[原创］［教程］我教MM玩病毒

不懂破解

文／任我小行（不懂破解的马甲/:017 /:017 ）

首发于＜软件指南＞２００６年７月杂志



     大清早就被电话吵醒，原来是MM打电话给我，说她的电脑中病毒了，
一提这个我就心里有气，因为她每次都是疑神疑鬼的，害的我每次都是真的以
为是病毒那头“大尾巴狼”来了。结果每次去了都发现根本不是中毒，只是操
作不当。也不知道她是故意“玩”我，还是真的不懂是不是病毒来了。
但谁叫她是俺MM了！所以即使她叫我120次，我还会一如既往的去她那里查看电脑。
否则MM生气了，可不是闹的！根据我不完全的统计，我的MM一共不自觉的扮演了
说“狼来的孩子”12次。草草的洗完脸，直接奔向MM的“闺房”，希望这次不要叫我
失望，因为好久没和病毒做斗争了。真是感到没意思啊！有位伟人教导过我们
“与木马斗，与病毒斗，其乐无穷！”
   一路小跑到了后，启动MM机器安装的杀毒软件卡巴斯基挨个文件挨个盘的
一顿狂扫下去，如（图1）。结果才发现根本就没有病毒。后来听MM介绍才知
道，原来我还以为什么大毛病。就是QQ发送消息之时，经常出现空白。经
过我0.02秒的考虑发现是MM的空格键不好使，按下去总是弹不出来，于
是出现给别人发送消息时，QQ窗口会出现大量的空白现象。我当时就晕倒
了！为了使自己以后大清早的能睡个好觉，为了我以后能不这么高兴来而失望
的走。（因为我就喜欢病毒，但是每次都不是病毒啊！）我毅然决定教MM些基
本的辨别病毒，查杀病毒方法。以前不教她，是因为我要以杀毒为理由接
近MM，但现在我再不告诉她的话，就会被她“折磨”死了！
  “那我以后机器出现什么情况我才可以叫你小子来呢？”。MM一脸凶狠加恳
切的问我。“这个嘛！这个嘛！%￥（*……%”。MM做势要打我，我赶快
赔笑，给她解释！如果发现自己的电脑出现无法启动；电脑经常死机；文件无法打开；系统经
常提示内存不足；机器空间不足；电脑运行速度特别慢；键盘、鼠标被锁死；
系统每天增加大量来历不明的文件的一个现象或几个现象时时就要格外注
意了。因为这个时候极有可能是你的机器被病毒给看上并在你的机器里安家了！
“是不是这个时候就可以寻救兵来帮我解决电脑的问题了？”MM再次恳切的看着我
问道。“恩，说对，也不对。这个时候也不一定是真的中毒了，你还要最最后
的排查。”
一.查毒篇
   判断病毒的第一步，就是通过杀毒软件进行扫描，查看机器中是否有病毒的
存在。不过一定要注意下你的杀毒软件的病毒库是不是最新的，如果不是最新的
要升级到最新，否则你就要做无用功了！此外当机器出现上面介绍的异常现象时，
还有个检查是否有病毒的办法是查看硬盘的容量。特别是系统盘的容量大小，
一定要注意观察，因为有些自我复制的病毒会占用硬盘空间的。其次如果对注册表
了解的话查看注册表是个非常不错的办法。部分病毒的运行，需要通过注册表
加载的，如恶意网页病毒都会通过注册表加载，这些病毒，在注册表中的加载
位置如下：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windwos\CurrentVersion\Run]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
\Windwos\CurrentVersionRunOnce]
~~等地。查看注册表中以上几个键值的情况，看一下有没有异常的程序加载。
要想提高判断的准确性，可以把正常运行的机器的这几个键值记录下来，方
便比较！另外有些格外狡猾的病毒隐藏在System.ini、Wini.ini（Win9x/WinME）和启
动组中。在System.ini文件中有一个“Shell=”项，而在Wini.ini文件中有“Load=”、
“Run=”项，这些病毒一般就是在这些项目中加载它们自身的程序的，注意有
时是修改原有的某个程序。我们可以运行msconfig.exe程序来一项一项查看。
    另外最常见的一个办法是查看任务管理器，我们经常会在各大论坛里发现
有人求助如何删除病毒时候。有人会说，查看任务管理器。关闭不名进程的话。
在Windows 2000和Windows XP操作系
统中，点击CTRL+ALT+DEL三个键就可以打开任务管理器，在任务管理器中查看
是否有非法的进程在运行。其次我们辨别有无病毒有效的办法是查看任务管
理器，看看突然间多出来什么奇怪的进程了，如果发现了很多的新面孔的
话，你就要格外留心了，因为那很有可能就是病毒啊！但是如果我们在网吧
上网或者是遇到些厉害病毒就会发现，根本就打不开任务管理器，如（图2）。
因为网吧或者是病毒做了设置。把任务管理器给禁用了。被禁用怎么办？没
关系，我们有款不错的好东西,精锐网吧辅助V5.5，下载并运行，点击“恢
复所有限制并立即生效”。如（图3）。使用它就可以轻松的把任务管理器给
解除禁止了。我们再按那三个键看下效果，如（图4）。任务管理器已经可以
用了。然后要做的就是查看下有没有可疑的进程了！如（图5）有的话就直接给他们关闭了。
但这个办法也不太完善，首先对于一些隐蔽性的病毒，
在任务管理器中根本不显示，所以没办法查出来，其次那就是任务管理器的进程
名没有列出进程的位置，而有些病毒正是钻了这个空子。他们的进程名和正
常的是一样的。如:SVCHOST.EXE，正常的是在system32目录下，非正常的
在Windows目录下，如果只是看任务管理器的进程名的话，根本就区分不出来。
所以有些基础的朋友，建议用ProcessExplorer来查看进程。这个大家可以
在搜索引擎里搜索。而做文本分析的话还是要用杀毒软件。最后对于一些隐蔽性高的病毒，我们通过以上方法无法判断时，可以根据机
器的启动和运行速度进行判断，在保证硬件系统无故障和软件系统运行正常的
情况下，可以基本断定已经感染病毒！
    另外外每一台计算机都有两套天生的病毒警报装置，一套就是机箱上的HDD端口
（硬盘）指示灯。学会观查指示灯状态，听辨硬盘的读盘声是非常重要的。
首先我们要明确的知道我们现在正在机器上做什么，用到的程序是否会大量的
读写硬盘。显然，没有任何一种应用软件在使用的时候会从头到尾不停的读写硬盘（磁盘碎片整理
程序等除外），事实上运行大多数程序时，绝大多数时间硬盘也应该只是
于偶尔闪烁一下的状态，包括听歌、看电影、写文档、上网下载甚至是打游
戏！但如果硬盘灯在不停的闪，并不断的发出“巨大”的响声，而你并没有
进行很复杂的操作，那你的机器就很可能有危险了。排除检测法是很必要
当你发现机器的硬盘不正常的运作，请将所运行的程序一个个的关掉，直到
硬盘工作状态缓和下来。这样就很可能发现原来是某一个程序整在干“坏事
”，不过当你把所有的程序都关掉时硬盘仍然在不停的运作就是令人感到非
常不安的信号，这时您就应该高度的警惕了！另外一套自动警报装置来自于
系统的响应效率。如果你发现你并没有运行什么操作繁杂的程序，但机器
变的很慢，甚至连打开“我的电脑”都要花一些时间的话，我将不幸的告诉
您，您的机器八成是中毒了。效率低也可能分几种情况，比如时不时的顿一
下，或着每次开机需要很长时间等，这都应该引起我们的注意。

二.杀毒篇
    有毒了就要杀掉它，但是作为个日常上网的不可避免的中毒事件。我们
不能随时随地的麻烦别人来帮我们杀毒。所以我们要学会杀毒。最简单的也
是最傻瓜的方法就是在自己的机器上安装一款流行的杀毒软件，这个很傻瓜的，
基本按了后谁都会用的。这里我们就不做过多介绍了。此外有的病毒
无法通过杀毒软件查杀掉的话，我们可以通过手动杀毒来杀。重启电脑按F8进入安全模式。首先开刀的地方是进程，对病毒进程处以Suspend操作而非简单的Kill是非常必要的，因
为挂起后它将不能执行任何计算机指令，对于您的机算机暂时是完全安全的。
经常玩病毒的朋友都知道有的病毒有两个或多个进程，相互守望，当一个被
关掉，另一个马上又会把它启动起来，和您打时间差的游戏。对他们Suspend
可以直接搞定，因为ProcessExplorer可以彻底干掉再生型病毒。

    关闭了其运行的进程我们要做的就是对目录下手。顽固病毒一般存在于计
算机上的每个目录，这个时候我们可以用Windows自带的文件搜索。尽管病毒
复制的到处都是，但这种病毒都只有一个主程序文件，且都是一个娘胎生的，
文件大小必然一致。打开文件搜索的高级功能，填入EXE文件类型并把文件的
大小输入，然后按下回车键，接着藏在您硬盘每个角落的病毒就会被暴露无疑。
把您找到的与任何与病毒相关的EXE、DLL、数据全部删除。在处理完硬盘病毒
后，千万不要重起计算机，那可能会导致前功尽弃，因为有的病毒的正身我
们并不能如此轻易的找到。如果有些病毒不以EXE的身份出现，而是其它的
比如COM、RAR等，我们的文件尺寸搜索法一样适用，换个扩展名就行了。
    第3步要弄的就是病毒的最后阵地--注册表。只有把病毒在注册表窝藏的虾兵蟹将都
清楚干净了，你的系统才是干净的了。首先应该做的事是仔细检查你的服务列
表，仔细核对每一个没有描述的服务，看是否和你刚结束掉的进程有关。当确
保进程是安全的，那我们就可以直接进入注册表了，先检查系统起动时自动运行
的注册项，看有没有可疑的程序。发现病毒时先不要急于删除键值，
将它先记录下来，看看它对应的程序是否已被你备案。然后将病毒程序可能
的名字都复制下来，逐个在注册表中搜索，把找到的所有的匹配项全部删掉。不
过这样做还是有一定的危险性，强烈建议大家在删除前导出键值以做备份。当
这些都完后，我们再次检查进程列表确保无误后，就可以重起计算机了。看看
病毒是否会再次发作了。十有八九的病毒一般都会这个办法都会彻底删除
掉的。
     都做完了，还有件事情就是不要忘了删除病毒文件了。 建议用
ha-killbox 。KillBox 实质是一个删除任意文件的利器，它不管这个文件
是EXE还是DLL等其它文件，也不管这个文件是正在运行中，还是被系统调
用了，KillBox 都可以简单几步就将文件删除。最好感谢本文写作过程中，一位
杀毒强人的友情提供技术支持，这里表示十分的感谢。另外欢迎和大家一起
去我们的指南论坛交流，探讨！
附件

[ 本帖最后由 不懂破解 于 2007-11-4 21:37 编辑 ]

笨鸟我先飞

不知道那个MM在哪里/:014

liuxy

我也来学了,谢谢!

风﹋﹌

呵呵..对于杀毒楼主挺专业的....

风﹋﹌

这篇文章早上的时候在那里看到过..

magpig

mm用电脑 出了问题的确十分麻烦

不懂破解

原帖由 风﹋﹌ 于 2007-11-4 15:50 发表
这篇文章早上的时候在那里看到过..

萧心或者是番茄花园
别的地方没在网络发过

JOHN

邪恶，哪来正义，反病毒厂家应该感谢这些制造者，个人怀疑是否会出现厂商自产自杀的情况

fwtfd

简单有效的病毒处理

fuzhanghua

呵呵,,,怎么就没教GG玩病毒啊哈哈