找准病毒“落脚点”从系统中剔除病毒

首先，让病毒从目录中消失

我们必须从病毒所在的目录开始。如果病毒像正常软件一样有自己独立的目录，那么我们可以稍微笑一下——这个病毒很弱。查一下目录的创建时间就知道自己是什么时候被感染的，也许就能发现毒从何而来。如果它没有自己单独的目录，而是存在于系统目录中，也比较容易处理。一般这种病毒破坏性不是很大，直接查看其属性就可以获得所有必要的信息。如果你电脑上的每个目录都有，那么Windows自带的文件搜索功能就派上用场了。虽然它到处复制，但是这种病毒只有一个主程序文件，而且都是母的，所以文件大小肯定是一样的。打开文件搜索的高级功能，填写EXE文件类型并输入文件大小，然后按回车键，隐藏在你硬盘每个角落的病毒就会暴露出来。通过创建时间构建排序，您可以找到攻击您机器的第一个病毒。

现在所有的病毒数据文件都摆在你面前，至少是可以攻击你的病毒的主要组成部分，所以请把你发现的任何病毒相关的EXE，DLL，数据全部杀掉，删除。但是不要太过分。至少留下一个EXE作为标本，把它的扩展名改成DAT，用RAR打包。我们以后会用到它。另外，请非常注意不要误删不是病毒的文件，这是致命的错误！处理完硬盘病毒后千万不要重启电脑，这样可能会导致之前所有的努力都白费，因为有些病毒是没那么容易发现的。如果有些病毒不是以EXE的形式出现，而是其他的，比如COM和RAR等。，我们的文件大小搜索方法同样适用。换分机就行了。不过，我还是要告诉你一件不幸的事。目前没有主程序文件大小不一的病毒，不代表以后也不会有。届时，我们只能用关键数据进行匹配和搜索。

第二，对病毒的最后阵地发起总攻

虽然硬盘上的病毒已经被我们根除了，但是更麻烦的事情还在等着我们，要知道负隅顽抗的敌人才是最可怕的。病毒最后的位置在哪里？它无疑就是传说中的注册表。因为系统服务的信息存储在注册表中，所以我将在这一节对服务的内容进行分类。首先要做的是仔细检查你的服务列表，仔细检查每一个没有描述的服务，看是否与你刚刚完成的流程有关。对于中文版Windows的用户来说，找出病毒服务有一定的优势。原因很可笑，就是国外写病毒的程序员不懂中文，所以不用中文描述伪装成系统服务。因此，应该特别注意所有用英语描述的服务。我见过更恶意的病毒。它杀死系统的正常进程，然后将该进程的描述、名称等信息应用于自身。伪装真的是天衣无缝。但最后露出了马脚，其对应的EXE文件完全错误。

当进程是安全的，那么我们可以直接进入注册表。首先，检查系统启动时自动运行的注册表项，看看是否有任何可疑程序。我的经验是，系统启动的时候，基本上没有程序出货。如果它真的想运行，应该放在开始菜单的启动项里。这样不仅安全，也为你查找病毒带来了极大的便利。事实上，长期以来的无数实践证明，删除所有自动启动项对机器没有任何不良影响。系统本身不会把关键的启动程序放在那里，但是对系统运行最关键的其实是服务。但是，当你在这里发现了病毒，不要急着删除键值。你应该录下来，看看它对应的程序有没有被你备案。然后复制所有可能的病毒程序名称，逐一搜索注册表，删除所有找到的匹配项。然而，这仍然是危险的。我强烈建议您在删除之前导出密钥值进行备份。在查杀和扫描完注册表之后，我们终于可以长舒一口气了，因为病毒及其家族成员很可能已经被我们残忍屠杀了。在您再次检查进程列表以确保它是正确的之后，您可以重新启动计算机以查看病毒是否会再次攻击。

第三，真正可怕的对手

还记得上一层提到的寄生在浏览器进程或者系统服务进程的病毒吗？他们理应成为我们最大的敌人。但是，当您清除注册表中隐藏的信息时，在您重新启动机器后，它们中的大多数将不会附加到系统进程中。这时候你可以按照上面的方法把它们清除掉。听起来不是很复杂吧？但是更可怕的病毒还在后面，那就是病毒在运行的时候会监控注册表。一旦发现其在注册表中的注册信息被破坏，会立即恢复，使你对注册表的操作无效。对于这样的病毒，我们只能用一张干净的DOS启动盘来启动机器，然后删除它的程序文件，再开机进入Windows，删除它在注册表中的信息。有朋友会问，为什么不进入安全模式查杀病毒。当然，绝大多数无用的服务和进程是不会在安全模式下启动的，但这对于那些无良的特殊病毒来说是无效的，甚至当他们发现你的机器已经进入安全模式后，会立即发动最后的猛攻，彻底瘫痪你的机器。虽然这样的恶意病毒对于普通朋友来说百年不遇。