病毒木馬入侵后人工查殺步驟

開機,進入啟動界面后,在還沒有出現windows server 2003界面之前!

     1.進入安全模式 
　　在計算機啟動時，按F8鍵，會出現系統啟動菜單，從中可選擇進入安全模式。 
　　2.將計算機與網絡斷開，防止黑客通過網絡繼續對你進行攻擊。 
　　3.顯示所有文件和文件夾（包括隱含文件和系統保護文件） 
　　4.禁用系統還原 
　　右鍵“我的電腦”→系統屬性→“在所有驅動器上關閉系統還原”前打上勾→應用（釋放硬盤空間、該空間有可能受到病毒攻擊） 
　　5.刪除病毒/木馬程序的自啟動項 
　　打開注冊表編輯器：開始→運行→輸入：regedit→確定 
　　查找自啟動項 
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\文件夾下的三個子件夾 
　　Run 
　　RunOnce  
　　Runservices 
　　HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\文件夾下的三個子件夾： 
　　Run 
　　RunOnce 
　　打開系統配置實用程序：開始→運行→輸入：msconfig→確定  
　　(如果Windows2000無此文件，可運行共享文件夾中的msconfig.exe) 
　　檢查：win.ini、system.ini啟動配置文件中的加載項 
　　win.ini的[windows]字段中 
　　run= 
　　load=

一般情況下“＝”后面是空白的，如果有后跟程序，如： 
　　run=c:\windows\file.exe 
　　load=c:\windows\file.exe 
　　其中的file.exe很可能是病毒 
　　system.ini的[boot]字段中 
　　shell= explorer.exe file.exe 
　　一般情況下“explorer.exe”后面是空白的，如果有后跟程序，如： 
　　shell= explorer.exe file.exe 
　　其中的file.exe很可能是病毒 
　　system.ini的[386Enh]、[mic]、[drivers]、[drivers32]字段中 
　　driver=“路徑\程序名” 
　　檢查其它啟動配置文件、初始化文件、系統配置文件中的加載項： 
　　winint.ini：多用于安裝 
　　winstart.bat：由應用程序、Windows自動生成、Win.com加截多數驅動程序后產生，與Autoexec.bat功能相同。 
　　autoexec.bat（一般為隱含屬性，掌握對隱含屬性文件的搜索） 
　　config.sys（同上） 
　　檢查啟動組：開始→程序→啟動，其中的啟動項內容。 
　　對應注冊表中的位置： 
　　HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Explorer\shell Folders Startup ) 
　　人工查殺步驟：先殺進程、再刪除病毒文件、最后修復注冊表。 
　　注冊表或進程表中發現了病毒，先在進程表中殺進程 
　　打開任務管理器，找到病毒程序的進程，終止運行。 
　　如果不能終止，可運行其它監視進程的工具軟件進行終止。 
　　如果仍然不能終止只能重啟后進入安全模式，并斷開與網絡的連接。 
　　在DOS窗口中刪除病毒文件，也可在資源管理器中刪除，但病毒可能會自行恢復。 
　　重啟后回到注冊表搜索、刪除全部病毒的殘余信息，尤其是啟動項中的信息。