如何手动查杀病毒【熊猫烧香】

手动查杀病毒流程

手动查杀病毒木马有一套“固定”的流程,总结如下:
1、排查可疑进程。
因为病毒往往会创建出来一个或者多个进程，因此我们需要分辨出哪些进程是由病毒所创建,然后删除可疑进程。
2、检查启动项。
病毒为了实现自启动，会采用些方法将自己添加到启动项中,从而实现自启动,所以我们需要把启动项中的病毒清除。
3、删除病毒。
在上一步的检查启动项中，我们就能够确定病毒主体的位置，这样就可以顺藤摸瓜,从根本上删除病毒文件。
4、修复被病毒破坏的文件。
这一步般来说无法直接通过纯手工完成,需利用相应的软件,不是我们讨论的重点。

实验环境及说明

Windows 7 x86
样本“panda”

查杀病毒

基本信息：

MD5：3520D3565273E41C9EEB04675D05DCA8
SHA-1：BB1D8FA7EE4E59844C1FEB7B27A73F9B47D36A0A
修改时间：星期二 09 一月 2007,
09.06.10 语言：Borland Delphi 6.0 - 7.0

1、排查可疑进程。
运行病毒程序之前，先记录当前进程信息。

然后运行病毒程序。
然后我们再去打开任务管理器查看进程，已经打不开了(也关闭了其他程序窗口)。说明病毒已经对我们的系统产生了影响，而这第一个影响就是使得“任务管理器”无法打开。

然后我们使用cmd命令查看进程。我们可以在cmd中利用tasklist命令进行查看：

通过对比可见这里多出了一个名为spoclsv.exe的进程，那么我们可以通过命令

taskkill /f /im 3756  (强制删除PID值为3756的文件映像）

从而将这个进程结束掉。

关闭之后，也能重新打开任务管理器。

2、检查启动项。
我们工作的第一步是成功的。然后需要对启动项进行排查，可以在“运行”中输入msconfig：

C:\WINDOWS\system32\drivers\spoclsv.exe

然后是注册表位置：

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

然后将这个启动项前面的对勾取消，来到注册表相应的位置,将Run中的spcolsv.exe删除，并且删除病毒文件本体：
使用cmd命令删除，或者直接从文件夹中删除。

以上工作完毕后，重启系统，再次打开“任务管理器”，可以被正常打开，说明我们的工作是成功的。

重启系统后，所有手动查杀病毒的工作完毕，我们的系统就又恢复正常了。

总结：

实际上现在很少手动查杀了，因为有很多专业的工具，所以本篇文章仅作我学习所用，可以看出，我们通过手动查杀，可以看出熊猫烧香的一些危害，但是却还有很多功能看不出来，这是手动查杀的局限。