教你手动清除杀毒软件无法清除的顽固病毒

杀毒软件不是万能的，并不能清除所有的病毒，尤其是哪些新出来的并且能阻止执行文件运行的病毒，它不但能阻止一般的执行文件运行，还能阻止并且先阻止杀毒软件运行。尽管杀毒软件都被阻止了运行，但不用害怕，还可以通过手动清除的方式把它彻底清除。清除方法如下：
确定病毒的进程，常见的系统进程有 csrss.exe，lsass.exe，explorer.exe，services.exe，svchost.exe，winlogon.exe
等。在任务栏按右键，选择“任务栏管理器”
这么多进程，如何确定病毒的进程，尤其是有些病毒常常伪装为系统进程？首先，看看有没异常的进程，可通过进程后的“描述”初步确定；再看看系统进程是不是比平常多了那么一两个，多了的就要引起注意了。下面举例说明，如csrss.exe 和 svchost.exe 进程，正常情况下是在 Windows\System32\ 目录下，如果出现在 Windows
目录下或其它目录下，一般就是病毒。其它进程也是这样确定，如果还不能确定就上网搜索下。
　　清除病毒

（一）结束进程。
　　打开“Windows 任务管理器”，在要结束进程的上面按下右键，选择“结束进程”，别管提示，直接结束；若不能结束就要强制结束。
　　强制结束进程方法（开始——运行——输入 cmd 回车打开命令执行窗口）：
　　1、ntsd -c q -pn 进程名。如 ntsd -c q -pn csrss.exe
　　2、ntsd -c q -p PID 号。获取 PID，“Windows 任务管理器”——“查看”——“选择列”打开“选择进程列”窗口，在PID 前单击打上勾，确定后，进程后就会显示该进程的 PID。
（二）删除病毒文件。
　　1、删除病毒执行文件。在病毒进程上按下右键，选择“打开文件位置”，找到后把它删除。
　　2、删除病毒其它文件。病毒文件有可能在多个目录下，有些文件不容易确定，只能按常规方法来找。
　　A、确定可疑文件的方法。可根据文件创建时间、文件名和文件版本确定，主要查看
exe、ddl、ini、inf、dat、cfg 文件。此外，还可根据有些目录下只有一类文件确定，如windows/system32/drivers
目录下是驱动文件，一般都是 *.sys，若有 exe 文件，可能是病毒。
　　B、查看各盘根目录下是否有可疑文件，如 AUTORUN.INF 、_DESKTOP 和 INI
文件。若有，看看文件创建时间，确定是否是自己安装软件创建的，不是有可能是病毒；再看看文件名是不是糊乱的字母或数字组合，是就有可能是病毒；最后看文件版本信息是否有张冠李戴的情况。
　　注意：查看前要显示所有文件（文件夹窗口——工具——文件夹选项——选中“显示隐藏的文件和文件夹”），病毒文件常常是隐藏的。若不能选择“显示隐藏的文件和文件夹”，说明病毒把它屏蔽了，可以修改注册表中如下选项：
　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced\Folder\Hidden\SHOWALL，双击右边
CheckedValue 键值，修改为1；若隐藏文件还是没有显示，删掉CheckedValue，按下右键，选择“新建 Dword
值”，并命名为CheckedValue，设键值为1。
　　C、查看病毒常常出现的系统目录、软件安装目录、临时文件夹和IE缓存。
　　系统目录：windows、windows/system32、windows/system32/drivers 等；
　　软件安装目录：c:/program files/internet explorer、c:/program files/internet
explorer/plugin、c:/program files/common files/miscrosoft shared 等；
　　临时文件夹：c:/documents and settings/用户名/local settings/temp 和
c:/windows/temp。
　　还不能确定的可以上网搜索下该病毒进程，一般都有相关说明，确定后再把它的所有文件删除。

（三）删除病毒在注册表中的信息。
　　1、删除病毒的执行文件
　　病毒在注册表中的信息也可能有多个置，也只能先确定执行文件的位置，方法：开始——运行——输入“regedit”——打开注册表，注册表编辑器——编辑——查找——打开查找窗口，如图3：　输入病毒执行文件名（csrss.exe）查找，直到找到病毒执行文件（键值中的目录[C:\Windows\csrss.exe]与在“Windows
任务管理器”中确定的目录[C:\Windows\csrss.exe]一致）,在该文件名上按下右键，删除。其它位置的查找方法下文仅简单的列了三种，具体请看《病毒隐藏在注册表中的位置总结》一文。
　　2、检查 Run 启动项。常见的启动项如下：
　　A、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　B、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
　　C、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
　　D、HKCU\Software\Microsoft\Windows\CurrentVersion\Run
　　E、HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
　　F、HKCU\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run
确定以上这些启动项包含病毒的方法：
　　1）根据已确定的病毒文件确定。键值即为该文件的路径。
　　2）只有 Run 项是有键值的，其它的都只有一个默认串（98除外），所以若其它项中有键值，就可能是病毒启动项。
　　3）若键值是糊乱的文件名，如 1.exe；或路径是在临时文件夹的；也可能是病毒启动项。
　　3、检查驱动启动项
　　位置：HKLM\System\CurrentControlSet\Services
　　这里的项比较多，可以根据 windows/system32/drivers 目录下已确定的文件来确定。
　　4、检查 Winlong 启动项
　　位置：HKLM\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon