手工杀毒怎样不用杀毒软件自己手动查毒?

谁知道手工杀毒的方法？

一、针对一些采用“在计算机中加载虚拟非即插即用的设备”来保护自己不被删除的顽固木马： 右击“我的电脑”--“硬件”--“设备管理器”--在“查看”里选“显示所有非即插即用的设备”--然后在出现的“非即插即用的设备”里，找到所有设备名称为“乱序的英文小写字母”的设备（可疑的、从未出现过的），再看看有没有以前杀毒软件反复杀出但是终究没有清除的xxx.sys或xxx.dll文件，找到它的名字，然后停用或禁用掉，注意名称一定是“乱序的英文小写字母”从未见过的，其他的不可以随便停用，否则可能会引起计算机不稳定。

二、针对一些邦定在系统内存中的（常常位于系统盘的Windows/System32文件夹中），在windows下手动无法删除的病毒DLL文件。

1、windows环境下的手动清除方法： 使用unlocker程序或者who lock me程序（网上有下载的，很小的程序）强制结束该文件的系统进程。

安装以后在右键的菜单中会出现：unlock或者是“谁锁住了我”，右击该DLL文件，点unlock或者是“谁锁住了我”，将其强制解锁删除。

2、DOS下的删除病毒DLL文件或是病毒本体的方法： 由于这种system32中的dll文件使用任何杀毒软件都是无法杀掉的。

在Windows环境下由于被System系统锁定在内存中，所以也别想手动删除它。

先用上面的方法清除试试看，实在不行就到DOS下删。

开机按F8选择“进入上一级菜单选择系统”，选择DOS，进入DOS后： C:>cd windows C:>cd system32 转到C:Windowssystem32目录 C:>attrib -r xxx.dll C:>attrib -h xxx.dll C:>attrib -s xxx.dll 去掉该DLL文件的只读、隐藏、系统属性（如果有的话) C:>del xxx.dll 删除该文件，再确认删除。

按Ctrl+Alt+Del重启即可。

有一次我手工杀毒，Powertool说检测到VBR Bootkit，请问VBR是什么东西？

手工杀毒,技术不错吧。

VBR是一种Bootkit类型，分开解释是无意义的。

请问哪里可以学习手工杀毒和动态分析病毒呢

先学好计算机基础，操作系统概念，编程，加密解密吧。

至于手工杀毒没什么难度，但是分析病毒的机制没有编程基础是看不懂它是如何感染或发作的。

手工制作网:

为您回答。

请问怎样进行手工杀毒？

如何识别非法进程与进行手工杀毒(1) 　 简单地说，进程是程序在计算机上的一次执行活动。

当你运行一个程序，你就启动了一个进程。

进程又分为系统进程和用户进程。

系统进程主要用于完成操作系统的功能，而QQ、Foxmail等应用程序的进程就是用户进程。

　　进程的重要性体现在可以通过观察它，来判断系统中到底运行了哪些程序，以及判断系统中是否入驻了非法程序。

正确地分析进程能够帮助我们在杀毒软件不起作用时，手动除掉病毒或木马。

　　 t望进程 　　如何知道系统中目前有哪些进程？在Windows98/Me/2000/XP/2003中，按下“Ctrl+Alt+Delete”组合键就可以直接查看进程，或打开“Windows 任务管理器”的“进程”选项来查看进程。

通常来说，系统常见的进程有winlogon.exe，services.exe，explorer.exe，svchost.exe等。

要熟悉进程，首先就要熟悉最常见的系统进程，这样当发现其它奇怪的进程名（如HELLO，GETPASSWord，WINDOWSSERVICE等等）时就方便判断了。

　　常规杀灭进程法 　　1.有的进程在进程选项中无法删除，这时可以打开注册表编辑器（在“开始→运行”中键入regedit），找到“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion 　　Run”下面的键，将可疑的选项删除。

　　2.另外，还可以通过系统的“管理工具”里面的“服务”查看目前的全部进程。

这里重点要看服务中启动选项为“自动”的那部分进程，检查它们的名字、路径以及登录账户、服务属性的“恢复“里面有没有重启计算机的选项（有些机器不断属性的重新启动的秘密就在这里）。

一旦发现可疑的名字需要马上禁止此进程的运行。

　　而要彻底删除这些程序进程可以用下面的办法： 　　打开注册表编辑器,展开分支“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices”,在右侧窗格中显示的就是本机安装的服务项，如果要删除某项服务，只要删除注册表中相关键值即可。

　　3.除了上面两种方法，我们还可以先查看这个进程文件所在的路径和名称。

重启系统，按F8键进入安全模式，然后在安全模式下删除这个程序。

　　这里，笔者编写了容易被大家认出来的非法进程服务（系统进程）举例说明：HELLO-WORLD SERVICE 1。

我们可以轻松地在进程列表和“服务”中找到它。

根据上面的方法，我们可以把这个进程杀掉或禁用。

　　不少病毒和木马是以用户进程的形式出现的，所以大部分人认为“病毒是不可能获得‘SYSTEM’权限的”。

其实，这是个错误的想法，很多病毒或木马也能获得SYSTEM权限，并伪装成系统进程出现在你面前。

所以这类病毒就相当容易迷惑人，遇到这种情况，只有不断提高并关注系统安全方面的知识，才能准确判断该进程是否安全。

参考文献： /article/272/115025_1.htm

手动杀毒是不是最好的方法?

手动杀毒比较灵活,杀毒软件是死板的你让他杀哪里他就杀哪里 病毒又不是指定藏在一个地方. 但是手动杀毒也要自己对电脑具有一定的了解才可以

怎样不用杀毒软件自己手动查毒?

判断方法， 放法一：懂得看进程就可以看看进程里有没有什么可疑的进程，如果对进程不是那么的熟悉，可以借用第三方软件明确知道病毒的名字。

方法二：就是开始——》运行 cmd 到DOS下 输入 c: 然后cd windowssystem32 到这个目录后输入 dir /ah dir /ah 意思是系统隐藏的文件，在这里面，是没有以exe为最后后缀的文件，此时便可分辩病毒的名称以及中了什么毒。

到了system32 看了以后 还需要看一个地方 cd drivers 进去后 也dir /ah 这里面是没有的，嗯，是没有系统隐藏文件的。

可确定名字。

还有就是用dir /ah 看看C，D，E盘根目录 C盘的需要自己判断，因为学这个都知道一些东西的嘛。

还有就是D ，E 盘的系统隐藏文件，根据系统不同而不同，一般只有两个。

方法三：查看启动项， 就是 开行——》运行 msconfig 看启动项目里面有没可疑的东西吧。

方法四：注册表查看启动项，有些在msconfig 里面是不足以看到的，所以你可打开注册表进行操作！方法如下：开始——》运行 regedit 然后进入此目录[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]这里面的启动默认的是输入法的 输入法的是ctfmon.exe 。

还有RUN 下面那个文件是没有的，这里也需要看，是不是自己安装的一些虚拟机，等等。

还有一个启动位置和上面的一样 只是前面的不一样！[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]在这里，比如你的杀毒软件等一系列启动的对象就在里面，从而分析病毒的名称，以及是什么病毒。

法五：像近一些比较流行的病毒，不一定主程序就在C盘，D，E也有，此时你右键D，E会看到上面多出个AUTO 或相似英文，这个词是自动加载，意思就是说每次你双击进入D，E也就是先运行了病毒的主程序在打开的D，E 。

此时的病毒是隐藏的系统文件。

这种病毒会恶意的修改注册表，让你的查看文件隐藏属性的那个功能失效。

好了查看的一些方法，我一般都用这一些，现在我给你说说一些流行病毒该如何清楚吧。

比如：现在我家电脑中毒了，D，E都有AUTO，而且c:windows/system32 里在dos下 dir /ah 有以exe结尾的文件 。

而且启动项目里也有名字和 c:windowssystem32 里面那个系统隐藏文件一样的名字。

此时，我们就知道了病毒的名称，好了，我们需要安装一个虚拟软盘，此时要手工杀毒，小毒就不能在正常系统或是安全模式下进行操作了。

此时，需要进入纯DOS，如果是98关机时就自带了纯DOS 功能的，但是好象后来的windows产品中就没有了。

安装好虚拟软盘后，重新启动机器，就会看到选择 第一个进入windows 第二个就是虚拟软盘。

进入虚拟软盘后，就到达纯DOS了。

在纯DOS 在 进行操作， 进入c:目录 然后dir /ah 在del 病毒名 之后会看到 找不到此文件， 因为他是隐藏系统文件， 现在需要把它的属性更改 用到的命令是 attrib -s -h 文件名， 然后在 del 病毒名， 如果还是不行 则用 del /s /f /q ，依次把 c: c:windows/system32 c:windows/system32/drivers d: e: 下的都删除， 记住，是在纯DOS状态下 才可以删除。

删除好了 重起机器，！ 此时，到机器时会提示找不到 ****.exe 就是病毒的名字，因为机器现在还是要启动那个病毒的， 但是我们已经删除了，系统找不到了 需要提示。

！ 其实我们只完成了一半，此时 你开始运行 regedit 有些病毒会屏蔽掉它 ， 嗯 就算此时，意思是说regedit 打不开时 没反应被屏蔽了的吧 。

这时我们又要用到 cmd 开始 运行 dos 此时 我们 c:到根目录 再cd windows/system32/dllcache 到了以后 我们直接 copy regedit.exe 1.exe 后面的名字随便取 然后在开始运行 1.exe 此时注册表被打开 ， 然后在一些地方进行查看修改， 几个RUN键值上面我已经写了， 这里不写了哈。

还有一些地方 。

1：RUN 2：就是改回查看隐藏文件属性的功能改在。

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN] 下有个CheckedValue 是DWORO值的， 病毒常常改成 字符串的 趁红色 。

正常名字是蓝色 DWORO值的。

如果病毒没改类型 则有些直接删除了 。

如果没删除 也是DWORO值的 此时 我们双击把键值改2就行了。

如果删除了就直接在右方 新建DWORO值的 打上一样的名字就行了。

3：映像劫持：喔 上面我还忘了告诉，此东西修改了，有些杀毒软件也是无法运行的，呵呵那时就别指望什么杀毒软件了。

这个地方在注册表的 [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options] 这个地方 找到此地方 展开 看下面有许多的项，一个项一个项的点，点时需要看右方的显示， 看到有 debugger 值是 ntsd -d 的就把这项 删除了。

补充一点就是，如果不知道RUN下如何修改？ 只留 cftmon.exe/其他的都删除就可以。

呵呵 我只有16岁的 ，我也在到处学习的， 所以呀，技术也不很过关，我知道的就这些， 哈哈 ，但是我不安装杀毒软件的， 但是我提醒 你 不安杀毒软件 还是需要准备一个查病毒名字的第三方软件做为辅助， 还有就是 也必须安装 网络防火墙 浏览器也得换 ！ 呵呵 我的建议 有兴趣就加我吧 我很想和你一起探讨一些问题！。

呵呵补充：在线杀毒是不能全部将你的病毒全部杀掉的，因为现在的伪装程序很强的，比如现在更新了杀毒软件，可能一分钟后别人配置的木马 做了免杀，通过实验，他是可以过杀毒软件的。

你不认识病毒的，那就得用第三方软件，因为你不认识，就是系统自带的任务管理器 你不会看，不会看就要把这里面的内容更形象化的出现在你的面前，那另外的查看进程的软件就能形象化的出现在你的面前 从而知道。

好了 ， 你有什么疑问或遇到什么麻烦可以加的QQ：345728294 QQ：639402 再补充： 楼上门说的手杀不可能，知识学得越深，学问越深。

我可以这样说 手工杀毒比杀毒软件更来火，因为最新免杀的毒，我们却知道我可杀，但杀毒软件 给他扫 都扫不出来。

我想学过挂马，玩马的。

都知道吧！ 楼上们的说KO 就KO 啊？ 不需要一点方法。

怎么KO呀？