1.打開CMD.輸入命令tasklist回車查看一下..果然發現了這個進程:svohost.exe(雖然他禁用了任務管理器,但在CMD下用tasklist命令還是可以查看到進程信息的)
2.關了他.輸入命令taskkill /f /im svohost.exe
提示成功.
3.搜索svohost.exe這個文件(把搜索隱藏文件也勾上)搜索到后刪除!似乎有兩個.一個是完全大寫的.一個是完全小寫的.事實上還有一個程序叫lsasa.exe的也得刪除.他模仿的是WINDOWS的正常進程lsass.exe.
4.本以為沒問題了.后來還發現一個問題.他還修改了注冊表的一處,使文件夾選項中對隱藏文件的設置始終為"不顯示隱藏文件",這么做的主要目的在于讓你在WINDOWS環境下找不到被設定隱藏屬性的病毒源文件.但這里還有幾種手段可以找到他.1.用WINDOWS的搜索.只要在高級選項里把"搜索隱藏的文件和文件夾"勾上就可以找到了.2.在命令提示符里用dir /a命令也可以查看到.麻煩一點罷了.由于WINDOWS和SYSTEM32目錄下文件太多.用dir命令的時候.最好再加一個參數.dir /a /p這樣會更好.
我們到注冊表里去把他改回正常狀態.
v打開注冊表.找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL這個鍵.看右邊.找到一個CheckedValue的值.我注意到這個該死的病毒居然把他改成了字符串值.如果你不小心的話.也許會認為改了也沒用.把這個值刪除.重建一個DWORD的值為CheckedValue.把他的值設為1.
基本搞定了.一開始我只是想弄明白他是怎樣一個原理.其實.相信大家也應該看出來了.如果你的殺毒軟件病毒庫夠新的話.都能把病毒源程序殺掉的.你所需要做的只是修復注冊表中的相關項.這里也提供了一個DIY解決問題的思路.也許病毒源文件并不一樣.大家按照實際情況.按照上面的方法操作.
友情提示一下:在QQ上發過來的文件.不經過確認可不要隨意亂點.沒準一不小心就中招了.
PS:一些不得不說的話:我發現有很多人誤會我的意思了`
這篇文章只是想告訴大家一種方法。我發現有很多網友卻依葫蘆畫瓢,去電腦里搜索svohost.exe和lsasa.exe,其實病毒有很多種,源文件也是千變萬化的,不能認死理,重要的是方法。只要有病毒運行,那么一定是有病毒進程的`我想現在還不多見隱藏進程的病毒吧~仔細觀察,總能發現源文件的~也許是跟系統文件名稱一樣但路徑不同~例如在不同路徑下有的svchost.exe,rundll32.exe等~
對于一般的網友而言,最好是用強力的殺毒軟件來殺。
至于手動清除的話。我們也有很多方式可以查的~一般的病毒,都會設置為自啟動~那么,大家可以到注冊表里一些可以啟動的地方去找一找。如RUN,SHELL等~相關文章大家可以上網去找一找,有些病毒會注冊服務,以服務的形式啟動~大家可以打開services.msc來查看。
很多病毒喜歡偽照服務進程。這里我以查進程中的svchost.exe有無可疑為例~
在CMD里輸入命令:tasklist /svc回車~可以看到svchost.exe的進程代表的服務。
大家可以看到,有四個svchost.exe,那么,我們在tasklist下面看是幾個呢?
也是四個~證明這四個svchost.exe都是正常的(服務態加載的病毒除外)
如果在上面那幅圖出現了5個svchost.exe呢?這意味著。那個多余的svchost.exe肯定是有問題的。那么我們可以在C盤搜索一下svchost.exe看到底有幾個,非system32目錄下的svchost.exe一定是病毒~
大家可以先把所有的應用程序,一些認識的除系統進程外的后臺程序通通都關了,縮小查找的范圍,這需要的就是經驗。
其實WINDOWS提供了很多的小工具幫你解決問題,如系統信息查詢工具,msconfig,servicse.msc,tasklist.exe等等小工具,只要用好了這些小工具,我想將病毒除去也不是什么太大的難事!
還是建議大家能安裝一個好一點的殺軟。如果嫌麻煩的話,但我認為,能自己親手把病毒干掉。是一件很值得快樂的事情
推薦大家使用longhorn的任務管理器!longhorn的任務管理器可以在進程中直接點右鍵選擇打開該應用程序所在的文件夾,這對于查病毒是非常有用的~對于禁用了任務管理器的用戶可以使用第三方的任務管理器,如WINDOWS優化大師自帶的進程管理就不錯,可以直接看到應用程序的路徑,節省了大把的時間。
