[转]如何手动清除病毒

很多病毒都能搞定常见的杀毒软件,而且启动方式也多种多样,见过的最狠的已经是加载到boot.ini里面了,
杀软几乎不可能查得出的,更别提防治了!传统的杀软在新病毒面前总是那么的脆弱,比如威金,比如千橡。
杀软能搞定最好,但是很多时候只能手动清除。
下面写些自己的见解,只是从自己的使用心得上谈谈;
因本人非计算机专业,很多机理并不清楚,谬误难免,欢迎批评指教。

1,首先确定病毒进程,这个从进程管理器和google来判断吧,平时对进程有所了解最好;
看看哪个进程占用内存/CPU异常,哪个进程怎么没见过,google上一搜果然是木马。
起码要对系统进程和服务耳熟能详。网上有几本进程大全的电子书的,大概都在20多M,
大家可以搜一下下来收藏!再次说一句,善用google!

2,结束掉病毒进程,很多时候文件/启动项无法删除就是因为病毒还在运行中
推荐使用icesword,但是树大招风,很多病毒已经针对它了,所以给出了很多备选项。
要熟练掌握ntsd命令,进程管理软件很多就是调用这个命令。
1.在任务管理器里结束,按下ctrl del alt

2.通过WinXP系统下的taskkill命令来实现的,
在使用该方法之前,首先需要打开系统的进程列表界面,找到病毒进程所对应的具体进程名。


接着依次单击“开始→运行”命令,在弹出的系统运行框中,运行“cmd”命令;
再在DOS命令行中输入“taskkill /im aaa”格式的字符串命令,单击回车键后,
顽固的病毒进程“aaa”就被强行杀死了。比方说,要强行杀死“conime.exe”病毒进程,
只要在命令提示符下执行“taskkill /im conime.exe”命令,要不了多久,系统就会自动返回结果。

3.Win2000以上系统的内置命令——ntsd.
在使用该命令杀死病毒进程之前,需要先查找到对应病毒进程的具体进程号。
首先打开系统任务管理器窗口,再单击“查看”菜单项下面的“选择列”命令,在弹出的设置框中,
将“PID(进程标志符)”选项选中,单击“确定”按钮。返回到系统进程列表页面中后,
你就能查看到对应病毒进程的具体PID了。
或者开始—程序—附件—系统工具—系统信息—软件环境—正在运行的任务,
右侧就会显示当前运行进程的详细信息,包括有PID和进程的实际路径

接着运行“cmd”命令,在命令提示符状态下输入“ntsd -c q -p PID”命令,
就可以强行将指定PID的病毒进程杀死了。例如,发现某个病毒进程的PID为“444”,
那么可以执行“ntsd -c q -p 444”命令,来杀死这个病毒进程。

4.使用进程管理软件,比如icesword,WINDOWS杀毒助手,进程执法官,process explorer,procx,


3,限制病毒运行,之后重启的话病毒是无法运行的,即使在启动里有。
通过启用该策略并添加相应的应用程序,就可以限制用户运行这些应用程序。设置方法如下:

(1)在“开始”“运行”处执行gpedit.msc命令,启动组策略编辑器,或者运行mmc命令启动控制台,
并将“组策略”管理单元加载到控制台中;
(2)依次展开“‘本地计算机’策略”“用户设置”“管理模板”,点击“系统”,
双击右侧窗格中的“不要运行指定的Windows应用程序”策略,选择“已启用”选项,并点击“显示”。
(3)点击“添加”,输入不运行的应用程序名称,如logo1_.exe,点击“确定”,
此时,指定的应用程序名称添加到禁止运行的程序列表中。
(4)点击“确定”返回组策略编辑器,点击“确定”,完成设置。

4,禁止病毒进程自启动,系统自带的有msconfig,其他推荐使用的有sreng/hijackthis/autoruns。
注意主要有三类:普通的自启动/服务/驱动,不要遗漏了。
当然也可以自己搜索注册表,察看各个启动文件,不过不如工具来得方便。
各启动项的意义,注册表的什么稍微也要了解一下,用的多了自然就熟悉了。
软件使用的教程网上很多,而且都非常简单,请自行搜索。
可参考附录1:Window 服务全攻略
     2:自己研究启动方式总结。
特别提醒一下:已经有病毒开始修改boot.ini了,所以也要注意一下这个文件有无异样!

5,删除病毒文件,注意尽量在病毒进程没有运行的时候删除病毒文件。!
1.系统中推荐用icesword/金山文件粉碎器/pctool/unlocker/killbox/CopyLock。
2.DOS命令,善用查询 /? 和help.
3.PE盘或其他操作系统
4.有一些是利用命名漏洞等等的bug建立的文件夹,删除方法附录里给出了。
参考附录3:如何删除顽固文件
软件教程请自行搜索,网上多得很。

6,最好重启一下吧,有专杀的用专杀,有修复的用修复,(用google自己搜)
实在找不到的话用杀软,注意要重新安装杀软,升级到最新病毒库,
手边有正版的优先考虑,安全起见尽量用正版。推荐从诺顿开始试,因为它不会乱删除。
 个人推荐国外的那些杀软,一向支持国货,但屡次受伤后有些实在没法支持。

7,万一有重要资料而且不能修复,先隔离,等待最新版的专杀,勿轻易删除,勿轻易重装系统。

8,安全起见,重启,检查进程和启动项的各个文件,再次使用杀软扫描。
===========================================================================================
附录1:Window 服务全攻略
对于我们经常使用的windows 2000/xp这里边有许多服务,那么这些服务都是干什么的呢?我们需要哪些?不需要哪些?在此我向大家做一个介绍。

  Win32服务程序由3部分组成:服务应用程序,服务控制程序和服务控制管理器。其中服务控制管理器维护着注册表中的服务数据,服务控制程序则是控制服务应用程序的模块,是控制服务应用程序同服务管理器之间的桥梁。服务应用程序是服务程序的主体程序,他是一个或者多个服务的可执行代码。我们可以在控制面板--管理工具--服务中找到。可以修改他们的当前状态和启动方式,它的启动方式有三种:"自动"是之当计算机启动或者需要的时候就开启。"手动"是可以在命令提示符中通过"net start"命令打开和"net stop"命令关闭的,"已禁止"是指在改变启动方式前,不在启动。

  在众多服务程序中他们很多是互相依存的,所以我们不能随便的便停止某项服务,否则很可能造成系统的非正常情况出现,但是有的服务对我们来说的确没有什么作用,而且还占据着我们宝贵的系统资源,其实有很多程序是我们用不到的,可以关闭,从而达到节省资源的目的。

  Alert(警报器)
  通知选取的使用者及计算机系统管理警示。如果停止这个服务,使用系统管理警示的程序将不会收到通知。所有依存于它的服务将无法启动。一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts),除非你的计算机用在局域网络上
  依存:Workstation
  建议:停用

  Application Layer Gateway Service
  提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持如果你不使用因特网联机共享 (ICS) 提供多台计算机的因特网存取和因特网联机防火墙 (ICF) 软件你可以关掉
  依存:Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS)
  建议:停用

  Application Management (应用程序管理)
  从win2000开始引入的一种基于msi文件格式的全新有效软件管理方案--应用程序管理组件服务,不仅可可以管理软件的安装、删除,还可以使用此服务修改、修复现有应用程序,监视文件复原并通过复原排除基本故障等。
  建议:手动

Automatic Updates
  启用重要 Windows 更新的下载及安装。如果停用此服务,可以手动的从 Windows Update 网站上更新操作系统。允许 Windows 于背景自动联机之下,到 Microsoft Servers 自动检查和下载更新修补程序
  建议:停用

  Background Intelligent Transfer Service
  使用闲置的网络频宽来传输数据。 经由 Via HTTP1.1 在背景传输资料的东西,例如 Windows Update 就是以此为工作之一


  依存:Remote Procedure Call (RPC) 和 Workstation
  建议:停用

  ClipBook (剪贴簿)
  启用剪贴簿检视器以储存信息并与远程计算机共享。如果这个服务被停止,剪贴簿检视器将无法与远程计算机共享信息。任何明确依存于它的服务将无法启动。 把剪贴簿内的信息和其它台计算机分享,一般家用计算机根本用不到
  依存:Network DDE
  建议:停用

  COM Event System (COM 事件系统)
  支持"系统事件通知服务 (SENS)",它可让事件自动分散到COM 组件。如果服务被停止,SENS 会关闭,并无法提供登入及注销通知,任何明显依存它的服务都无法启动。有些程序可能用到 COM 组件,像 BootVis 的 optimize system 应用,如事件检查内显示的 DCOM 没有启用
  依存:Remote Procedure Call (RPC) 和 System Event Notification
  建议:手动

  COM System Application
  管理 COM 组件的设定及追踪。如果停止此服务,大部分的 COM 组件将无法顺利运行。任何明确依存它的服务将无法启动。如事件检查内显示的 DCOM 没有启用
  依存:Remote Procedure Call (RPC)
  建议:手动

  Computer Browser (计算机浏览器)
  维护网络上更新的计算机清单,并将这个清单提供给做为浏览器的计算机。如果停止这个服务,这个清单将不会被更新或维护。如果停用这个服务,所有依存于它的服务将无法启动。 一般家庭用计算机不需要,除非你的计算机应用在局域网之上,不过在大型的局域网上有必要开这个拖慢速度吗?
  依存:Server 和 Workstation
  建议:停用

  Cryptographic Services
  提供三个管理服务: 确认 Windows 文件认证的; 从这个计算机新增及移除受信任根证认证授权凭证的; 以及协助注册这个计算机以取得凭证的 。如果这个服务被停止,这些管理服务将无法正确工作。任何明确依存于它的服务将无法启动。简单的说就是 Windows Hardware Quality Lab (WHQL)微软的一种认证,如果你有使用 Automatic Updates ,那你可能需要这个
  依存:Remote Procedure Call (RPC)
  建议:手动

  DHCP Client (DHCP 客户端)
  透过登录及更新 IP 地址和 DNS 名称来管理网络设定。使用 DSL/Cable 、ICS 和 IPSEC 的人都需要这个来指定动态 IP,如果系统不在任何网络之中,或者网络中没有DHCp服务,那么可以设置为停用。
  依存:AFD 网络支持环境、NetBT、SYMTDI、TCP/IP Protocol Driver 和 NetBios over TCP/IP
  建议:手动

  Distributed Link Tracking Client (分布式连结追踪客户端)
  维护计算机中或网络内不同计算机中 NTFS 档案间的连结。对于绝大多数用户来说,形同虚设,可以关闭,特殊用户除外。
  依存:Remote Procedure Call (RPC)
  建议:停用

  Distributed Transaction Coordinator (分布式交换协调器)
  协调跨越多个资源管理员的信息交换,比如数据库、消息队列及档案系统。如果此服务被停止,这些交易将不会发生。任何明显依存它的服务将无法启动。如上所说的,一般家庭用计算机用不太到,除非你启用的 Message Queuing
  依存:Remote Procedure Call (RPC) 和 Security Accounts Manager
  建议:停用

  DNS Client (DNS 客户端)
  解析并快速取得这台计算机的域名系统 (DNS) 名称。如果停止这个服务,这台计算机将无法解析 DNS 名称并寻找 Active Directory 网域控制站的位置。所有依存于它的服务将无法启动。 如上所说的,另外 IPSEC 需要用到
  依存:TCP/IP Protocol Driver
  建议:手动

  Error Reporting Service
  允许对执行于非标准环境中的服务和应用程序的错误报告。微软的应用程序错误报告服务,对于大多数用户来说也没什么用处,对于盗版用户来说更没什么用处,建议停用。
  依存:Remote Procedure Call (RPC)
  建议:停用

Event Log (事件记录文件)
  启用 Windows 为主的程序和组件所发出的事件讯息可以在事件检视器中检视。这个服务不能被停止。允许事件讯息显示在事件检视器之上。
  依存:Windows Management Instrumentation
  建议:自动

  Fast User Switching Compatibility
  在多使用者环境下提供应用程序管理。另外像是注销画面中的切换使用者功能,一般建议不要停止,否则很多功能无法实现。
  依存:Terminal Services
  建议:手动

  Help and Support
  微软提供的可以支持说明和帮助文件的服务。如果这个服务停止,将无法使用说明及支持中心。它的所有依存服务将无法启动。 如果不使用就关了吧,现实中证明没有多少人需要它,除非有特别需求,否则建议停用。
  依存:Remote Procedure Call (RPC)
  建议:停用

  Human Interface Device Access
  启用对人体工程学接口装置 (HID) 的通用输入存取,HID 装置启动并维护对这个键盘、远程控制、以及其它多媒体装置上事先定义的快捷纽的使用。如果这个服务被停止,这个服务控制的快捷纽将不再起作用,任何明确依存于它的服务将无法启动。如果没有什么HID装置,可以停用
  依存:Remote Procedure Call (RPC)
  建议:手动

  IMAPI CD-Burning COM Service
  使用 Image Mastering Applications Programming Interface (IMAPI) 来管理光盘刻录。如果这个服务被停止,这个计算机将无法刻录光盘。任何明确地依赖它的服务将无法启动。 XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能,可惜比不上烧录软件,关掉还可以加快 Nero 的开启速度,如果不习惯使用第三方软件,请保留。
  建议:停用

  Indexing Service (索引服务)
  本机和远程计算机的索引内容和档案属性; 透过弹性的查询语言提供快速档案存取。 简单的说可以让你加快搜查速度,不过我想应该很少人和远程计算机作搜寻吧,除非特殊工作
  依存:Remote Procedure Call (RPC)
  建议:停用

  Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
  为您的家用网络或小型办公室网络提供网络地址转译、寻址及名称解析服务和防止干扰的服务。如果你不使用因特网联机共享(ICS)或是 XP 内含的因特网联机防火墙(ICF)你可以关掉
  依存:Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、Remote Access Connection Manager
  建议:停用

  IPSEC Services (IP 安全性服务)
  管理 IP 安全性原则并启动 ISAKMP/Oakley (IKE) 及 IP 安全性驱动程序。协助保护经由网络传送的数据。IPSec 为一重要环节,为虚拟私人网络 (VPN) 中提供安全性,而 VPN 允许组织经由因特网安全地传输数据。在某些网域上也许需要,但是一般使用者大部分是不太需要的
  依存:IPSEC driver、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
  建议:手动

  Logical Disk Manager (逻辑磁盘管理员)
  侦测及监视新硬盘磁盘,以及传送磁盘区信息到逻辑磁盘管理系统管理服务以供设定。如果这个服务被停止,动态磁盘状态和设定信息可能会过时。任何明确依存于它的服务将无法启动。磁盘管理员用来动态管理磁盘,如显示磁盘可用空间等和使用 Microsoft Management Console(MMC)主控台的功能
  依存:Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager Administrative Service
  建议:自动

  Logical Disk Manager Administrative Service (逻辑磁盘管理员系统管理服务)
  设定硬盘磁盘及磁盘区,服务只执行设定程序然后就停止。使用 Microsoft Management Console(MMC)主控台的功能时才用到
  依存:Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager
  建议:手动

  Messenger (信使服务)
  在客户端及服务器之间传输网络传送及 "Alerter]"服务短信。这个服务与 Windows Messenger 无关。如果停止这个服务,Alerter 讯息将不会被传输。所有依存于它的服务将无法启动。比如网络之间互相传送提示信息的功能,net send 功能,如不想被骚扰话可关了。
  依存:NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation
  建议:停用

  MS Software Shadow Copy Provider
  管理磁盘区阴影复制服务所取得的以软件为主的磁盘区阴影复制。如果停止这个服务,就无法管理以软件为主的磁盘区阴影复制。任何明确依存于它的服务将无法启动。如上所说的,用来备份的东西,如 MS Backup 程序就需要这个服务,但是大多数人用不到这个功能。
  依存:Remote Procedure Call (RPC)
  建议:停用

Net Logon
  支持网络上计算机的账户登入事件的 pass-through 验证。一般家用计算机不太可能去用到登入网络审查这个服务。
  依存:Workstation
  建议:停用

  NetMeeting Remote Desktop Sharing (NetMeeting 远程桌面共享)


  让经过授权的使用者可以使用 NetMeeting 透过公司近端内部网络,由远程访问这部计算机。如果这项服务停止的话,远程桌面共享功能将无法使用。任何依赖它的服务将无法启动。 如上说的,让使用者可以将计算机的控制权分享予网络上或因特网上的其它使用者,如果你重视安全性不想多开后门,就关了吧。
  建议:停用

  Network Connections (网络连接)
  管理在网络和拨号连接数据夹中的对象,您可以在此数据夹中检视局域网络和远程连接。控制你的网络连接
  依存:Remote Procedure Call (RPC)、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
  建议:手动

  Network DDE (网络 DDE)
  为动态数据交换 (DDE) 对在相同或不同计算机上执行的程序提供网络传输和安全性。如果这个服务被停止,DDE 传输和安全性将无法使用。任何明确依存于它的服务将无法启动。 一般人好像用不到
  依存:Network DDE DSDM、ClipBook
  建议:停用

  Network DDE DSDM (网络 DDE DSDM)
  信息动态数据交换 (DDE) 网络共享。如果这个服务被停止,DDE 网络共享将无法使用。任何明确依存于它的服务将无法启动。 一般人好像用不到
  依存:Network DDE
  建议:停用

  Network Location Awareness (NLA)
  收集并存放网络设定和位置信息,并且在这个信息变更时通知应用程序。 如果不使用 ICF 和 ICS 可以关了它
  依存:AFD网络支持环境、TCP/IP Procotol Driver、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
  建议:停用

  NT LM Security Support Provider (NTLM 安全性支持提供者)
  为没有使用命名管道传输的远程过程调用 (RPC) 程序提供安全性。如果不使用 Message Queuing 或是 Telnet Server 那就关了它,一般用户也用不上。
  依存:Telnet
  建议:停用

  Performance Logs and Alerts (性能记录文件及警示)
  基于事先设定的参数,从本机或远程计算机收集性能数据,然后将数据写入记录中。如果这个服务被停止,将不会收集性能信息。任何明确依存于它的服务将无法启动。 没什么价值的服务。
  建议:停用

  Plug and Play (即插即用)
  启用计算机以使用者没有或很少的输入来识别及适应硬件变更,停止或停用这个服务将导致系统不稳定。 顾名思义就是 PNP 环境,一般计算机中都需要PNP环境的支持,所以不要关闭。
  依存:Logical Disk Manager、Logical Disk Manager Administrative Service、Messenger、Smart Card、Telephony、Windows Audio
  建议:自动

  Portable Media Serial Number
  Retrieves the serial number of any portable music player connected to your computer透过联网计算机重新取得音乐拨放序号,这个东西没什么价值,别考虑关掉吧!
  建议:停用

  Print Spooler (打印多任务缓冲处理器)
  将档案加载内存中以待稍后打印。可以优化打印,对于打印功能有一定的帮助,如果没有打印机,可以关了。
  依存:Remote Procedure Call (RPC)
  建议:停用

  Protected Storage (受保护的存放装置)
  提供受保护的存放区,来储存重要数据,防止未授权的服务、处理、或使用者进行存取。 用来储存你计算机上密码的服务,像 Outlook、拨号程序、其它应用程序等等
  依存:Remote Procedure Call (RPC)
  建议:自动

  QoS RSVP (QoS 许可控制,RSVP)
  提供网络讯号及区域流量控制安装功能给可识别 QoS 的程序和控制小程序项。用来保留 20% 带宽的服务,如果你的网卡不支持 802.1p 或在你计算机的网络上没有 ACS server ,那么不用多说,关了它。
  依存:AFD网络支持环境、TCP/IP Procotol Driver、Remote Procedure Call (RPC)
  建议:停用

Remote Access Auto Connection Manager (远程访问自动联机管理员)
  当程序参照到远程 DNS 或 NetBIOS 名称或地址时,建立远程网络的联接。有些 DSL/Cable 供应商,可能需要用此来处理登入程序
  依存:Remote Access Connection Manager、Telephony
  建议:手动

  Remote Access Connection Manager (远程访问联接管理员)
  建立网络联接,顾名思义,在网络连接中占有很重要的意义,当然如果不使用网络,可以关闭。
  依存:Telephony、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)、Remote Access Auto Connection Manager
  建议:手动

  Remote Desktop Help Session Manager
  管理并控制远程协助。如果此服务停止的话,远程协助将无法使用。停止此服务之前,请先参阅内容对话框中的 "依存性"标签。 如上说的管理和控制远程协助,对于普通用户来说,这个根本就用不着,可以关闭
  依存:Remote Procedure Call (RPC)
  建议:停用

  Remote Procedure Call (RPC) (远程过程调用,RPC)
  提供结束点对应程序以及其它 RPC 服务。 很多程序设备都需要用到该服务,很复杂的依存性,所以除非高级用户,否则别关闭。
  依存:太多了,本人限于篇幅不能一一枚举。
  建议:自动

  Remote Procedure Call (RPC) Locator (远程过程调用定位程序)
  管理 RPC 名称服务数据库。在一般计算机上很少用到,没什么特殊要求,可以尝试关了
  依存:Workstation
  建议:停用

  Remote Registry (远程登录服务)
  启用远程服务来对远程计算机进行操作。如果这个服务被停止,登录只能由这个计算机上的使用者修改。任何明确依存于它的服务将无法启动。 基于安全性的理由,如果没有特别的需求,建议最好关了它,除非你需要远程协助修改你的登录设定。
  依存:Remote Procedure Call (RPC)
  建议:停用

  Removable Storage (卸除式存放装置)
  除非你有 Zip 磁盘驱动器或是 USB 之类移动式的硬件或是 Tape 备份装置,不然可以尝试关了,现在的这方面的设备很多,建议保留
  依存:Remote Procedure Call (RPC)
  建议:自动

  Routing and Remote Access (路由和远程访问)
  提供连到局域网及广域网的公司的路由服务。提供拨号联机到网络或是 VPN 服务,一般用户用不到,可以关闭
  依存:Remote Procedure Call (RPC)、NetBIOSGroup
  建议:停用

  Secondary Logon
  启用在其它认证下的起始程序。如果这个服务被停止,这类的登入存取将无法使用。任何明确依存于它的服务将无法启动。允许多个用户处理程序,执行分身等
  建议:自动

  Security Accounts Manager (安全性账户管理员)
  储存本机账户的安全性信息。管理账号和群组原则(gpedit.msc)应用,虽然很多人不太了解它,但是作用不小。
  依存:Remote Procedure Call (RPC)、Distributed Transaction Coordinator
  建议:自动

  Server (服务器)
  透过网络为这台计算机提供档案、打印、及命名管道的共享。如果停止这个服务,将无法使用这些功能。所有依存于它的服务将无法启动。简单的说就是档案和打印的共享,除非你有和其它计算机共享,不然就关了
  依存:Computer Browser
  建议:停用

  Shell Hardware Detection
  为自动播放硬件事件提供通知。一般使用在移动存储或是CD装置、DVD装置上,这是个比较烦的东西,可以尝试关闭。
  依存:Remote Procedure Call (RPC)
  建议:停用

Smart Card
  管理这个计算机所读取智能卡的存取。如果这个服务被停止,这个计算机将无法读取智能卡。任何明确依存于它的服务将无法启动。 如果你不使用 Smart Card ,那就可以关了
  依存:Plug and Play
  建议:停用

  Smart Card Helper (智能卡协助程序)
  启用对计算机使用的旧版非即插即用智能卡读取的支持。如果这个服务被停止,这个计算机将不支持旧版smart card。任何明确依存于它的服务将无法启动。 如果你不使用 Smart Card ,那就可以关了
  建议:停用

  SSDP Discovery Service
  在您的家用网络上启用通用即插即用设备的搜索。通用即插即用服务 (Universal Plug and Play, UPnP) 让计算机可以找到并使用网络上的装置,经由网络连接通过 TCP/IP 来搜索装置,像网络上的扫瞄器、数字相机或是打印机,都是使用 UPnP 的功能,基于安全性没用到的大可关了。不过现在数码设备很流行,需要的用户可以保留
  依存:Universal Plug and Play Device Host
  建议:停用

  System Event Notification (系统事件通知)
  追踪诸如 Windows 登入、网络、和电源事件的系统事件。通知这些事件的 COM 事件系统订阅者。对于服务器尤其重要。
  依存:COM Event System
  建议:自动

  System Restore Service
  执行系统还原功能。若要停止服务,从我的电脑--属性--系统还原 中关闭系统还原因人而定,本人觉得比较浪费资源,可以关掉。


  依存:Remote Procedure Call (RPC)
  建议:停用

  Task Scheduler
  让用户能够在这个计算机上设定自动的工作的计划,并执行。如果停止这个服务,这些工作在它们设定的时间时将不会执行。任何明确依存于它的服务将无法启动。设定自动的工作计划,像一些定时磁盘扫瞄、病毒定时扫瞄、更新等等,但是一般都很少用,可以关闭
  依存:Remote Procedure Call (RPC)
  建议:手动

  TCP/IP NetBIOS Helper (TCP/IP NetBIOS 协助程序)
  启用NetBIOS over TCP/IP (NetBT)]服务及NetBIOS名称解析的支持。如果你的网络不使用 NetBios或是WINS,你大可关闭,对于不太了解网络情况的用户建议保留,否则可能导致你的网络出现问题。
  依存:AFD 网络支持环境、NetBt
  建议:停用

  Telephony (电话语音)
  为本机及经由局域网络连接到正在执行此服务的服务器,控制电话语音装置和 IP 语音连接的服务,提供电话语音 API (TAPI) 支持。一般的拨号调制解调器或是一些 DSL/Cable 可能用到
  依存:Plug and Play、Remote Procedure Call (RPC)、Remote Access Connection Manager、Remote Access Auto Connection Manager
  建议:手动

  Telnet
  启用一个远程使用者来登入到这台计算机和执行应用程序,以及支持各种 TCP/IP Telnet 客户端,包含以UNIX为基本和以 Windows 为基本的计算机。如果服务停止了,远程使用者可能无法存取应用程序。任何明确地依存于这项服务的其它服务将会启动失败。允许远程用户用 Telnet 登入本计算机,一般人会误解关了就无法使用BBS,这其实和BBS无关,基于安全性的理由,如果没有特别的需求,建议最好关了
  依存:NT LM Security Support Provider、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
  建议:停用

  Terminal Services (终端服务)
  允许多位使用者连接到同一部计算机、桌面及到远程计算机的应用程序。远程桌面的加强 (包含系统管理员的 RD)、快速切换使用者、远程协助和终端机服务器。远程桌面或是远程协助的功能,不需要就关了,目前该服务也导致了很多网络服务器的安全性问题。
  依存:Remote Procedure Call (RPC)、Fast User Switching Compatibility、InteractiveLogon
  建议:停用

  Themes
  提供使用者主题管理。 很多人使用布景主题,打造个性化的系统,不过如果没有使用的人,那就可以关闭。
  建议:自动

  Uninterruptible Power Supply (不断电供电系统)
  管理连接到这台计算机的不间断电源供应 (UPS)。不间断电源供应 (UPS)一般人有用到吗?除非你的电源供应器有具备此功能,不然就关了
  建议:停用

  Universal Plug and Play Device Host
  提供主机通用即插即用装置的支持。用来侦测安装通用即插即用服务 (Universal Plug and Play, UPnP)装置,像是数字相机或打印机,现在很多设备都需要这个。
  依存:SSDP Discovery Service
  建议:自动

Volume Shadow Copy
  管理及执行用于备份和其它目的的磁盘镜像复制。如果这个服务被停止,镜像复制将无法用于备份,备份可能会失败。任何明确依存于它的服务将无法启动。如上所说的,用来备份的东西,如 MS Backup 程序就需要这个服务
  依存:Remote Procedure Call (RPC)
  建议:停用

  WebClient
  启用 Windows 为主的程序来建立、存取,以及修改因特网为主的文件。如果停止这个服务,这些功能将无法使用。任何明确依存于它的服务将无法启动。使用 WebDAV 将档案或文件上载到所有的 Web 服务,基于安全性的理由,你可以尝试关闭
  依存:WebDav Client Redirector
  建议:停用

  Windows Audio
  管理用于 Windows 为主程序的音讯装置。如果这个服务被停止,音讯装置和效果将无法正常运作。任何明确依存于它的服务将无法启动。如果你没有声卡可以关了他,但是现在的个人电脑不会没有声卡吧?
  依存:Plug and Play、Remote Procedure Call (RPC)
  建议:自动

  Windows Image Acquisition (WIA) (Windows影像取得程序)
  为扫描仪和数码相机提供影像采集服务。如果扫描仪和数字相机内部具有支持WIA功能的话,那就可以直接看到图档,不需要其它的驱动程序,所以没有扫描仪和数字相机的使用者大可关了
  依存:Remote Procedure Call (RPC)
  建议:停用

  Windows Installer (Windows 安装程序)
  根据包含在 .MSI 档案内的指示来安装,修复以及移除软件。是一个系统服务,协助使用者正确地安装、设定、追踪、升级和移除软件程序,可管理应用程序建立和安装的标准格式,并且追踪例如档案群组、登录项目及快捷方式等组件,很多软件的安装都需要用到这个服务,所以建议保留,否则会遇到很多麻烦的。
  依存:Remote Procedure Call (RPC)
  建议:自动

  Windows Management Instrumentation (WMI)
  提供公用接口及对象模型,以存取有关操作系统、设备、应用程序及服务的管理信息。如果这个服务已停止,大多数的 Windows 软件将无法正常运作。所有依存于它的服务都将无法启动。 如上说的,是一种提供一个标准的基础结构来监视和管理系统资源的服务,由不得你动他
  依存:Event Log、Remote Procedure Call (RPC)
  建议:自动

  Windows Management Instrumentation Driver Extensions (Windows Management Instrumentation 驱动程序延伸) 提供系统管理信息管理驱动程序。Windows Management Instrumentation 的延伸,提供信息用的,可以设置为手动
  建议:手动

  Windows Time (Windows 时间设定)
  维护在网络上所有客户端及服务器的数据及时间同步处理。如果这个服务停止,将无法进行日期及时间同步处理。所有依存的服务都会停止。 网络对时校准没有太大的意义,而且占有不少的资源,可以关闭
  建议:停用

  Wireless Zero Configuration
  为 802.11 适配卡提供自动设定 自动配置无线网络装置,言下之意就是说,除非你有在使用无线网络装置,那么你才有必要使用这个网络零管理服务,否则这个对你一点作用也没有。
  依存:NDIS Usermode I/O Protocol、Remote Procedure Call (RPC)


  建议:停用

  WMI Performance Adapter
  提供来自 WMIHiPerf 提供者的效能链接库信息。对大多数用户没有太大作用
  依存:Remote Procedure Call (RPC)
  建议:停用

  Workstation (工作站)
  建立并维护到远程服务器的客户端网络联机。如果停止这个服务,这些联机将无法使用。所有依存于它的服务将无法启动。是网络连接中所必要的一些功能
  依存:Alerter、Background Intelligent Transfer Service、Computer Browser、Messenger、Net Logon、Remote Procedure Call (RPC) Locator
  建议:自动

  Windows中很多服务都是用不上的,大家可以根据自己的需求,自己去决定保留哪些,关闭哪些,相信经过你的修改,系统资源会大大增加


===========================================================================================
附录2:
自己研究启动方式总结
出自:风云墙论坛 作者:圣人

一、最简单的机器自启动的
开始-程序-启动
在那里可以看到最简单启动,大家也好处理
地址:C:\Documents and Settings\Owner\「开始」菜单\程序\启动

二、重要的系统启动
1)WIN.INI启动:
启动位置(*.exe为要启动的文件名称):
  [windows]
  load=*.exe[这种方法文件会在后台运行]
run=*.exe[这种方法文件会在默认状态下被运行]

2)SYSTEM.INI启动:
启动位置(*.exe为要启动的文件名称):
  默认为:
  [boot]
  Shell=Explorer.exe [Explorer.exe是Windows程序管理器或者Windows资源管理器,属于正常]
  可启动文件后为:
  [boot]
  Shell= Explorer.exe *.exe [现在许多病毒会采用此启动方式,随着Explorer启动, 隐蔽性很好]
注意: SYSTEM.INI和WIN.INI文件不同,SYSTEM.INI的启动只能启动一个指定文件,不要把Shell=Explorer.exe *.exe换为Shell=*.exe,这样会使Windows瘫痪!

3) WININIT.INI启动:
WinInit即为Windows Setup Initialization Utility, 中文:Windows安装初始化工具.
它会在系统装载Windows之前让系统执行一些命令,包括复制,删除,重命名等,以完成更新文件的目的.
文件格式:
  [rename]
  *=*2
  意思是把*2文件复制为文件名为*1的文件,相当于覆盖*1文件
如果要把某文件删除,则可以用以下命令:
[rename]
  nul=*2
以上文件名都必须包含完整路径.

4) WINSTART.BAT启动:  
这是系统启动的批处理文件,主要用来复制和删除文件.如一些软件卸载后会剩余一些残留物在系统,这时它的作用就来了.
如:
  “@if exist C:\WINDOWS\TEMP*.BAT call C:\WINDOWS\TEMP*.BAT”
这里是执行*.BAT文件的意思

5) USERINIT.INI启动[2/2补充]:
这种启动方式也会被一些病毒作为启动方式,与SYSTEM.INI相同.

6) AUTOEXEC.BAT启动:
这个是常用的启动方式.病毒会通过它来做一些动作. 在AUTOEXEC.BAT文件中会包含有恶意代码。如format c: /y 等等其它.

三、注册表启动
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
HKLM\SYSTEM\ControlSet001\Control\Session Manager\BootExecute
HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\User\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce\
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run\
HKU\.Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\
HKLM\System\CurrentControlSet\Services\VxD\
HKCU\Control Panel\Desktop
HKLM\System\CurrentControlSet\Services\
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\run\
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Toolbar
HKLM\Software\Microsoft\Internet Explorer\Extensions
HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
HKLM\SYSTEM\CurrentControlSet\Control\MPRServices
HKCU\ftp\shell\open\command
HKCR\ftp\shell\open\command
HKCU\Software\Microsoft\ole
HKCU\Software\Microsoft\Command Processor
HKLM\SOFTWARE\Classes\mailto\shell\open\command
HKCR\PROTOCOLS
HKCU\Control Panel\Desktop
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2
HKLM\SYSTEM\CurrentControlSet\Services\WinSock
HKLM\SYSTEM\CurrentControlSet\Control\Lsa
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Shell folders\Startup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\runServices
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKLM\Software\Microsoft\Command Processor

四、别的方式启动
(1).C:\Explorer.exe启动方式:
这种启动方式很少人知道.
在Win9X下,由于SYSTEM.INI只指定了Windows的外壳文件Explorer.exe的名称,而并没有指定绝对路径,所以Win9X会搜索Explorer.exe文件.
搜索顺序如下:
  (1).  搜索当前目录.
  (2).  如果没有搜索到Explorer.exe则系统会获取
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]的信息获得相对路径.
  (3).  如果还是没有文件系统则会获取[HKEY_CURRENT_USER\Environment\Path]的信息获得相对路径.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Executive\Path]和[HKEY_CURRENT_USER\Environment\Path]所保存的相对路径的键值为:“%SystemRoot%System32;%SystemRoot%”和空.
所以,由于当系统启动时,“当前目录”肯定是%SystemDrive%(系统驱动器),这样系统搜索Explorer.EXE的顺序应该是:
  (1).  %SystemDrive%(例如C:\)
  (2).  %SystemRoot%System32(例如C:\WINNT\SYSTEM32)
  (3).  %SystemRoot%(例如C:\WINNT)
此时,如果把一个名为Explorer.EXE的文件放到系统根目录下,这样在每次启动的时候系统就会自动先启动根目录下的Explorer.exe而不启动Windows目录下的Explorer.exe了.
  在WinNT系列下,WindowsNT/Windows2000更加注意了Explorer.exe的文件名放置的位置,把系统启动时要使用的外壳文件(Explorer.exe)的名称放到了:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell] 而在Windows 2000 SP2中微软已经更改了这一方式.

(2).屏幕保护启动方式:
Windows 屏幕保护程序是一个*.scr文件,是一个可执行PE文件,如果把屏幕保护程序*.scr重命名为*.exe的文件,这个程序仍然可以正常启动,类似的*.exe文件更名为*.scr文件也仍然可以正常启动.
文件路径保存在System.ini中的SCRNSAVE.EXE=的这条中.如: SCANSAVE.EXE=/%system32% *.scr
这种启动方式具有一定危险.

(3).计划任务启动方式:
Windows 的计划任务功能是指某个程序在某个特指时间启动.这种启动方式隐蔽性相当不错.
[开始]---[程序]---[附件]---[系统工具]---[计划任务],按照一步步顺序操作即可.

(4).AutoRun.inf的启动方式:
Autorun.inf这个文件出现于光盘加载的时候,放入光盘时,光驱会根据这个文件内容来确定是否打开光盘里面的内容.
Autorun.inf的内容通常是:
  [AUTORUN]
  OPEN=*.exe
  ICON=icon(图标文件).ico
1.如一个木马,为*.exe.那么Autorun.inf则可以如下:
OPEN=Windows\*.exe
ICON=*.exe
这时,每次双击C盘的时候就可以运行*.exe.

2.如把Autorun.inf放入C盘根目录里,则里面内容为:
OPEN=D:\*.exe
ICON=*.exe
这时,双击C盘则可以运行D盘的*.exe

(5).更改扩展名启动方式:
更改扩展名:(*.exe)
如:*.exe的文件可以改为:*.bat,*.scr等扩展名来启动.

六.Vxd虚拟设备驱动启动方式:
应用程序通过动态加载的VXD虚拟设备驱动,而去的Windows 9X系统的操控权(VXD虚拟设备驱动只适用于Windows 95/98/Me).
可以用来管理例如硬件设备或者已安装软件等系统资源的32位可执行程序,使得几个应用程序可以同时使用这些资源.

七.Service[服务]启动方式:
[开始]---[运行]---输入"services.msc",不带引号---即可对服务项目的操作.
在“服务启动方式”选项下,可以设置系统的启动方式:程序开始时自动运行,还是手动运行,或者永久停止启动,或者暂停(重新启动后依旧会启动).
注册表位置:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
通过服务来启动的程序,都是在后台运行,例如国产木马"灰鸽子"就是利用此启动方式来达到后台启动,窃取用户信息.

八.驱动程序启动方式:
有些病毒会伪装成硬件的驱动程序,从而达到启动的目的.
1.系统自带的驱动程序.[指直接使用操作系统自带的标准程序来启动]
2.硬件自带的驱动程序.[指使用硬件自带的标准程序来启动]
3.病毒本身伪装的驱动程序.[指病毒本身伪装的标准程序来启动]

06/3/11补充[来自peter_yu]:
windir\Start Menu\Programs\Startup\
User\Startup\
All Users\Startup\
windir\system\iosubsys\
windir\system\vmm32\
windir\Tasks\

c:\explorer.exe
c:\autoexec.bat
c:\config.sys
windir\wininit.ini
windir\winstart.bat
windir\win.ini - [windows] "load"
windir\win.ini - [windows] "run"
windir\system.ini - [boot] "shell"
windir\system.ini - [boot] "scrnsave.exe"
windir\dosstart.bat
windir\system\autoexec.nt
windir\system\config.nt
================================================================================================
附录3:如何删除顽固文件
作者:heroyb整理

一、常规方法
只是很简单的介绍一下,只是利用系统自带的功能。高手可以跳过。
1.结束进程再删除。

删除文件时如果系统提示“文件正在使用”,首先检查一下是否没有退出与被删文件相关的程序,
再看看系统进程中是否还有相关进程保留。

2.磁盘扫描
磁盘扫描 CHKDSK 有一个参数 /X ,作用是强制关闭指定磁盘打开文件的句柄。正是利用这个来解决问题。
假设 E: 有个文件正在使用,无法删除。
第一步:关闭 E: 上已知正在运行的程序或文件。毕竟能用正常方法关闭的文件就用正常方法关闭。
第二步:运行 CMD 打开“命令提示符”窗口,输入 CHKDSK E: /X 。如没有意外,系统会显示 E: 已被强制卸下,所有打开的句柄都将无效,这说明 E: 上所有打开的文件已被强制关闭,待磁盘扫描完毕后就可以去删除你要删除的文件了。:)
特别说明:
  此方法不适用于 Windows 所在的系统磁盘以及虚拟内存所在磁盘。例如你 Windows 装在 C: ,那么 C: 是无法被强制卸下的。如果虚拟内存放在 D: ,那么 D: 也不能够被强制卸下。

3.重启后或换个系统再删除。使用多系统的朋友可以切换到另外一个系统中执行删除操作,这招比较有效。



4.利用 NTFS 安全设置
  要用这个方法必须保证磁盘为 NTFS 文件系统才行。
  首先,找到正在使用而无法删除的文件,打开其“属性”,选择“安全”选项卡(XP 要在“文件夹选项”里面取消“使用简单的文件共享”才显示该项。),单击“高级”按钮,打开高级选项页,取消从父文件夹继承权限的选项。访问者列表里面除了自己的登陆账号以外其它的统统删除,之后点击“编辑”按钮编辑你自己的访问权限,只勾选“删除”的权限,其它诸如“读取”“执行”的权限等等全部取消或拒绝,确定后重新启动计算机。计算机重新启动后任何用户都无权读取该文件,该文件自然不会变成“正在使用的文件”。而你自己的账号有删除的权限,则可以轻松删除该文件了。

5.结束掉Explorer进程后再删除。按下Ctrl Alt Del键打开任务管理器,切换到“进程”选项卡,结束掉Explorer进程,这时候桌面会丢失,不用着急,运行“文件→新任务”,输入“cmd”后回车打开命令行窗口,进入待删文件所在目 录,用RD或delete命令删除即可。删除完毕后再次运行“文件→新任务”命令,输入“explorer”后回车,桌面又回来了.

6.关闭预览功能再删除。如果你在资源管理器中使用了视频、图片的预览功能,那么在删除此类文件时常常不成功,解决的办法是关闭该功能:Windows XP用户在“开始→运行”中输入“regsvr32 /u shmedia.dll”即可,Windows 2000用户则在资源管理器中的空白处单击鼠标右键,选择“自定义文件夹”选项,会出现自定义文件夹向导,进入到“请选择模板”窗口后,选择其中的“简易”便可以禁止视频预览了。

7.Windows XP附带的Msicuu.exe、Msizap.exe来彻底卸载顽固程序
  首先要打开Windows XP安装盘,点“Support Tools”,进入硬盘的Support Tools安装目录(X:Program FilesSupport Tools),找到Msicuu.exe并双击,于是就会弹出一个“Windows Installer Clean Up”窗口,显示当前已安装的所有程序列表。你从中选择顽固程序,然后单击“Rmove”按钮即可卸载。如果以上方法无效,建议你用Msizap.exe来卸载,方法是:打开注册表编辑器,定位到HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionUninstall,在左边项中找到顽固程序的标识(例如),然后依次选择“开始→程序→Windows Support Tools→Command Prompt”命令,在命令提示符后,输入以下命令:msizap T ,按回车后即可卸载顽固程序。

8.Windows XP的命令Replace.exe的主要功能,就是替换文件。该命令在Windows安装目录的System32文件夹下,
它能够替换正在使用中的文件!
  例如,我们用Windows Media Player播放一首路径为“g:mp3source.mp3”的歌曲,然后在命令提示符窗口下键入下列命令:
  replace.exe d:mp3source.mp3 g:mp3
  这里的“d:mp3source.mp3”是准备用来替换的另一首MP3歌曲,注意两个
文件的文件名必须保持一致,很快我们就会在看到替换成功的提示,接下来Windows Medi
a Player窗口正在播放的歌曲也会自动变为另一首歌曲,呵呵,够神奇的吧?当然,repl
ace命令的最大好处是用来替换系统文件,这样就不需要重新启动到安全模式下了!
 
二、其它常用软件来删除
请常用软件“兼职”删除。我们可以使用FlashFXP、Nero、ACDSee、Winrar、qq,Winamp来删除顽固文件,这种方法往往有奇效。
1,FlashFXP、Nero、ACDSee只需在本地目录中浏览到待删文件,对其执行删除操作即可.
2,使用Winrar来删除文件的方法步骤如下:右键单击待删除文件或者文件夹,选择“添加到档案文件”菜单,
在谈出窗口中勾选“存档后删除源文件”,单击“确定”,这样Winrar在创建压缩文件的同时,也会帮我们删除顽固的文件,
我们只需要将创建的压缩文件删除即可.
3,将QQ安装目录下的unins000.exe文件拷贝到要卸载文件的安装目录,再执行该程序即可!这种办法对于卸载那些反安装程序丢失或者损坏的文件有特效。
4,首先在“我的电脑”找到Winamp安装目录下的UninstWp.exe程序,复制并粘贴到顽固程序所在的文件夹中,双击运行该程序就可以把顽固程序卸载得干干净净了。


三、使用专业删除软件。
1,冰刃icesword
现在很多流氓软件都是通过内核来加载,象CNNIC中文上网的cdnprot.sys,3721的CnsMinKP.sys,它加载后,为了保证软件不被删除,就监视所有的文件、注册表删除操作,如果发现是删除这些文件,就直接返回一个true,这样Windows以为已经删除了,但是文件还在那里。再有一些做得更绝,它会把文件隐藏起来。这个隐藏是基于内核级的,不是通过打开资源管理器里面的“显示隐藏文件”选项就能看到的。象TotalCommand有时也发现不了。针对这些文件,Unlocker也是无药可施的。即使是Windows提供的重启删除机制,也被这些流氓软件给破了。IceSword是这类软件中最有效的,能删除各种驱动保护文件,而不需要重启操作系统或者装一个DOS之类多操作系统来完成。
使用很简单,通过它的“文件”,然后象资源管理器一样,找到相应的文件,然后点右键——删除便可。如果是.exe的文件本身在运行,要先通过IceSword的进程管理器来杀掉,然后再删除。
冰刀是重建系统核心,可以绕过所有的NTFS安全以及其它保护。
但前不久有人写出的专门来欺骗冰刀的文章已经有人应用了。

2,金山文件粉碎器(金山反间谍2007)。
大多数情况下,Windows自带的文件删除并不彻底,文件被删除后,他人仍然可以通过一些磁盘工具进行恢复。
所以对于一些想彻底删除的文件,可以使用文件粉碎器进行彻底删除。新版本的文件粉碎器采用了基于磁盘物理扇区的粉碎机制,
能够彻底清除文件内容、文件名以及分配表等所有文件信息,保证了被粉碎文件无法恢复。
同时符合美国国防部标准中对机密文件的粉碎处理方式。
试验表明,它独有的方式正好可以突破目前所有的流氓软件的自我保护功能。经试验,Windows系统下的所有文件,
无论是正在运行的程序,正在被使用的DLL,正在被打开的文件,还是采取自我保护的驱动,全部都可以被轻易地删除!
试验过程:在机上上同时安装了CNNIC,彩信通,SPOOLSV、百狗(Baigoo)、3721,百度等多个流氓软件,
然后在不关闭任何进程以及使用任何工具的情况下,把所有流氓软件相关的目录、驱动文件、可执行文件,
通过文件粉碎器,一次性全部删除!
文件粉碎器是直接写磁盘的文件空间,把文件内容改写,所以还是需要通过NTFS的权限检查的,
所以在普通帐户下删除管理员帐户的文件可能会失败。
(本方法出自于网络安全日志(www.nslog.cn))

3,PC Tools
可以删除几乎所有“顽固”软件。运行软件后,先按任意键进入软件的主界面,然后按下F10 切换选中待删文件,按下D键并确认操作即可删除.



4.unlocker,killbox,CopyLock
unlocker是一个非常优秀、小巧,功能强大的文件删除工具。大部分正常情况下都可以把.dll, exe等文件删除掉。
它可以关掉使用文件的句柄(正常文件),杀掉进程(.dll),Unload DLL。安装完了之后,以后要使用的时候,
在需要删除的文件或者目录上点右键,在菜单中选择“Unlocker”。这时如果它检测到文件/目录被其它进程锁了,
就会有一个列表的窗口出来,显示当前锁定或使用这个文件/目录的进程。那个Action动作选择“删除”,
再点一下那个“Unlock All”就可以了。 如果这个文件被一些核心进程占用或者保护,它会提示要等下一次启动的时候再删除,
这时点确定就可以了。大多数情况下,是不需要重启的。
killbox,unlocker里面的文件删除用了很多办法,最后一招是利用系统的“延迟删除功能”。
但是现在有不少流氓软件已经针对此做了防范,只要过滤相关的注册表值就可以了。所以对于有一些文件,它们都删除不掉。


四、安全模式或DOS或PE或光盘版xp
其实熟悉DOS或者有能光盘启动的工具盘的话,一切都很简单。
1,一般情况下,在安全模式下能删除。
2,在DOS下删使用RD(删除目录)或delete命令(删除文件)
3,用PE系统光盘启动删除。
4,类推的,其他系统都可以删除,比如linux等等,不一一列举。

五、利用WINDOWS命名漏洞建立的文件或文件夹

对利用WINDOWS命名漏洞命名的文件, 利用Windows以设备命名文件夹拒绝服务漏洞的文件,在“开始”→“运行”中输入cmd后回车,使用dos命令删除。 这个把怎么建立的过程也讲一下:

1,利用Windows以设备命名文件夹拒绝服务漏洞
例如新建以下这些名字的文件(或文件夹):aux、com1、com2、prn、con、nul,系统会提示无法建立。
我们可以在命令行窗口中建立,然后将文件copy进去,这样,文件打不开也删不掉。
实现过程:在“开始”→“运行”中输入cmd后回车,进入命令行窗口,假设你所要加密的文件在C盘根目录下,名字为111.txt,只要输入copy c:I.txt \.c:com1.txt(小提示:也可以命名为aux、com2、prn、con、nul其中的任意一个文件名)。这样你的111.txt文件中的内容就会被复制到com1.txt文件中了,com1.txt含有Windows禁用的文件名,故无法打开
也无法删除,别人就拿它没办法了,你要是再想查看其中的内容可以在“开始”→“运行”中输入\.c:com1.txt即可,删除它也很简单,在命令行中输入del \.c:com1.txt。  

2,利用WINDOWS命名漏洞命名的文件, 比如xxx.,即文件最后有一个点.
这样的文件夹是无法直接建立的,不信试一下,后面的那个点是自动消失的。
建立这个文件的话可以用 md xxx..\n   也可以新建一个xxx,然后用WINRAR改xxx为xxx..\n   删除的话用   rd /s /q xxx..
没用的话再输入   del /f /q xxx..\n

3,对于含有保留字的文件,当我们发出删除指令的时候,Windows会检查被删除的文件是否有合法的路径,如果你的文件名含有Windows认为的非法字符或保留字,那么删除就会失败。

转载请注明:代码家园 » [转]如何手动清除病毒

评论列表(网友评论仅供网友表达个人看法,并不表明本站同意其观点或证实其描述)