[原创]手动删除顽固病毒总结

最近帮同学干掉了一个很厉害的病毒，因此写些经验供中毒之人参考。

工具：首先就是unlock工具，几乎没有删不了的文件；然后是进程查看工具，用来分析病毒行为和路径，推荐IceSword或Process Explorer；接着是autorun工具，分析各种启动项用，也是必备；最后，可能的话，找个专杀，这样可以节省很多事情，恩～～。

分析与查杀：觉得电脑运行变慢或者其他什么问题都要找找原因，特别是看看磁盘根目录下有没有autorun.ini文件，有的话十之八九是中毒了。发现异样就打开进程管理的工具看看都多出了哪些没见过的进程，然后结束它，一般情况下结束了病毒进程它又会恢复运行。通过进程查看软件找到进程所在目录，有些病毒会阻止你访问病毒所在目录，这样就需要一些技巧躲开病毒的探测，一般可以通过任务管理器的新建任务中的浏览按钮找到病毒文件，然后删除它，删除利用unlock就可以了。接着用autorun工具去除病毒的自启动项和有关服务项（如果有的话～～）。最后重启搞定。

技巧总结：首先，在杀毒过程中切记不要双击任何盘，通过资源管理器的左边的树目录来切换。这样可以避免病毒的重新运行。

病毒新招破解：

第一，病毒多个进程互锁，互保护技术。这些技术用来保护病毒文件不被轻易删除，因为在删除其中一个的时候，另一个进程会恢复它，所以必须多个同时删除才行，这样借助unlock可以实现，只要对所有病毒文件进行完删除操作后再重启就可以了。

第二，映像劫持技术。通过这个技术病毒可以使很多程序运行不了，包括所有对它有威胁的软件。因为映像被劫持后，点击运行的不是所点击的程序，而是被修改的映像路径。不过这个技术可以通过修改程序文件名来破解。

第三，无法查看隐藏文件。由于注册表被修改导致无法显示隐藏文件，以达到隐藏病毒的目的。

以下是修复隐藏文件的注册表：

Windows Registry Editor Version 5.00

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
        "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
        "Text"="@shell32.dll,-30501"
        "Type"="radio"
        "CheckedValue"=dword:00000002
        "ValueName"="Hidden"
        "DefaultValue"=dword:00000002
        "HKeyRoot"=dword:80000001
        "HelpID"="shell.hlp#51104"

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
        "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
        "Text"="@shell32.dll,-30500"
        "Type"="radio"
        "CheckedValue"=dword:00000001
        "ValueName"="Hidden"
        "DefaultValue"=dword:00000002
        "HKeyRoot"=dword:80000001
        "HelpID"="shell.hlp#51105"

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
        "Type"="checkbox"
        "Text"="@shell32.dll,-30508"
        "WarningIfNotDefault"="@shell32.dll,-28964"
        "HKeyRoot"=dword:80000001
        "RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
        "ValueName"="ShowSuperHidden"
        "CheckedValue"=dword:00000000
        "UncheckedValue"=dword:00000001
        "DefaultValue"=dword:00000000
        "HelpID"="shell.hlp#51103"

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

        [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
        @=""

目前就这些了，以后发现新的会再添加的。

希望能有所帮助。