实例：我遭遇一个无法删除的病毒“C：ProgramFilesCommon

”，同时也无法复制这个文件，如何清除它?

工具：Windows自带的备份程序

操作：

第一步：单击“开始→所有程序→附件→系统工具→备份”，打开备份或还原向导窗口，

备份项目选择“让我选择要备份的内容”，定位到“C:ProgramFilesCommon

FilesPCSuite”。

第二步：继续执行备份向导操作，将备份文件保存为“g:”，备份选项勾选

“使用卷阴影复制”，剩余操作按默认设置完成备份。

第三步：双击“g:”，打开备份或还原向导，把备份还原到“g:virus”。接

着打开“g:virus”，使用记事本打开病毒文件“”，然后随便删除其中几行代码

并保存，这样病毒就被我们使用记事本破坏了(它再也无法运行)。

第四步：操作同上，重新制作“k:virus”的备份为“k:”。然后启动还原

向导，还原位置选择“C：ProgramFilesCommonFilesPCSuite”，还原选项选择“替换

现有文件”。这样，虽然当前病毒正在运行，但备份组件仍然可以使用坏的病毒文件替换当

前病毒(见图1)。还原完成后，系统提示重新启动，重启后病毒就不会启动了(因为它已被记

事本破坏)，现把病毒删除即可。

图1

举一反三：遇到类似的正在运行的，无法删除的病毒、木马都可以采用这种方法

二、借刀杀人

说明：面对病毒，在杀毒软件都束手无策的情况下，我们可以利用系统中的程序进行病

毒、木马的清理往效果奇佳。真可谓，敌已明，友未定，引友杀敌，不自出力，以损异己。

工具：记事本

1

：双进程木马的查杀实例实例1

描述：现在，越来越多的木马采用双进程守护技术保护自己，就是两个拥有同样功能的

代码程序，不断地检测对方是否已经被别人终止，如果发现对方已经被终止了，那么又开始

创建对方，这给我们的查杀带来很大的困难。不过，此类木马也有“软肋”，它只通过进程

列表进程名称来判断被守护进程是否存在。这样，我们只要用记事本程序来替代木马进程，

就可以达到“欺骗”守护进程的目的。

操作：下面以查杀“FallingStar”变种木马为例。中招该木马后，木马的“”

和“”两个进程会互相监视。当然，我们中招的时候大多不知道木马具体的

监护进程。不过，通过进程名称可以知道，“”是异常的进程，因为系统正

常进程中没有该进程。下面使用替换方法来查杀该木马。

第一步：单击“开始→运行”，输入“Msinfo32”打开系统信息窗口，展开“系统摘要

→软件环境→正在运行任务”，这里可以看到“”路径在

“C:WindowsSystem32”下(见图2)。