学习如何手工检测电脑病毒

　　引:文章我认为可能会有问题，希望高手多多指教，我会在春节前把文章更新好，并且会发布完整版。届时将有我整理的一些进程、服务等等，需要经验来说明的东西，目的都是为了新手和想学习的人，希望这些经验可以帮助大家，

　　文章我认为可能会有问题，希望高手多多指教，我会在春节前把文章更新好，并且会发布完整版。届时将有我整理的一些进程、服务等等，需要经验来说明的东西，目的都是为了新手和想学习的人，希望这些经验可以帮助大家，可以在论坛里面和我交流也可以发邮件。总之谢谢大家。

　　在对新手说一句，不管什么病毒，请先贴日志，让大家了解你计算机后，才能对症下药，解决你的问题。

　　近期，病毒作者耐不住寂寞，纷纷发表新的病毒，年底的“熊猫烧香”，去年的“威金”等等大型蠕虫病毒，给我带来的很多麻烦，我们应该如何对付这些病毒呢?我们要增强我们自己的防病毒意识。虽然现在杀毒软件做的非常不错，但对某些病毒的更新速度还需要改善，这就需要我们来自己动手检测未知病毒。

　　说到检测未知病毒，对于新手来说，可能很困难，经过这个文章可以让你完整了解病毒的检测和删除过程，加上自己努力学习和实践，就可以实现自己手工杀毒。好了废话就说这么多，我们来看看如何检测未知病毒。

　　对于新手，手动全面检测计算机是非常困难的，因为需要打开注册表，一项一项去检查，那我们就使用简单的方法——运用SRE这个软件，SRE全名System Repair Engineer。打开软件后，点击软件左边的智能扫描，再点击“扫描”，就可以对计算机进行较为全面的扫描了。

　　对于不想自己分析的新手，请把日志贴到论坛上，会有人帮你解决。

　　这个是最关键的一步，对于很多新手，选择来论坛发布日志，让有经验的高手来分析，这样省时省力，但是如果大家学会分析日志，那么就可以有更多的人帮助新来的人，减少版主和论坛高人的劳动。分析日志学习起来很难，因为需要不断积累经验，在这里只介绍简单的方法(若有更好的方法，希望论坛或者邮件进行讨论)。

　　1、了解日志

　　SRE日志分别扫描了注册表启动项、启动文件夹、服务、驱动、浏览器加载项、进程、文件关联、Winsock提供者、autorun.inf、HOSTS文件、API HOOK。我会重点介绍一些检测时常用的项目

　　2、看进程

　　看进程，看什么呢?看的就是，是否有除系统基本进程和软件产生进程外的其他进程，尤其注意进程路径是c:\windows\和C:\windows\system32\下的文件，可能有些新手不知道那些是系统基本进程，那些是软件安装的进程，这就是需要经验积累的地方。

　　对于系统进程加载的DLL，这个需要具体分析，很多盗号木马运用了这个方式，那就要经过下面三步去完善。

　　3、看启动项(包括注册表启动项、启动文件夹、服务、驱动)

　　看了进程以后，对那些是可疑文件有了一定了解后，就可以来看启动项目。SRE这个日志非常适合新手使用，因为它已经在服务和驱动这两个地方把微软签名的启动项隐藏，对于服务，驱动需要经验才能动，下面我一项一项的介绍。

　　4、对比

　　对比所有可疑启动项目和所有可疑进程，是否可以一一对应，如果不可以，那么就要看是哪里出现的问题，就对那里进行进一步的研究。看看是否是因为病毒的运行方式或者保护方式问题，或者有其他病毒的存在。当然，原因不只这一些，还是需要大家积累经验。实践是根本。

　　5、看其余项目

　　第一个要看的就是autorun.inf这个项目，如果某个盘有此文件，或者每个盘都有，那么就说明你的计算机中了病毒，处理方法很多，这里介绍几种。当然处理的时候，要保证系统中没有病毒运行了。

　　第一种：利用WinRAR。具体方法：打开所感染的硬盘，删除对应文件。说明不会感染计算机，方便实用。

　　第二种：利用资源管理器。具体方法：在打开显示隐藏文件和系统文件的前提下，利用资源管理器，在资源管理器左面选择感染的盘符，右面删除对应文件。说明对于某些病毒又感染的危险。

　　第三种：利用命令提示符。具体方法利用了DOS命令，具体命令如下：

　　Attrib –s –h –r –a X:\autorun.inf

　　Attrib –s –h –r –a X:\对应启动文件(EXE或者PIF)

　　Del X:\autorun.inf

　　Del X:\对应启动文件(EXE或者PIF)

　　其中X代表感染的盘符。

　　说明可以删除彻底，需要懂一些DOS命令和CMD的使用方法。

　　第四种：利用冰刃。具体方法打开冰刃后，点击下面的文件，后面的处理如同资源管理器。说明删除彻底，建议新手使用。

　　第二个要看的就是HOSTS文件，这里的看法是按照行，日志前面写的是网址对应的DNS解析的IP地址，如果所有IP地址都是同一个，或者和其他计算机解析的IP地址不同，那么就有问题，最主要的还是同一个或者同为127.0.0.1。处理方法很简单，利用记事本打开Host这个文件，路经在C:\WINDOWS\system32\drivers\etc，这个处理最好是在病毒删除以后。