绿豆宝贝

1、参考资料：
病毒特征：
A、随操作系统一起启动
B、无法在任务管理器里结束掉
C、耗用内存在30M以内，但耗用CPU资源相当大
D、自我复制和掩饰性
弱点：因为是随操作系统一起启动，所以当换另一个操作系统后，它就不会自己自动启动
但要注意，因为它具有自我复制性。如果使用一个操作系统去打开可能存在病毒的
磁盘时，它可能被启动而感染此时这个操作系统。
如何判断病毒源文件：
病毒因为要自我复制和掩饰，故在任务管理器里看到的进程名不是病毒的真正文件。
这里提一个问题：一个正常的程序，有没有必要自我隐藏？
文件的一般属性
A（普通属性） S（系统属性） H（隐藏属性） R（只读属性）
2、相关DOS命令
如果你要杀U盘里面的病毒，你可直接在WINDOWS下点击开始菜单，点击“运行”，输入：
win98winme 中输入 command
winntwin2000winxpwin2003 中输入 cmd

*注意，在进行这些操作时，不要打开我的电脑，然后打开U盘，因为如果这样的话，你就
完了，"毒发攻芯"
当你输了命令之后，屏幕上会出现一个DOS命令窗口，在此其中输入你U盘的盘符。
比如说
c:>f: (如果你的U盘是F盘，就输入F： 如果是G盘，就输入G： 如何得知U盘盘符
是多少，我不用多讲，如果这都不会，这篇文章到此结束）

然后打回车
再输入 attrib
当输完之后，如果显示 没有找到文件 和 没有发现 有 S H R 这三个字母中的任意
一个时，你就发了。表示没有毒。
比如说输入attrib 之后显示以下列表
A ABC.exe
A S MMM.exe
S H PPP.exe
A S H R UUU.exe
H R III.exe
R TTT.inf
这样看来，只有ABC.exe可能是安全的，而且有99%的可能是安全的；
但 MMM.exe PPP.exe UUU.exe III.exe TTT.exe 都是有问题的。
此时最好请U盘的上位使用者或其主人确认，是否是他（她）复制的这几个文件，如果他（她）
自己不知道U盘里有这些文件存在，嗯，那这几个文件，就肯定有问题了。
同样在DOS命令下输入 attrib 这个命令，不过要加上参数。
就命刚才那几个文件为例。
attrib -s mmm.exe
attrib -s -h ppp.exe
attrib -s -h -r uuu.exe
attrib -h -r iii.exe
attrib -r ttt.inf
当这五条命令一输后，这些文件就该轮到被删除的地步啦，
del mmm.exe
del ppp.exe
del uuu.exe
del iii.exe
del ttt.inf
哈哈哈，大功告成，病毒就从你的U盘中消失了。

然后我们再来讲讲如何删除系统内的病毒。
准备工作：
1、Win98 安装启动光盘一张（能启动到纯DOS下的就行啦）
2、在Windows 下找几个文件名。
详解：
为什么要找几个文件名，又找什么文件名呢？
因为病毒具备自我复制性，病毒通常会将自己放在电脑的所有硬盘分区里面。
比如说，你电脑分了四个区，C盘 D盘 E盘 F盘 可能还会有一个光驱 G盘。
病毒为防止你重装系统而让自己的主导权丢失，会将自己复制到其它硬盘里面，这样
就算你重装系统，只要你双击其它盘符，病毒一样会自动重启。结果是刚装的操作系
统又被感染上了。
所以，你在windows下，进行DOS命令 （输 command 或 cmd ）
在C盘中使用 attrib 在D盘中使用 attrib 在E盘中使用 attrib ........
所得到的带有 S H R 属性的文件记录下来，看看这几个盘中共有的几个文件。
然后使用 msconfig (同样在开始菜单下的运行里输入）
看看 启动 选项卡里面列表里有没有刚才那几个文件名的存在。
如果有，记录下它们的位置。

当然，有的病毒可能已厉害到不能让你打开 msconfig 那你就只有用 win98 启动光盘
到DOS下查看注册表喽。
命令如下：
regedit 键位名 > 1.txt 由于所要查看信息可能很多，所以导入到一个文本文件中。
type 1.txt 查看刚才生成的这个文件
***键位名*** 参看本文最后部分
通过这个方法，你可以查看到病毒文件藏在windows的哪个地方了。
通常地点在： c:windows （也有可能在 c:winnt 这看你安装操作系统时的定义）
c:windowssystem
c:windowssystem32
这三个地方
你使用 attrib 对这三个地方进行一一查看。
如果在这三个地方也查看到了刚才你记录下的那些文件名的话。

就用 attrib 删除它们的 S H R 属性。
再用 del 删除它们。
再使用这两个命令，将你的其它盘下的这些也删掉。
至此，你就成功了一半了。
然后取出你的 win98 启动光盘，重启你的电脑，由DOS状态，变为 windows 状态。
进入windows 状态之后，不要打开任何盘符。
在开始菜单下的运行里输入 regedit
在弹出的新窗口中双击：我的电脑

再点击 编辑菜单下的 查找
输入你刚才记录下来的，疑似病毒的文件名 并回车。
程序会找你刚才输的信息，也会在找到一个时停下来，此时就按键盘上的 Delete 键
程序会请求你的确认，当你确认后再按 F3 如此重复，至到它查找完为止。
然后你再点击编辑菜单下的 查找
再输入另外的文件名（病毒通常不可能只有一个文件）
再次查找，并删除 直到删完为止。


如果这一切你都做完了。那么在些祝贺你，你成功了

日光兰

一、Load注册键
　　介绍该注册键的资料不多，实际上它也能够自动启动程序。位置:HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload。
　　二、Userinit注册键
　　位置:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit。这里也能够使系统启动时自动初始化程序。通常该注册键下面有一个userinit.exe。这个键允许指定用逗号分隔的多个程序，例如“userinit.exe,OSA.exe”(不含引号)。
　　三、ExplorerRun注册键
　　和load、Userinit不同，ExplorerRun键在HKEY_CURRENT_USER和HKEY_LOCAL_MACHINE下都有，具体位置是:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun，和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun。
　　四、RunServicesOnce注册键
　　RunServicesOnce注册键用来启动服务程序，启动时间在用户登录之前，而且先于其他通过注册键启动的程序。RunServicesOnce注册键的位置是:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce，和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce。
　　五、RunServices注册键
　　RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行，但两者都在用户登录之前。RunServices的位置是:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion RunServices，和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices。
　　六、RunOnceSetup注册键
　　RunOnceSetup指定了用户登录之后运行的程序，它的位置是:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceSetup，和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceSetup。
　　七、RunOnce注册键
　　安装程序通常用RunOnce键自动运行程序，它的位置在HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunOnce和HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce。HKEY_LOCAL_MACHINE下面的RunOnce键会在用户登录之后立即运行程序，运行时机在其他Run键指定的程序之前。HKEY_CURRENT_USER下面的RunOnce键在操作系统处理其他Run键以及“启动”文件夹的内容之后运行。如果是XP，你还需要检查一下HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx。
　　八、Run注册键
　　Run是自动运行程序最常用的注册键，位置在:HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun，和HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun。HKEY_CURRENT_USER下面的Run键紧接HKEY_LOCAL_MACHINE下面的Run键运行，但两者都在处理“启动”文件夹之前。
　　汇总如下:
************下面每一行都是病毒可能利用的键位名*************
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrentVersionWindowsload
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunServices
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceSetup
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceSetup
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx
　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

此方法为中毒之后最好的解决办法，请在使用了本方法后，尽快安装和升级您的杀毒软件。

乡下乖乖女

来源网络

乡下乖乖女

、随操作系统一起启动

纸风铃

、自我复制和掩饰性

乞食头家

如何判断病毒源文件

@地瓜叶

注意，在进行这些操作时，不要打开我的电脑，然后打开U盘，因为如果这样的话，你就
完了，"毒发攻芯