记得在高中上电脑课的时候，刚开始学习那个打字软件，其实打得挺快的，只不过电脑上显示的字符都提示红色。到了大学考计算机一级的时候，我居然用拼音打不出“女”这个字来，每次碰到这个字的时候，我都必须用非常蹩脚的五笔。到了大二的时候买了台电脑，开始的时候装系统都不会。新电脑问题总是不断，中毒、蓝屏、死机搞得我焦头烂额。经常需要重装系统，学会了装系统，还会用ghost备份。

不知道那时的病毒为何如此之多，逛个网站，看个电影都会中毒。那时候就装了卡巴斯基，不过这玩意还真的很卡，而且其自身的防护特别脆弱，改个系统时间就会让它挂掉。病毒泛滥的时候，装啥杀毒软件都没有。有些病毒居然会把你的ghost备份删掉，这个也太无耻了，想恢复都不可能了。还有些感染可执行文件，结果就是运行程序就会释放病毒。经过多年摸爬滚打，现在我也懒得用杀毒软件，而且感觉现在病毒少了很多，偶尔碰到也被我轻易消灭了。

要想手工杀毒，最先决的条件是要识别出你的电脑是否中毒了。如果病毒刚侵入的时候就能发现，那么清除会非常快。判断电脑是否中毒可以看启动项，观察进程管理器的进程，根据鼠标判断，电脑反应慢还有不能查看隐藏文件等等方法。

（1）通过启动项来观察

最基本的方法：可以通过开始--->运行 输入msconfig 点击“启动”选项卡。不过Autoruns这个工具更加厉害，它能够列出系统所有的启动项。现在很多病毒的启动，在msconfig看不出来，使用Autoruns这个工具能够找出所有更加隐蔽的启动项。

（2）观察进程

虽然通过观察启动项的方法能查出异常启动项，但是启动项非常多，并不是每一个启动项你都非常了解，这样就很难确定。如果刚中了病毒，有些病毒就会启动IE去访问某些网站，下载恶意程序。这时候打开进程管理工具(最好用这个procexp），如果你在桌面上看不到IE窗口，而进程里确有这个进程，那就得注意了，这里的IE很可能是以隐藏窗口的方式启动的。除了观察进程外，还要看进程加载的动态链接库（一般以.dll扩展名结尾的文件），一般观察explorer.exe这个进程。如果发现很陌生的链接库名，就去系统内搜索这个文件，看这个库的公司名称（选中就可以在状态栏中看到），这是最简单的方法。很多注入式的病毒，往往就是在名称上栽跟头。你好歹也得把公司改成微软公司嘛，难道还想保留知识产权。有些病毒以服务的形式加载，这个就要观察是否有陌生服务项。对于那些跟系统同时加载的病毒，往往在进程中查不出来，当然这些病毒非常厉害，它们有时直接控制windows的启动过程。

（3）鼠标判断

为什么通过鼠标可以判断呢？比如说你打开酷狗，酷狗打开后，你的鼠标还呈沙漏形，等一会出现了酷狗新闻界面。在电脑使用过程中，突然发现鼠标呈沙漏形，这是就可以判断有某个程序在启动。这种病毒一般寄生在文件中，比如说播放一部电影，单你用播放器打开的时候，播放器打开了，但鼠标确还在处于等待状态，这就说明该电影文件在释放某些文件。这个在黄片中体现的非常明显，^_^。当然那些感染可执行文件的病毒同样会释放病毒，不过它这种感染就比较疯狂了。如果在这个时候能快速判读中毒，就非常容易清理。如果寄生在视频中的病毒，要是能感染所有的电脑所有的视频文件，我想我的电脑肯定就挂了，哎，我储备了N多经典的电影啊。

（4）电脑反应慢

其实电脑反应慢不一定就是因为病毒，而且中了毒反应也不一定慢，特别是那种木马型病毒，它会不知不觉的潜伏在系统中。这世界上大部分病毒都比较蹩脚，病毒编写者往往把乱七八糟的技巧混在一起，不停的监控电脑的行为，这样就造成系统老处于高负荷状态。最常见的就是不停的扫描注册表以及相关的病毒文件等，防止被用户删去。

（5）隐藏文件

很多病毒特别喜欢干隐藏文件的事，通过对相关注册表的修改，使得用户不能查看隐藏文件。一般U盘类病毒，最喜欢这么干了。如果你使用文件夹选项不能查看隐身文件，这说明某些程序对注册表做了手脚。

当然上面只是我经常使用的几种方法，其余的还有通过时间、文件大小等判断。

中毒后怎么处理？

中毒之后怎么办呢，重装系统，格式化硬盘。要是要这么干，这就没啥意思了。这里的处理就是要删除病毒文件，修复相关注册表，修复感染的文件，对于系统文件损坏的还要进行替换等等。

病毒在系统中运行无非就是几种情况：

（1）独立进程 这个就病毒比较无知了，也最好干掉

（2）注入式   这中病毒一般寄生在其他程序中，最常见的程序就是explorer，更多的病毒往往会注入多个程序。有的甚至会注入到winlogon.exe，在处理这个的时候，弄不好就会死机。

（3）服务模式  服务模式的病毒拥有更高的权限，它们往往是内核级的驱动程序，它们一般由系统加载。

在处理病毒过程中常用的工具：

IceSword冰刃 这个工具相当不错，这个是删除病毒的利器，有些病毒专门针对这个工具。不过它自身的防护能力相当强，以IceSword /s命令启动，病毒不能关闭它，病毒想终结它相当困难。这个工具能禁止全系统进程的启动，这个在对付不停自己启动的病毒非常有效。在删除顽固文件和注册表项方面非常强悍，可以删掉任何在运行中的文件（这在资源管理器中是无法办到的），而且对于非常顽固的注册表项同样非常厉害，regedit（windows注册表工具）删不掉的，它可以。

Filemon文件监控  文件监控能监控到病毒在读写什么文件，这对今后删除文件特别有用，而且还具有非常好的过滤功能。

Regmon 这个是注册表工具  它能监视整个系统读写注册表任何操作，用来定位病毒所要保护的注册表项，为以后注册表修复起关键作用。

Autoruns 这个工具也相当重要 观察病毒写入的启动项


（1）独立进程

对付这种病毒只需要将其进程终止，然后删去其程序，还要检查有没有别的启动项，找到之后全部干掉。现在这样明目张胆的病毒很少了，用个任务管理器就收拾了。现在这种独立进程的病毒，往往开始只是个下载者，它从网络上下载N多病毒。所以，杀毒的时候先要断开网络，免得被其他病毒感染。

（2）注入式

注入式其实就是寄生在其它进程中，它们往往利用windows自动加载特定动态链接库来实现自启动。而且一般注入多个进程实现自身保护，通过监控注册表保证相关注册表项不删除。这些链接库往往会去网上下载更多的病毒，有时候这些病毒程序特别多。只要某个库被遗漏病毒会卷土重来，对付这个其实不难，就是很繁琐。使用IceSword终结掉所有的用户程序，以及一些系统程序。最终任务管理里面只会出现5个程序，注意将IceSword设置成不运行任何进程创建，也不要随便乱终结程序，会死机滴。Smss.exe ,csrss.exe ,winlogon.exe  system, system Idle process好像就是这五个进程，如果发现winlogon.exe被注入了，可以在Icesword中找到这个进程、右键、模块信息、选中相应的动态链接库、点击卸载。如果卸载不了，点击强制卸载。注意操作winlogon.exe可能会死机。利用IceSword的文件和注册表功能删除相关病毒，以及注册表项。（操作结束之后，只能强制关机了 ^_^）

（3）服务模式

Windows把内核级驱动都当作服务来启动，这样就可以在服务管理中看到服务名称。服务模式的病毒往往一直驻留在内存中，而且由于其权限高，隐藏的非常好，服务管理器一般都看不到它的踪影。如果被IceSword等工具发现后，直接利用IceSword强制删除。

U盘型病毒

Autoruns观察自启动项并非万能，其中U盘型病毒并不能观察到。病毒利用自动播放功能，启动病毒。不过这种病毒非常好识别，如果你发现文件被隐藏，而且还看不到，并且打开盘符出现异常现象（反应慢或窗口大小变化），就可以初步判断有病毒。使用dir /a:h命令能列出各盘下的隐藏文件，也可以使用attrib -s -h *.*清除所有文件的隐藏属性。中毒之后要立即结束相关进程，不要随意点击各个盘。使用del命令删除相关文件。对于这种病毒，大家不要轻易重装，然后觉得重装也不顶用，就格式化，这个就太不值了。

感染可执行文件病毒

熊猫烧香是这种病毒的主要代表，它感染系统中所有的可执行文件（windows系统文件除外，因为它有文件保护功能），并且删除系统中*.gho文件（就是前面说的ghost备份文件）。我曾经碰到过一次这个类似的病毒，使得我电脑上很多游戏都不能玩了。后来用TC编了个工具（虽然很简陋），觉得挺好用的，能将可执行文件恢复，专杀工具就是碰到可执行文件就删（无语了，要删文件的话还要你这个专杀工具干嘛）。其实这种病毒识别起来比较容易，并修改后的程序，widow资源管理器中显示的图标会有模糊的感觉，线条会变得很粗糙。对于这种类型的病毒，不要轻易运行windows以外的程序，如果不能修复可执行文件，那就直接将被感染的文件删去算了，将软件重装(系统就没必要了）。如果系统文件发生变化，可以使用安装光盘。插入光盘到光驱，运行sfc /scannow，它能将被修改的程序替换为原来的系统程序。

打了三四个小时了，终于打完了。曾经有同学问我，怎么手动杀毒，这东西不是一两句能讲清楚，所以今天就凭印象写出了相关的方法。也许就凭这几千字，很难让人学会实际去手动对付病毒，这更多的需要大家在实践中摸索。其实很多病毒来自网络，如果你不是因为受什么诱惑，你也不会进入那些恶意网站，天下没有免费的午餐，却有免费的肉鸡（傀儡机）。那些中奖信息，页面上出现的QQ形式的信息，只要大家认真去观察，就应该可以判断出陷阱。

最后说一下文中提到的工具，除了IceSword（好像是国产滴，非常优秀）外，其余的工具都来自sysinternals

（http://technet.microsoft.com/en-us/sysinternals/default.aspx）。Sysinternals成立于1996年专门开发些windows相关的高级工具（免费），应该可以称作为windows核心分析的利器。十年坚持最后被微软收购，也算是修成正果了。