一、從病毒目錄入手

我們先得從病毒所在的目錄入手，如果病毒像正常的軟件一樣有自己獨(dú)立的目錄，那么我們可以略微地笑笑了——這個(gè)病毒比較弱。檢查目錄的創(chuàng)建時(shí)間就可以知道你是什么時(shí)候染的毒，并可能發(fā)現(xiàn)毒從何來(lái)。如果它沒(méi)有自己?jiǎn)为?dú)的目錄，而是存在于系統(tǒng)目錄，那也比較好辦，這種病毒的破壞性一般不是很大，你就直接查看它的屬性就可以了解到一切必要的信息。如果它存在于你的計(jì)算機(jī)上的每個(gè)目錄，那這時(shí)候Windows自帶的文件搜索功能就派上用場(chǎng)了。

盡管它復(fù)制的到處都是，但這種病毒都只有一個(gè)主程序文件，且都是一個(gè)娘胎生的，文件大小必然一致。打開(kāi)文件搜索的高級(jí)功能，填入EXE文件類型并把文件的大小輸入，然后按下回車鍵，接著藏在你的硬盤(pán)每個(gè)角落的病毒就會(huì)暴露無(wú)疑。利用創(chuàng)建時(shí)建排序，你可以發(fā)現(xiàn)第一個(gè)攻擊你的機(jī)器的病毒了。現(xiàn)在所有的病毒數(shù)據(jù)文件基本都在眼前了，至少是病毒能對(duì)你發(fā)動(dòng)攻擊的主要成分，那么就請(qǐng)大開(kāi)殺戒吧，把你找到的與任何與病毒相關(guān)的EXE、DLL、數(shù)據(jù)全部刪除。不過(guò)別做的太絕，留上至少一個(gè)EXE作為標(biāo)本，將其擴(kuò)展名改為DAT并用RAR打包，我們以后還用的上。

另外還是請(qǐng)你非常地小心謹(jǐn)慎，別把不是病毒的文件給誤刪了，那可是致命的錯(cuò)誤！在處理完硬盤(pán)病毒后，千萬(wàn)不要重啟計(jì)算機(jī)，那可能會(huì)導(dǎo)致前功盡棄，因?yàn)橛械牟《镜恼砦覀儾⒉荒苋绱溯p易地找到。如果有些病毒不以EXE的身份出現(xiàn)，而是其它的比如COM、RAR等，我們的文件尺寸搜索法一樣適用，換個(gè)擴(kuò)展名就行了。不過(guò)我還是要告訴你一件不幸的事，主程序文件尺寸不一樣的病毒現(xiàn)在還沒(méi)有但并不代表以后不會(huì)有，到那時(shí)我們只能用關(guān)鍵數(shù)據(jù)匹配搜索了。

二、對(duì)病毒最后的陣地發(fā)動(dòng)總攻

硬盤(pán)上的病毒雖然已被我們斬草除根，但更麻煩的事還在等著我們，要知道負(fù)隅頑抗的敵人才是最可怕的。病毒的最后陣地在哪呢？無(wú)疑就是那傳說(shuō)中的注冊(cè)表。因?yàn)橄到y(tǒng)服務(wù)的信息都存儲(chǔ)在注冊(cè)表里，我就把服務(wù)的內(nèi)容歸類在這一節(jié)了。首先應(yīng)該做的事是仔細(xì)檢查你的服務(wù)列表，仔細(xì)核對(duì)每一個(gè)沒(méi)有描述的服務(wù)，看是否和你剛結(jié)束掉的進(jìn)程有關(guān)。對(duì)于中文版Windows的用戶來(lái)說(shuō)，查出病毒服務(wù)是有一定優(yōu)勢(shì)的，原因說(shuō)來(lái)比較可笑，那就是國(guó)外寫(xiě)病毒的程序員不懂中文，因此他們不會(huì)用中文的描述來(lái)將自己偽裝成系統(tǒng)服務(wù)。因此對(duì)于一切英文描述的服務(wù)也應(yīng)該格外注意。

我還見(jiàn)過(guò)更狠的病毒，它將系統(tǒng)正常的進(jìn)程干掉，然后將那個(gè)進(jìn)程的描述、名稱等信息套用在自己身上，偽裝的真是天衣無(wú)縫。但最終還是露出了馬腳，它所對(duì)應(yīng)的EXE文件是完全不對(duì)路的。當(dāng)確保進(jìn)程是安全的，那我們就可以直接進(jìn)入注冊(cè)表了，先檢查系統(tǒng)啟動(dòng)時(shí)自動(dòng)運(yùn)行的注冊(cè)項(xiàng)，看有沒(méi)有可疑的程序。我的經(jīng)驗(yàn)是在系統(tǒng)啟動(dòng)時(shí)基本不運(yùn)行任何程序，真的要運(yùn)行就放在開(kāi)始菜單的啟動(dòng)項(xiàng)里，這樣不僅安全，而且可以為你發(fā)現(xiàn)病毒帶來(lái)極大的便利。

事實(shí)上，長(zhǎng)期以來(lái)的無(wú)數(shù)次實(shí)踐證明，將所有的自動(dòng)啟動(dòng)項(xiàng)都刪除對(duì)于機(jī)器是沒(méi)有任何不良影響的。系統(tǒng)本身不會(huì)把關(guān)鍵的啟動(dòng)程序放在那里，對(duì)于系統(tǒng)運(yùn)行最關(guān)鍵的其實(shí)是服務(wù)。不過(guò)當(dāng)你在這里發(fā)現(xiàn)病毒時(shí)先不要急于刪除鍵值，你應(yīng)該將它記錄下來(lái)，看看它對(duì)應(yīng)的程序是否已被你備案。然后將病毒程序可能的名字都復(fù)制下來(lái)，逐個(gè)在注冊(cè)表中搜索，把找到的所有的匹配項(xiàng)全部刪掉。不過(guò)這樣做還是有一定的危險(xiǎn)性，我強(qiáng)烈建議你在刪除前導(dǎo)出鍵值以做備份。在注冊(cè)表的查殺和掃描工作結(jié)束后，我們終于可以長(zhǎng)噓一口氣了，因?yàn)椴《炯捌浼胰撕芸赡芤呀?jīng)被我們殘忍地屠殺凈了。在你再次檢查進(jìn)程列表確保無(wú)誤后，就可以重啟計(jì)算機(jī)看看病毒是否會(huì)再次發(fā)作了。

三、真正可怕的對(duì)手

還記得上面的內(nèi)容中曾經(jīng)提到過(guò)的寄生在瀏覽器進(jìn)程或系統(tǒng)服務(wù)進(jìn)程中的病毒嗎？它們當(dāng)之無(wú)愧是我們最可怕的敵人。然而隨著你將他們藏在注冊(cè)表里的信息清除掉，它們中的大多數(shù)在你重啟機(jī)器后就不會(huì)再附加在系統(tǒng)進(jìn)程上了，這時(shí)就可以按照上面的方法將它們清除，這聽(tīng)起來(lái)并不很復(fù)雜是嗎？但更加令人恐怖的病毒還在后面，那就是病毒在運(yùn)行的時(shí)候?qū)ψ?cè)表實(shí)施了監(jiān)控，一旦發(fā)現(xiàn)它在注冊(cè)表里的注冊(cè)信息被破壞，將會(huì)立即復(fù)原，使你對(duì)注冊(cè)表的操作無(wú)效。對(duì)于這樣的病毒，我們只能用干凈的DOS啟動(dòng)盤(pán)啟動(dòng)機(jī)器，然后將它的程序文件刪掉，再啟動(dòng)進(jìn)入Windows，刪除它在注冊(cè)表里的信息。

有的朋友會(huì)問(wèn)，為什么不進(jìn)入安全模式殺毒。當(dāng)然，在安全模式下絕大多數(shù)無(wú)用的服務(wù)和進(jìn)程不會(huì)被啟動(dòng)，然而這對(duì)于那些喪心病狂的特殊病毒是無(wú)效的，甚至于當(dāng)它們發(fā)現(xiàn)你的機(jī)器進(jìn)入了安全模式后會(huì)立即發(fā)動(dòng)最后猛攻，使你的機(jī)器徹底癱瘓。雖然這么狠的病毒對(duì)于一般的朋友來(lái)說(shuō)是百年難遇的。