文章我认为可能会有问题，希望高手多多指教，我会在春节前把文章更新好，并且会发布完整版。届时将

有我整理的一些进程、服务等等，需要经验来说明的东西，目的都是为了新手和想学习的人，希望这些经
验 可以 帮助 大家 ，可 以在 论坛 里 面 和 我 交 流 也 可 以 发 邮 件 。 总 之 谢 谢 大 家 。

此文章所有软件都已配合了使用方法，请大家注意，写完所有使用方法后，我将重新整理细化此文章：
SREng （ System Repair Engineer ） 的 使 用 方 法 ： http://blog.sina.com.cn/u/56b232db010007my
冰 刃 （ IceSword ） 的 使 用 方 法 （ 基 础 篇 ） ： http://blog.sina.com.cn/u/56b232db010007xt
冰 刃 （ IceSword ） 的 使 用 方 法 （ 高 级 篇 ） ： http://blog.sina.com.cn/u/56b232db01000841
注 ： 高 级 篇 刚 刚 开 始 写 ， 请 耐 心 等 待 。
我 的 blog 地 址 ： http://blog.sina.com.cn/ufovirus
文 章 在 卡 卡 中 的 对 应 位 置 ：
SREng （ System Repair Engineer ） 的 使 用 方 法 ： http://forum.ikaka.com/topic.asp?board=28&artid=8270267
冰 刃 （ IceSword ） 的 使 用 方 法 （ 基 础 篇 ） ： http://forum.ikaka.com/topic.asp?board=28&artid=8283980

在对新手说一句，不管什么病毒，请先贴日志，让大家了解你计算机后，才能对症下药。解决你的问题

手 工 检 测 未 知 病 毒
作 者 ： UFO& 不 幸 外 人 （ 转 载 请 注 明 ）
近期，可能是因为春节的来临，也可能是因为病毒作者耐不住寂寞，纷纷发表新的病毒，年底的“熊猫烧
香”，去年的“威金”等等大型蠕虫病毒，给我带来的很多麻烦，我们应该如何对付这些病毒呢？我们要
增强我们自己的防病毒意识。虽然现在杀毒软件做的非常不错，但对某些病毒的更新速度还需要改善，这
就 需 要 我 们 来 自 己 动 手 检 测 未 知 病 毒 。

说到检测未知病毒，对于新手来说，可能很困难，经过这个文章可以让你完整了解病毒的检测和删除过程 ，
加上自己努力学习和实践，就可以实现自己手工杀毒。好了废话就说这么多，我们来看看如何检测未知病
毒 。

第 一 ， 全 面 检 测 计 算 机 。
对于新手，手动全面检测计算机是非常困难的，因为需要打开注册表，一项一项去检查，那我们就使用简
单 的 方 法 — — 运 用 SRE 这 个 软 件 ， SRE 全 名 System Repair Engineer ， 下 载 地 址 ：
http://www4.skycn.com/soft/23312.html。打开软件后，点击软件左边的智能扫描，再点击“扫描”，就可以
对 计 算 机 进 行 较 为 全 面 的 扫 描 了 。

对 于 不 想 自 己 分 析 的 新 手 ， 请 把 日 志 贴 到 论 坛 上 ， 会 有 人 帮 你 解 决 。

第 二 ， 分 析 扫 描 日 志
这个是最关键的一步，对于很多新手，选择来论坛发布日志，让有经验的高手来分析，这样省时省力，但
是如果大家学会分析日志，那么就可以有更多的人帮助新来的人，减少版主和论坛高人的劳动。分析日志
学习起来很难，因为需要不断积累经验，在这里只介绍简单的方法（若有更好的方法，希望论坛或者邮件
进 行 讨 论 ） 。

1 、 了 解 日 志
SRE 日志分别扫描了注册表启动项、启动文件夹、服务、驱动、浏览器加载项、进程、文件关联、Winsock 提供
者 、 autorun.inf 、 HOSTS 文 件 、 API HOOK 。 我 会 重 点 介 绍 一 些 检 测 时 常 用 的 项 目

2 、 看 进 程
看进程，看什么呢？看的就是，是否有除系统基本进程和软件产生进程外的其他进程，尤其注意进程路径
是 c:\windows\和 C:\windows\system32\下的文件，可能有些新手不知道那些是系统基本进程，那些是软件
安装的进程，这就是需要经验积累的地方， 为了方便新手了解进程，我做了一个表一 。
对于系统进程加载的 DLL，这个需要具体分析，很多盗号木马运用了这个方式，那就要经过下面三步去
完 善 。

3 、 看 启 动 项 （ 包 括 注 册 表 启 动 项 、 启 动 文 件 夹 、 服 务 、 驱 动 ）
看了进程以后，对那些是可疑文件有了一定了解后，就可以来看启动项目。 SRE 这个日志非常适合新手使
用，因为它已经在服务和驱动这两个地方把微软签名的启动项隐藏，对于服务，驱动需要经验才能动，下
面我一项一项的介绍。

注 册 表 启 动 项
在 SRE 里面，这册表启动项包括了 Winlogon 启动，普通注册表启动等等多个项目。这个只能看下我在虚拟
机下面刚安装一版 SP2 的 Windows XP 的日志了，当然因为每一种系统（盗版方式不同或者正版等等）不
同 ， 可 能 扫 描 出 来 的 不 仅 相 同 ， 剩 下 的 需 要 大 家 经 验 积 累 。
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Corporation] （ 启 动 输 入 法 ）
超 级 兔 子 、 MSN Messenger 等 通 过 此 项 目 启 动
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>
[(Verified)Microsoft Corporation] （ 微 软 输 入 法 启 动 项 ）
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>
[(Verified)Microsoft Corporation] （ 微 软 输 入 法 启 动 项 ）
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [(Verified)Microsoft
Corporation] （ 微 软 输 入 法 启 动 项 ）
暴风影音、NVIDIA 显卡、声卡、超级解霸、瑞星杀毒软件、瑞星个人防火墙、卡卡上网助手、金山毒霸、江民杀
毒 软 件 、 Emule 、 金 山 词 霸 、 Nero 、 Real 系 列 、 酷 狗 等 通 过 此 项 目 启 动
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Corporation] （Winlogon 启动项，逗号
后 面 若 有 东 西 90% 是 病 毒 ）
<UIHost><logonui.exe> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> [N/A] （ 初 始 化 动 态 链 接 库 ， 若 这 里 面 有 东 西 90% 是 病 毒 ）
以 上 只 进 行 了 概 述 ， 具 体 请 看 下 面 回 复 的 表 二

启 动 文 件 夹
这个最好看，只有部分软件修改这里，典型的比如 QQ 的启动项、OFFICE 的工具栏启动项。这个利用的病
毒也很少，早期的“比肩社区”（在桌面呈现比肩社区介绍）就利用。需要耐心检查。

服 务
这个比较好看，第一看服务名称后面的状态， SRE 日志扫描后的格式为（最新版本） [服务名称][当前运行
状态 / 启动状态 ] ，其中当前运行状态是表示扫描的时候计算机是否运行了此服务， Running 表示运行、
Stopped 表示没有运行；启动状态，表示此服务是如何启动， Auto Start 表示自动，Disabled 表示已禁用，
Manual Start 表示手动启动。其中重点看 Running 和 Auto Start 的项目，如果此项目和你安装的软件和驱动
程序无关，那就可能是病毒。

4 、 对 比
对比所有可疑启动项目和所有可疑进程，是否可以一一对应，如果不可以，那么就要看是哪里出现的问题 ，
就对那里进行进一步的研究。看看是否是因为病毒的运行方式或者保护方式问题，或者有其他病毒的存在。
当 然 ， 原 因 不 只 这 一 些 ， 还 是 需 要 大 家 积 累 经 验 。 实 践 是 根 本 。

5 、 看 其 余 项 目
第一个要看的就是 autorun.inf 这个项目，如果某个盘有此文件，或者每个盘都有，那么就说明你的计算机
中了病毒，处理方法很多，这里介绍几种。当然处理的时候，要保证系统中没有病毒运行了。

第一种：利用 WinRAR。具体方法：打开所感染的硬盘，删除对应文件。说明不会感染计算机，方便实用。

第二种：利用资源管理器。具体方法：在打开显示隐藏文件和系统文件的前提下，利用资源管理器，在资
源管理器左面选择感染的盘符，右面删除对应文件。说明对于某些病毒又感染的危险。

第 三 种 ： 利 用 命 令 提 示 符 。 具 体 方 法 利 用 了 DOS 命 令 ， 具 体 命 令 如 下 ：
Attrib –s –h –r –a X:\autorun.inf
Attrib –s –h –r –a X:\ 对 应 启 动 文 件 （ EXE 或 者 PIF ）
Del X:\autorun.inf
Del X:\ 对 应 启 动 文 件 （ EXE 或 者 PIF ）
其 中 X 代 表 感 染 的 盘 符 。
说 明 可 以 删 除 彻 底 ， 需 要 懂 一 些 DOS 命 令 和 CMD 的 使 用 方 法 。

第四种：利用冰刃。具体方法打开冰刃后，点击下面的文件，后面的处理如同资源管理器。说明删除彻底，
建 议 新 手 使 用 。

第二个要看的就是 HOSTS 文件，这里的看法是按照行，日志前面写的是网址对应的 DNS 解析的 IP 地址，

如果所有 IP 地址都是同一个，或者和其他计算机解析的 IP 地址不同，那么就有问题，最主要的还是同一
个 或 者 同 为 127.0.0.1 。 处 理 方 法 很 简 单 ， 利 用 记 事 本 打 开 Host 这 个 文 件 ， 路 经 在
C:\WINDOWS\system32\drivers\etc ， 这 个 处 理 最 好 是 在 病 毒 删 除 以 后 。

第 三 ， 处 理 所 有 可 疑 文 件 （ 清 除 病 毒 文 件 ）

这个是最关键的一步，这一步就要删除病毒了，看到论坛以前有人光用 SRE 这类日志扫描程序删除，就

非常气愤，因为这个程序无法完全解决问题。现在先来说明一下原因，第一，若病毒运行，病毒会不时的
自动检测启动项是否被修改，你用 SRE 删除以后，病毒会立刻检测到，自动添加，当重新启动的时候就
会重新回来，解决方法倒是有一个，这个可以在安全模式下进行，但是有部分病毒在安全模式下照样会运
行，下一点就说明了这个。第二，有很多病毒选择了 Winlogon 启动或者初始化动态链接库启动再或者驱动
启动，这三类启动有一个共同特点，就是病毒在安全模式下也会运行，那么 SRE 对其根本没有效果。那我
们 怎 么 进 行 处 理 呢 ， 最 可 靠 的 方 法 还 是 使 用 冰 刃 （ IceSword ） 。

当然也有一点冰刃不是全能的，现在有病毒以进程来结束冰刃，以后会怎么样，《黑客防线》曾经有一篇文
章 就 是 专 门 介 绍 冰 刃 的 漏 洞 ， 利 用 这 个 漏 洞 ， 病 毒 可 以 结 束 掉 冰 刃 。
废话就说以上这么多，看看具体处理方法吧。冰刃在杀毒的时候需要做一个预处理，点击上方文件下的设
置 ， 选 中 禁 止 线 程 创 建 。 然 后 就 可 以 做 下 面 的 处 理 了

删 除 方 法 ：
第一种情况，有确实的 EXE 进程。打开冰刃后，点击进程，结束此可疑进程，这样此进程不会创建，按照
上面对比后的结果，如果是注册表中的，在冰刃下面可以看到注册表，直接进行修改，注意一点就是
<AppInit_DLLs><>项目需要双击打开编辑框清空，其它的直接找到对应键值删除即可；如果是服务启动 ，
在冰刃下进入服务，找到启动服务，点右键，改为已禁用即可；如果是驱动启动，可以打开注册表进入
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 找到对应的删除即可，也可以使用 SRE 进
行 删 除 。 最 后 运 用 冰 刃 强 制 删 除 文 件 后 杀 毒 结 束 。

第二种情况，无确定的 EXE 进程，现在很多木马喜欢用 DLL 潜入方式，比如江湖木马，征途木马，这些

木马对应的启动项目是一个 EXE 文件，而最终起作用的是一个潜入进程的 DLL，找此 DLL 的方法也是有
经验的。此病毒删除方法就是先处理 EXE 文件，打开冰刃，进入对应启动项，按照第一种情况所说方法先
删除启动项。然后强制删除对应文件，最后强制删除 DLL 文件重新启动后即可完成杀毒，如果找不到对应
的 DLL ， 不 删 除 也 可 以 ， 此 DLL 会 成 为 系 统 垃 圾 ， 放 在 它 该 存 在 的 位 置 ， 而 不 在 产 生 作 用 。

第三种情况，也是最难处理的一种情况，现象就是杀毒软件报告病毒，但是无法从日志中找到任何病毒踪
迹，这里要先启动冰刃，在进程、内核程序、启动组和服务中进行一次彻底查找（后面对次问题有解释），
如果还是没有，就属于这种情况。此情况删除及其复杂。可以用冰刃强制删除对应文件（若杀毒软件以成功
删除就不用做这一步），并且打开我的电脑，找到对应位置，建立一个同名的文件夹（包括扩展名），这
样病毒将不会再产生，然后运用 Filemon 这个文件监控软件，进行监控，在监控过程中，逐一运行软件，
看看那个软件要创建前面用冰刃或者杀毒软件删除的文件，找到后，删除此软件里面的所有文件重新安装 ，
即可。

第 四 ， 清 除 后 遗 症

病 毒 后 遗 症 ， 论 坛 上 经 常 会 有 此 类 帖 子 出 现 ， 我 一 项 一 项 分 别 来 说 。

1 、 EXE 文 件 不 能 正 常 运 行
有 的 时 候 病 毒 删 除 了 ， EXE 文 件 还 无 法 运 行 ， 那 怎 么 办 呢 ， 介 绍 几 种 方 法

第一种方法：最简单的方法，打开我的电脑，选择工具——文件夹选项——文件类型，点击新建，文件扩
展 名 输 入 .exe （ 注 意 小 数 点 ） ， 然 后 点 击 高 级 ， 选 择 应 用 程 序 就 可 以 了 。

第 二 种 方 法 ： 利 用 修 复 软 件 ， 如 我 们 上 面 提 到 的 SRE 、 超 级 兔 子 等 等 。
第三种方法：直接修改注册表。打开冰刃，进入注册表。找到 HKEY_CLASSES_ROOT\.exe 查看其下面的
（ 默 认 ） 是 不 是 为 exefile ， 不 是 则 修 改 为 exefile 。 然 后 ， 打 开
HKEY_CLASSES_ROOT\exefile\shell\open\command 检 查 （ 默 认 ） 是 否 为 "%1" %* ， 不 是 则 修 改 。

第四种方法：把下面的语句复制下来放在 reg 文件里面（建立记事本文件，修改扩展名为 .reg），双击运

行 导 入 注 册 表 中 ， 就 可 以 打 开 EXE 文 件 。
REGEDIT4
（ 空 一 行 ）
[HKEY_CLASSES_ROOT\.exe]
@="exefile"
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@=""%1" %*"

第五种方法：可以说这种方法比较万能，就是用命令提示符，但是因为测试过程中有问题，现在无法给出
具 体 方 法 。

2 、 无 法 显 示 隐 藏 文 件
这 个 也 是 常 见 的 病 毒 后 遗 症 。 和 上 面 一 样 ， 同 样 介 绍 一 些 方 法 。

第一种方法：把下面的语句复制下来放在 reg 文件里面（建立记事本文件，修改扩展名为 .reg），双击运

行 导 入 注 册 表 中 ， 问 题 即 可 解 决 。
REGEDIT4
（ 空 一 行 ）
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidde
n\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

第二种方法：可以说这种方法比较万能，就是用命令提示符，但是因为测试过程中有问题，现在无法给出
具 体 方 法 。

3 、 对 开 机 无 法 找 到 文 件 提 示 的 处 理
这个是一般用杀毒软件杀毒后出现的后遗症，按照第二里面的检查启动项查看是那个启动项出了问题，就
可 以 了 。

对于以上部分命令提示符的方法，我会尽快测试找到一个较万能的解决方法。
以上只叙述了一般的检测清除未知病毒的方法，但是此方法并不对任何病毒使用，每一位高手都会有自己
特殊的方法对付顽固的病毒，我在这里献丑了，把我对付顽固病毒的经验写一写。对付病毒还要对症下药 ，
所以我从两个方面写，就是病毒运行和病毒保护，了解这两个方面，才能对症下药，对每一种病毒进行删
除 。

第 五 ， 介 绍 病 毒 运 行 方 法 及 其 对 策

1 、 EXE 文 件 运 行
这个是早期的，也是最简单的病毒运行方法，就是在启动项里面加入一个 EXE 文件运行的项目，从而达
到 病 毒 文 件 运 行 的 目 的 ， 比 如 ： 密 西 木 马 在 注 册 表 启 动 项 里 面 加 入 这 么 项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ToP:
"C:\WINDOWS\LSASS.exe"，达到运行 C:\WINDOWS\LSASS.exe 文件的目的，这样的运行方式在任务管
理 器 中 可 以 看 见 进 程 （ 病 毒 自 身 做 了 保 护 的 除 外 ） 。
至于这样的病毒清除起来非常简单，按照上面说的第一种情况就可以了——结束进程，删除启动项，删除
文 件 。

2 、 DLL 嵌 入 （ 直 接 嵌 入 ）
DLL 嵌入分为两种，我们先说直接嵌入，大家都知道 DLL 文件是动态链接库，这类文件必须经过
c:\windows\system32\rundll32.exe 解释后才可以运行。在进程中只显示一个 rundll32.exe 的进程，这样直接在
注册表启动项目里面添加一个键值为“ c:\windows\system32\rundll32.exe 病毒 DLL 位置”的项就可以运行
了 。 因 为 这 种 运 行 方 式 可 以 发 现 病 毒 进 程 ， 所 以 就 有 了 嵌 入 Explorer.exe 的 ， 在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 中 建 立 ，
就可以隐藏在 Explorer.exe 里面启动。当然除了这几种方式，还有好多种可以嵌入系统 EXE 文件的方式，
这 样 就 加 大 了 我 们 的 检 查 难 度 。
对于这样的病毒，我们一般可以看 SRE 日志中的 DLL 加载项目，注意 c:\windows\和 c:\windows\system32\
两个文件夹的文件，经过经验积累来判断是否是病毒。我的经验有几点，第一，按启动项判断，很多加载
DLL 的启动项比较独特，而且按照上面的叙述有明显的特征；第二，若一个 DLL 文件被多个进程启动，
50%是病毒（这个概率较低，我原来犯错误就是认为这个概率应该很高）；第三，看文件数字签名，SRE
后面附带了数字签名，若签名为 N/A，50%是病毒，有特殊的软件（一般为小软件或者个人开发的）不带
签名。这类病毒删除起来也相对容易，直接用冰刃强制删除 DLL 文件，并且删除对应的启动项目就可以了

3 、 DLL 嵌 入 （ 间 接 嵌 入 ）

我们再来看看这个间接嵌入，说它间接是因为病毒使用 EXE 文件作跳板来嵌入 EXE 文件。这类病毒很多，

比如征途木马（Trojan.PSW.ZhengTu.*）的部分变种、Trojan.PSW.WSGame 等等，这些病毒如果试验，有
一 个 特 点 ， 其 EXE 文 件 会 在 运 行 后 删 除 。
这个运行方式比较复杂，EXE 文件会干以下几件事情：释放要嵌入的 DLL、运行 DLL（执行嵌入）、建立
自身以供下一次运行、建立启动项指向自身、删除自身（顺叙就不知道了，没有试验）。完成运行过程后，
EXE 文 件 和 DLL 文 件 都 会 保 住 ， 且 病 毒 也 会 正 常 运 行 。
删除方式很简单，就是首先查看启动项，掌握启动的 EXE，然后把此 EXE 文件复制出来，可以用虚拟机
（ VMware Workstation）进行运行，估计新手没有这种条件，可以使用 filemon 监视，看看运行此文件创
建 或 者 读 写 了 那 一 个 DLL 文 件 ， 用 冰 刃 删 除 启 动 项 和 对 应 EXE 、 DLL 文 件 ， 病 毒 解 决 。
4 、 多 点 运 行 及 保 护
这 是 最 复 杂 的 ， 我 手 头 里 面 的 试 验 过 的 典 型 病 毒 是 Trojan.Agent.afz 和 密 西 木 马 （ 落 雪 、
Trojan.PSW.Misc.* ）病毒，而这种类型最为普遍，比如现在流行的威金（ Worm.Viking.* ）、熊猫烧香
（Worm.Nimaya.*）。这种类型的病毒有着多边的特点，它不只是自己的保护非常到位，而且还释放了其
他文件。这种类型的病毒就需要老手经过经验来处理，对于新手来说可能就非常棘手，那么怎么办呢？
提出以下几点建议，认真学习下面的保护方法介绍，因为此种类型病毒具有多种保护于一身，所以要先去
除内存中的病毒后去除保护，否则病毒可能会卷土重来，但是去除保护。

第 六 ， 介 绍 某 些 病 毒 的 保 护 方 法 及 其 对 策

1 、 隐 藏 文 件
这个最简单的一种，对于初级菜鸟特别有用，理论我不说大家也应该知道。只不过论坛有些人喊找不到文
件的时候，我还以为预见了自身保护型病毒，结果就是此原因，让我郁闷半天。
解 决 方 法 ：
打开我的电脑，点击工具——文件夹选项——查看，选择显示所有文件和文件夹，而且要去除“隐藏受保
护的操作系统文件（推荐）”项目前面的对勾，如果无用，请看病毒后遗症，里面有具体解决方法。

2 、 EXE 文 件 关 联
典 型 病 毒 ： 密 西 木 马 （ 落 雪 、 Trojan.PSW.Misc.* ）
具体现象：清除病毒后，点击任何 EXE 文件，一定是任何，不是单一的病毒都会死灰复燃，且注册表项
HKEY_CLASSES_ROOT\exefile\shell\open\command 和 HKEY_CLASSES_ROOT\.exe 被修改（具体默认值
参 看 清 除 病 毒 后 遗 症 ） 。
解 决 方 法 ： 参 看 清 除 病 毒 后 遗 症
说明：此种保护方法比较厉害，但是很容易被发现，要和下面的第 4 项区分开来，现象差不多，但是处理
方 法 不 一 样

3 、 autorun.inf 保 护
典 型 病 毒 ： 熊 猫 烧 香 （ Worm.Nimaya.* ） 、 U 盘 破 坏 者 （ Worm.vb.hy ） 等 等
具体现象：在分区根目录或者移动硬盘、MP3、U 盘根目录产生 autorun.inf 和一个病毒文件，达到传播病毒
和 保 护 病 毒 的 作 用 。
解 决 方 法 ： 参 看 第 二 中 的 第 五 项
说明：一种常见的保护方法，应用也非常普遍，也有一种防护措施，参看第七的第一项。这种保护防止一
些 菜 鸟 重 新 安 装 系 统 来 清 除 病 毒 ， 若 重新安装系统后又运行带有此文件的分区，病毒会立马出现

4 、 文 件 保 护
典 型 病 毒 ： 威 金 （ Worm.Viking.* ） 、 熊 猫 烧 香 （ Worm.Nimaya.* ） 、 过 去 的 劳 拉 、 CIH
具体想象：某一类文件被修改，在文件头或者文件的尾部加上病毒代码，以便日后运行此文件的时候释放
病毒，达到病毒传播和保护的目的，而且一般被修改的文件图标也会被修改。
解决办法：少量文件高手可以自行解决，对于新手来说可以利用专杀、杀毒软件等清除代码
说明：最棘手的保护之一，删除非常困难。最可怕就是大量 EXE 文件被修改，数据丢失而且无法回复。

5 、 IE 浏 览 器 保 护
就 是 利 用 桌 面 上 的 IE 图 标 ， 桌 面 上 的 IE 图 标 是 通 过 注 册 表 的
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\的（默认）项
来 控 制 的 ， 这 里 面 的 键 值 ， 就 是 双 击 桌 面 IE 的 连 接 。
解 决 方 法 ：
第 一 种 方 法 ： 打 开 注 册 表 编 辑 器 （ c:\windows\regedit.exe ） ， 直 接 找 到
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command\项目，修改默
认 为 "C:\Program Files\Internet Explorer\iexplore.exe" %1 即 可 。
第 二 种 方 法 ： 编 辑 记 事 本 文 件 ， 导 入 注 册 表 即 可 ， 内 容 如 下 ：
REGEDIT4
（ 空 一 行 ）
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Applications\iexplore.exe\shell\open\command]
@=” "C:\Program Files\Internet Explorer\iexplore.exe" %1”

6 、 应 用 软 件 保 护
这个最开始是被 QQ 盗号程序利用，病毒修改 QQ 安装文件夹里面的一个文件，让 QQ 启动后会自动检查
病 毒 是 否 存 在 ， 如 果 不 存 在 就 会 恢 复 ， 比 如 Trojan.Clicker.Agent.* 的 部 分 变 种 就 有 这 个 特 性 。
解 决 方 法 ： 参 看 第 三 项 里 面 的 第 三 种 情 况

7 、 自 身 保 护 自 身
这个是最难处理的一种，有少量病毒，如 Trojan.Agent.bfm、Trojan.EliteBar.*就是这一种，如果病毒进程在
运行，那么此病毒的文件、注册表添加项、进程等明显部分都被隐藏了，利用多种软件无法查看（Windows
基 本 软 件 、 SRE 、 HJ 、 瑞 星 听 诊 器 等 ） ， 我 用 的 软 件 只 有 冰 刃 可 以 看 到 这 些 进 程 等 内 容 。
处理方法：利用冰刃，查看启动组、进程、服务是否有可疑项目，尤其是进程，然后按照第一种情况删除。

8 、 多 进 程 木 马
这 个 早 年 就 有 ， 一 个 病 毒 进 程 ， 一 个 保 护 进 程 ， 非 常 简 单 。

9 、 COM 文 件 的 保 护
这种保护不容易发现，主要就是在 windows 文件夹下建立一个与某文件同名的.com 文件。比如：regedit.exe
是注册表编辑器，那么病毒就建立一个 regedit.com，一般人利用 windows 里面的运行功能来执行这个文件，
仅 输 入 regedit ， 那 么 就 会 运 行 病 毒 。
处理方法：删除病毒后，删除那个保护文件即可。

第 七 ， 简 单 防 护 方 法
本 来 我 无 意 去 写 防 护 ， 毕 竟 对 于 防 护 来 说 ， 每 一 位 高 手 都 有 自 己 的 防 护 方 法 ， 比 如 baohe 选 择 了
SSM、Tiny 等软件，包括杀毒软件，虽然是卡卡论坛，但是也包括了瑞星、金山、江民、卡巴、诺顿等多款杀
毒 软 件 的 用 户 ， 所 以 写 防 护 真 的 很 难 。
我使用瑞星杀毒软件，因为它的服务态度是比较好的，防火墙和杀毒功能等方面综合起来是国内最好的
（病毒库另说，我认为防火墙功能江民做的非常出色）。废话就这么多吧，不同人有不同理论，以上只是
我 个 人 意 见 ， 不 要 因 为 这 个 吵 起 来 。

1 、 防 护 autorun.inf
在清除 autorun.inf 后，在分区根目录或者 U 盘、移动硬盘、MP3 的根目录建立一个 autorun.inf 的文件夹，属
性 为 只 读 、 隐 藏 ， 有 能 力 的 可 以 加 上 系 统 属 性 。
2 、 浏 览 网 页 时 候 的 防 护
浏 览 网 页 时 候 尽 量 在 大 网 站 留 言 ， 不 要使用 baidu 、 google 进行搜索，尤其软件、游戏外挂等等。
有 能 力 的 可 以 运 行 虚 拟 机 和 影 子 系 统 ， 来 达 到 防 护 的 目 的

3 、 下 载 文 件 的 防 护
下载后的文件，在运行前一定要看图标、文件大小，并用杀毒软件进行查毒。下面介绍一个软件 Universal
Extractor，一款不错的解压缩软件，有些人该问了， WinRAR 不就可以么？我介绍的这款软件可以解 EXE
文 件 ， 还 能 脱 一 些 壳 ， 一 般 的 安 装 程 序都能解开，看里面的文件是否有异样，也可以辨别病毒。

4 、 注 册 表 防 护
经常备份注册表，保护好关键注册表项，也就是各个注册表启动项，有能力的用户可以运用一些注册表监
视程序。对于新手，瑞星的注册表监控在上网的时候弹出，一定要点拒绝修改，而且要立马手工检查病毒。

5 、 文 件 保 护
尽 量 可 以 进 行 文 件 监 控 ， 比 如 SSM 等 。
对于 4、5，我再推荐一款软件 RegShot，这款软件进行前后扫描，然后对比，来反映修改，如果你上网浏
览网页，比如查资料，要经常进入小网站，就可以在浏览前作一次扫描，浏览后作一次扫描，就可以看到
你 浏 览 时 计 算 机 对 注 册 表 和 文 件 的 添 加 、 删 除 、 修 改 。

6、细心观察