常见病毒手工清除方法大集锦

 

　　灰鸽子的手工清除

　　清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2删除灰鸽子程序文件。注意：为防止误操作，清除前一定要做好备份。

　　一、清除灰鸽子的服务

　　Windows2000／WindowsXP系统：

　　1、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开

　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

　　2、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server）。

　　3、删除整个Game_Server项。

　　Windows98／WindowsME系统：

　　在Windows9X下，灰鸽子启动项只有一个，因此清除更为简单。运行注册表编辑器，打开

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run项，我们立即看到名为Game.exe的一项，将Game.exe项删除即可。

　　二、删除灰鸽子程序文件

　　删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP 2005服务端已经被清除干净。

　　手工清除熊猫烧香

　　一、关闭病毒进程

　　Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉（我的电脑里出现的是SVCHOST）注意别搞错了。

　　二、显示出被隐藏的系统文件

　　运行注册表　

　　HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

　　这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）

　　方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

　　在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

　　三、删除病毒

　　在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。

　　四、删除病毒的自动运行项

　　打开注册表运行——regedit

　　HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

　　下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的

　　最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe

　　重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。

　　其他方法一：

　　1. 断开网络

　　2. 结束病毒进程：%System%/drivers/spoclsv.exe

　　3. 删除病毒文件：%System%/drivers/spoclsv.exe

　　4. 右键点击分区盘符，点击右键菜单中的“打开”进入分区根目录，删除根目录下的文件：X:/setup.exe，X:/autorun.inf

　　5. 删除病毒创建的启动项：

　　[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run]

　　"svcshare"="%System%/drivers/spoclsv.exe"

　　6. 修改注册表设置，恢复“显示所有文件和文件夹”选项功能：

　　[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer

　　/Advanced/Folder/Hidden/SHOWALL]

　　"CheckedValue"=dword:00000001

　　7. 修复或重新安装反病毒软件

　　8. 使用反病毒软件或专杀工具进行全盘扫描，清除恢复被感染的exe文件

　　其他方法二：

　　1、拔掉网线断开网络，打开Windows任务管理器，迅速找到spoclsv.exe，结束进程，找到explorer.exe，结束进程，再点击文件，新建任务，输入c:\WINDOWS\explorer.exe，确定。

　　2、点击开始，运行，输入cmd回车，输入以下命令：

　　del c:\setup.exe /f /q

　　del c:\autorun.inf /f /q

　　如果你的硬盘有多个分区，请逐次将c:改为你实际拥有的盘符（C盘-->Z盘）。上述两个木马文件为只读隐藏，会修改Windows属性，使用户无法通过设置文件夹选项显示所有文件及文件夹的功能看到。

　　3、进入注册表，删除HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下svcshare值。

　　4、删除C:\windows\system32\drivers\spoclsv.exe

　　5、修复或重新安装防病毒软件并升级病毒库，彻底全面杀毒，清除恢复被感染的.exe文件。

　　6、屏蔽熊猫烧香病毒网站pkdown.3322.org和ddos2.sz45.com，具体方法如下：

　　打开C:\WINDOWS\system32\drivers\etc\host文件，添加修改如下格式：

　　# Copyright (c) 1993-1999 Microsoft Corp.

　　#

　　# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

　　#

　　# This file contains the mappings of IP addresses to host names. Each

　　# entry should be kept on an individual line. The IP address should

　　# be placed in the first column followed by the corresponding host name.

　　# The IP address and the host name should be separated by at least one

　　# space.

　　#

　　# Additionally, comments (such as these) may be inserted on individual

　　# lines or following the machine name denoted by a '#' symbol.

　　#

　　# For example:

　　#

　　# 102.54.94.97 rhino.acme.com # source server

　　# 38.25.63.10 x.acme.com # x client host

　　127.0.0.1 localhost

　　127.0.0.1 *.3322.org

　　127.0.0.1 *.sz45.com

　　7、修复文件夹选项的“显示所有文件及文件夹”的方法：

　　A、找到HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL分支，在右边的窗口中双击CheckedValue键值项，该键值应为1.如果值不为1,改为1即可。

　　如果你设置仍起不了作用，那么接下来看。

　　有些木马把自己的属性设置成隐藏、系统属性，并且把注册表中“文件夹选项中的隐藏受保护的操作系统文件”项和“显示所有文件和文件夹”选项删除，致使通过procexp可以在进程中看到，但去文件所在目录又找不到源文件，无法进行删除。(正常如图，被修复后看不见图中标注的项)

　　针对这种情况可以把下面内容存储成ShowALl.reg文件,双击该文件导入注册表即可

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

　　\Hidden\NOHIDDEN]

　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

　　"Text"="@shell32.dll,-30501"

　　"Type"="radio"

　　"CheckedValue"=dword:00000002

　　"ValueName"="Hidden"

　　"DefaultValue"=dword:00000002

　　"HKeyRoot"=dword:80000001

　　"HelpID"="shell.hlp#51104"

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

　　\Hidden\SHOWALL]

　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

　　"Text"="@shell32.dll,-30500"

　　"Type"="radio"

　　"CheckedValue"=dword:00000001

　　"ValueName"="Hidden"

　　"DefaultValue"=dword:00000002

　　"HKeyRoot"=dword:80000001

　　"HelpID"="shell.hlp#51105"

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

　　\Folder\SuperHidden]

　　"Type"="checkbox"

　　"Text"="@shell32.dll,-30508"

　　"WarningIfNotDefault"="@shell32.dll,-28964"

　　"HKeyRoot"=dword:80000001

　　"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

　　"ValueName"="ShowSuperHidden"

　　"CheckedValue"=dword:00000000

　　"UncheckedValue"=dword:00000001

　　"DefaultValue"=dword:00000000

　　"HelpID"="shell.hlp#51103"

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

　　\SuperHidden\Policy]

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder

　　\SuperHidden\Policy\DontShowSuperHidden]

　　@=""

　　具体操作方法：

　　1）通过记事本新建一个文件

　　2）将以上内容复制到新建的记事本文件中

　　3）通过记事本文件菜单另存为show.reg

　　4）双击存储的showall.reg文件，点击弹出的对话框是按钮即可。

　　注意：以上方法对win2000和XP有效

　　B、HKEY_LOCAL_MACHINE | Software |Microsoft | windows | CurrentVersion | explorer | Advanced | Folder | Hidden | SHOWALL，将CheckedValue键值修改为1

　　但可能依然没有用，隐藏文件还是没有显示，这是因为病毒在修改注册表达到隐藏文件目的之后，把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！

　　方法：删除此CheckedValue键值，单击右键 新建Dword值，命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

　　全手工清除落雪

　　中途注意不要双击到其中任何一个文件，必须在文件夹选项里打开显示隐藏文件及显示已知文件扩展名。

　　1、打开始菜单的运行，输入命令 regedit，进注册表，到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除Torjan pragramme

　　2、然后注销！ 重新进入系统后到D盘（注意不要双击进入！否则又会激活这个病毒）右键，选“打开”，把pagefile.com和D:\autorun.inf删掉， 然后再到C盘把上面所列出来的文件都删掉，可以对比其他文件的日期判断。

　　3、头号文件WINLOGON.EXE在C:\Windows\WINLOGON.EXE 可能提示删不掉可以用光盘启动进入DOS模式，把它的系统，隐藏属性去掉然后删除它！

　　手工病毒清除后的系统修复

　　1、把那些病毒文件删掉后，所有的exe文件全都打不开了，运行cmd也不行。

　　到C:\Windows\system32 里，把cmd.exe文件复制出来，比如到桌面，改名成cmd.com ，然后双击这个COM文件，然后行动可以进入到DOS下的命令提示符。再打入以下的命令：

　　assoc .exe=exefile （assoc与.exe之间有空格） ftype exefile="%1" %* 这样exe文件就可以运行了。或者用Regfix.exe，sreng.exe等工具修复,将扩展名EXE改成COM，就可打开。

　　2、开机跳出找不到文件“1.com”

　　在运行程序中运行“regedit”，打开注册表，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"

　　3、清除了这个出马出现IE不能下载 请在IE选项 然后安全 然后点默认级别就可以下载了。

　　autorun.inf病毒手工删除方法

　　一、 结束病毒进程

　　鼠标右键点击“任务栏”，选择“任务管理器”。点击菜单“查看”－>“选择列”，在弹出的对话框中选择“PID（进程标识符）”，并点击“确定”。

　　找到映象名称为“LSASS.exe”，并且用户名不是“SYSTEM”的一项，记住其PID号。

　　点击“开始”－》“运行”，输入“CMD”，点击“确定”打开命令行控制台。输入“ntsd –c q -p (PID)”，比如我的计算机上就输入“ntsd –c q -p 1464”。

　　二、 删除病毒文件

　　打开“我的电脑”，设置显示所有的隐藏文件、系统文件并显示文件扩展名。删除如下几个文件：

　　C:\Program Files\Common Files\INTEXPLORE.pif、

　　C:\Program Files\Internet Explorer\INTEXPLORE.com、

　　C:\WINDOWS\EXERT.exe、

　　C:\WINDOWS\IO.SYS.BAK、

　　C:\WINDOWS\LSASS.exe、

　　C:\WINDOWS\Debug\DebugProgram.exe、

　　C:\WINDOWS\system32\dxdiag.com、

　　C:\WINDOWS\system32\MSCONFIG.COM、

　　C:\WINDOWS\system32\regedit.com

　　如果硬盘有其他分区，则在其他分区上点击鼠标右键，选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件。

　　三、删除注册表中的其他垃圾信息

　　这个病毒该写的注册表位置相当多，如果不进行修复将会有一些系统功能发生异常。

　　将Windows目录下的“regedit.exe”改名为“regedit.com”并运行，删除以下项目：

　　HKEY_CLASSES_ROOT\WindowFiles、

　　HKEY_CURRENT_USER\Software\VB and VBA Program Settings、

　　HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main下面的 Check_Associations项、

　　HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif、

　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面的ToP项。

　　将HKEY_CLASSES_ROOT\.exe的默认值修改为“exefile”

　　将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”

　　将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command的默认值修改为“C:\Program Files\Internet Explorer\IEXPLORE.EXE”

　　将HKEY_CLASSES_ROOT\ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" %1”

　　将HKEY_CLASSES_ROOT\htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为“"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”

　　将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默认值修改为“IEXPLORE.EXE”。

　　重新将Windows目录下的regedit扩展名改回exe，至此病毒清除成功，注册表修复完毕