常见病毒手工清除方法大集锦

　　手工清除“恶邮差”（Supnot）蠕虫病毒

　　1．使用资源管理器查看进程，注意winrpcsrv.exe、winrpc.exe、wingate.exe、syshelp.exe、rpcsrv.exe、iexplore.exe、winVNC.exe….均为病毒（或由病毒生成的后门软件），甚至其它的一切不常见的进程都有可能是，如果不能确定，找一台服务器上的进程来观察（服务器应该不会被感染）。

　　2．将病毒程序（后门）的进程结束掉，对于不能结束的，可以使用附件中的pskill.exe结束掉（命令格式“pskill 进程名”）。

　　3． 打开“服务”，在服务列表中将没有“描述”服务进行筛选，查找是否有"Browser Telnet" "Event Thread" "Windows Management Extension"……的服务，依次删掉注册表中的

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BRWWTELK]

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\prom0n.exe]

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows Management Extension]

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Window Remote Service]

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run(RunServices]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run(RunServices]

　　……的相关的健值(还有WinVNC的进程，没有记住是什么健值)

　　4．删掉

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dll_reg]

　　[HKEY_CLASSES_ROOT\Applications\winrpc.exe]的健值，

　　5. 并修改[HKEY_CLASSES_ROOT\txtfile\shell\open\command]的右侧的默认健值为” %SystemRoot%\system32\NOTEPAD.EXE %1”,此时，.txt的文件无法正常打开，可以点击文本文件的右键选择其它方式，选择使用Notepad即可。

　　6．删掉系统system32目录下的以下程序（大部分可执行程序的大小都为78,848字节）： winrpcsrv.exe 、 winrpc.exe 、 wingate.exe 、 syshelp.exe 、rpcsrv.exe 、 iexplore.exe 、 prom0n.exe（注意中间的是数字0） 、 irftpd.exe 、 irftpd.dll 、 iexplore.exe 、 reg.dll 、 task.dll 、 ily.dll 、 Thdstat.exe 、 1.dll 、 winvnc.exe

　　7. 清空“C:\Documents and Settings\Default User（或Default Uesr..WINNT）\Local Settings\Temporary Internet Files\Content.IE5”目录下除了“desktop.ini”的所有文件，该路径下，发现有一些后门软件。

　　8．关闭所有目录的完全共享！――这是关闭了该程序还可以通过网络感染的途径。

　　9. 重新启动计算机，观察是否还有类似进程出现，尤其是irftpd.exe，这个程序是由上述第3步的“服务”程序自动生成的。由于该蠕虫先后出现多个变种，建议使用专杀工具来查杀。

　　新欢乐时光VBS/Redolf的清除办法

　　1、删除

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Kernel3

　　2 键值；

　　参照其他系统，恢复 HKEY_CLASSES_ROOT\dllFile\ 下键值；

　　参照其他系统，恢复 HKEY_CURRENT_USER\Identities\" &UserID &"\Software\Microsoft\Outlook Express\" &OEVersion　& "\Mail\ 下相关键值；

　　参照其他系统，恢复 HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Outlook\Options\Mail\ 下相关键值；

　　参照其他系统，恢复 HKEY_CURRENT_USER\Software\Microsoft\Office\10.0\Outlook\Options\Mail\ 下相关键值；

　　3、删除文件

　　参照其他系统，恢复 %Windows%\web 目录下 folder.htt 文件；

　　删除 Kernel32.dll 或者 Kernel.dll 文件；删除 kjwall.gif；

　　查找所有存在 KJ_start 字符串的文件，删除文件尾部的病毒代码。

　　由于该病毒利用 Windows 资源管理器的视图模板进行感染，所以必须对计算机所有磁盘进行检查，不能遗漏，否则很快又会再次感染。在查杀过程中一定不能打开资源管理器，否则也不能查杀干净。

　　摘要：本文是51CTO安全频道收集并整理的，近几年常见病毒的手工查杀方法，里面涵盖了今年比较流行的熊猫烧香、灰鸽子、MSN相册病毒，以及autorun.inf病毒等，希望对各位网友有所帮助。

　　标签：手工 清除 autorun.inf 熊猫烧香 灰鸽子 MSN相册 病毒 集锦

　　I－WORM/Badtrans.b，病毒的清除

　　首先用最新DOS版的杀毒软件开机杀毒，然后将邮箱中的带毒邮件一一删除，否则又会重复感染，该病毒传播能力极强，必须加强防范， 为了预防该病毒在浏览该带毒信笺可以自动执行的特点，必须下载微软的补丁程序。

　　http://www.microsoft.com/technet/security/bulletin/MS01-020.asp

　　恶性蠕虫病毒“I-Worm.Aliz”

　　用最新的杀毒软件清除病毒，然后下载补丁：

　　如果用户使用升级的因特网outlook版本6.0，就不需要修补outlook。

　　1. outlook http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp

　　2.outlook 2000 http://office.microsoft.com/korea/downloads/2000/outlctlx.aspx

　　3.outlook 2002 (office XP) http://office.microsoft.com/korea/downloads/2002/OLK1003.aspx

　　Nimda.e病毒详细解毒方案

　　一、winX系统的清除方法：

　　1 使用干净DOS软盘启动机器。

　　2 执行vrvdos, 查杀所有硬盘。

　　3 在SYSTEM.INI文件中将LOAD.EXE的文件改掉，如没有变，就不用改。正常的[boot]下的应该是shell=explorer.exe.必须修改该文件中的shell项目，否则清除病毒后，系统启动会提示有关load.exe的错误信息。

　　4 开启vrv实时监测病毒防火墙。

　　5 为了预防该病毒在浏览该带毒信笺可以自动执行的特点，必须下载微软的补丁程序。

　　地址是：http://www.microsoft.com/technet/security/bulletin/MS01-020.asp。

　　这样可以预防此类病毒的破坏。

　　6、WINDOWS 2000如果不需要可执行的CGI，可以删除可执行虚拟目录,例如/scripts等等。

　　7、如果确实需要可执行的虚拟目录，建议可执行虚拟目录单独在一个分区。

　　8、对WINDOWS NT/2000系统，微软已经发布了一个安全补丁，可以从下列地址下载：http://www.microsoft.com/technet/security/bulletin/ms00-078.asp.

　　9、病毒被清除后, 在windows的system目录下的文件riched20.dll将被删除，请从WINDOWS的安装盘上或再无毒机中拷贝一份干净的无病毒的该文件，否则的话，写字板和OFFICE, WORD等程序将不能正常运行。在WINDOWS98系统下的该文件大小是：431376字节。或重装office。

　　二、WINDOWS NT/2000系统的清除方法：

　　WINDOWS NT/2000系统的NTFS硬盘分区感染此毒时，处理比较烦琐。因用DOS软盘引导后不认硬盘分区，所以无法杀毒。在患毒的WINDOWS NT/2000系统下又杀不干净病毒。不管是服务器还是单机的硬盘染此毒了，要想杀干净病毒，可按如下方法杀毒：

　　1 找一台没有感染病毒的、并装有WINDOWS NT/2000（NTFS)系统的计算机，将vrv2001 server安装到硬盘中，对硬盘进行查杀。

　　2 如果有杀不掉的，用dos盘引导起动，再执行NTFSpro（在vrv网站可以下载）中的ntfspro.exe 即可，看到NTFS格式下的所有文件，将其删除，再回到正常模式下查杀。

　　3 如果有多台机器，也可以将患毒的硬盘挂接在没有感染病毒的计算机上做为副盘。

　　Nimda病毒解决方案

　　请大家尽快到微软网站下载更新程序，修补这些漏洞，以免中毒。收到可疑的信件，例如：Nimda病毒病毒附件为readme.exe，不要随意打开以免中毒，IE 5.x 的使用者请到http://www.microsoft.com/technet/security/bulletin/MS01-020.asp下载修复程序，避免浏览中毒网页就被感染。

　　IIS 的使用者请到http://www.microsoft.com/technet/security/bulletin/MS01-044.asp、http://www.microsoft.com/technet/security/bulletin/MS00-078.asp下载修复程序，以修正Unicode漏洞。

　　另外：Win9x用户记得去掉共享，修改System.ini中shell=explorer.exe load.exe -dontrunold为shell=Explorer.exe ，Win2000则查看一下administrators组中是否加进了“guest”用户，如果是，请将guest用户从administrators组中删除，然后用最新版的杀毒软件扫描你的机器，查杀病毒。

　　自己动手对付CodeRed(红色代码)

　　CodeRed(红色代码)是利用Windows NT/2000本身的漏洞来执行骇客行为，微软网站提供更新档下载，使用IIS 4.0以上版本用户，请尽快至微软网站http://www.microsoft.com/technet/security/bulletin/MS01-033.asp更新修正。

　　手工清除Sircam蠕虫病毒：

　　1、 清空回收站，因为病毒将自身隐藏在回收站；

　　2、 删除Autoexec.bat文件中的"@win ecycledsirc32.exe"

　　3、 恢复注册表

　　（1） 将regedit.exe改名为regedit.com因为该病毒关联exe文件

　　（2） 打开注册表编辑器，查找主键：

　　HKEY_CLASSES_ROOT/exefile/shell/open/command将其键值改为"%1" %*

　　（3） 删除主键HKEY_LOCAL_MACHINE/Software/SirCam

　　（4） 删除键值HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/Run Services/Driver32

　　（5） 将regedit.com改回为regedit.exe

　　手工清除“快乐时光”病毒

　　1.检查 C:\Help.htm、C:\ 盘第一个子目录下的 Help.vbs 和 Help.hta、Windows录下 Help.htm 或者与原墙纸文件名的 html 格式文件，若其中 含有“Rem I am sorry! happy time”字符串，则删除该文件

　　2.检查 C: 盘上所有 vbs、html 或者 asp 文件，若含有“Rem I am sorry! happy time”字符串，则删除该文件

　　3.检查 \Windows\Web 目录下所有 vbs、html、htt 和 asp 文件，若含有“Rem Iam sorry! happy time”字符串，则删除该文件；

　　4.删除 HKEY_CURRENT_USER\Software 下 Help 项；

　　5.删除收件箱中所有带有 Untitled.htm 附件的不明邮件。

　　手工清除出现漩涡画面的Hybris.A变种病毒

　　解决方案：

　　一、Window 95用户更改WSOCK32.DLL

　　1.从开始－>关机－>重新启动并切换到MS-DOS模式。

　　2.键入: EXTRACT /A C:\WINDOWS\OPTIONS\CABS\WIN95_11.CAB WSOCK32.DLL /L C:\WINDOWS\SYSTEM，或是放入你的 Windows 95 CD-ROM，然后键入:EXTRACT /A D:\WIN95\WIN95_11.CAB WSOCK32.DLL /L C:\WINDOWS\SYSTEM. D: 指你的CD-ROM drive

　　二、Window 98用户更改WSOCK32.DLL

　　1.从开始－>运行，键入SFC并按OK.

　　2.选择从安装软盘提取一个文件(E)

　　3.在空格中键入C:\WINDOWS\SYSTEM\WSOCK32.DLL 并按开始。

　　4.在提取文件表格中键入C:\WINDOWS\OPTIONS\CABS 或是在你的Windows 98 CD-ROM中浏览 Windows 98，会在CAB file这里发现命名为"PRECOPY1.CAB" 按OK 后跟着提示进行就可。

　　手动清除圣诞节病毒的方法：

　　1.开始——>程序——>MS-DOS模式

　　2.将DOS指令regedit.exe重新命名为 regedit.com

　　3.回到Windows运行Regedit。

　　4.开始——>运行

　　5.输入“regedit”。按一下“确定”。

　　6.在左边窗口，按一下含有 "+" 记号的方块以展开节点来寻找下列登录：

　　HKEY_CLASSES_ROOT exefile shell open command

　　7.在右边窗口，以展开节点来寻找含有下列登录的记录值并点选 (Default) = "% windir%\SYSTEM\WINSVRC.EXE"%1""%*" where %windir%

　　8.当编辑窗口出现，将所有整个部分删除，只留下 "%1"%*"。

　　9.同步骤 3-5，输入“regedit”。按一下“确定”，进入以下注册机值：

　　HKEY_LOCAL_MACHINE Software Microsoft Windows CurrentVersion Run

　　10.点选Win32BaseServiceMOD = %windir%\SYSTEM\WINSVRC.EXE ，并按“删除”

　　11.开始——>程序——>MS-DOS模式

　　12.将 regedit.com重新命名为 regedit.exe。

　　Win32/MTX.A.Worm 病毒的清除方法

　　清除步骤：

　　1、对于蠕虫病毒生成的文件如：MTX_.exe，Ie_pack.exe和Win32.dll，需要彻底删除，它们的病毒报警为Win32/MTX.Attachment.Worm 或Win32/MTX.A.Downloader.Worm。

　　2、 开始---运行(regedit)修改注册表，将注册表中的关键字值删除，关键字值为：

　　Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run\Systembackup =\MTX_.EXE

　　3、 开始---运行(regedit)---编辑---查找(Win32.dll)，将查找到的键值删除掉，用同样的方法 查找Ie_pack.exe和mtx，将查找到的键值也删除；

　　4、重新启动计算机。

　　摘要：本文是51CTO安全频道收集并整理的，近几年常见病毒的手工查杀方法，里面涵盖了今年比较流行的熊猫烧香、灰鸽子、MSN相册病毒，以及autorun.inf病毒等，希望对各位网友有所帮助。

　　标签：手工 清除 autorun.inf 熊猫烧香 灰鸽子 MSN相册 病毒 集锦

　　手动清除特洛伊木马TROJ_QAZ.A病毒

　　1、单击“开始│运行” 键入：Regedit，按Enter键

　　2、找到注册键：

　　HKEY_LOCAL_MACHIN/Software/Microsoft/Windows/CurrentVersion/Run

　　3、在右边的窗口中，找出任何包含下列数据的注册键值：

　　startIE=XXXX\Notepad.exe

　　4、在右边的窗口中，选中该键值，按删除键后再选是，删除该值。 退出注册表修改。 单击 “开始│关闭系统”，选择“重启动”后单击“是”。

　　5、重命名Note.com为Notepad.exe。