中招病毒后的处理建议 

1. 如果电脑尚可操作，先用ATF CLEANER删除多于的文件

2. 安装任意一款杀毒软件，更新病毒特征代码库到最新。

杀毒软件没有最好，各有利弊，一台计算机装一个即可，多装基本无用。但凡是杀毒软件的，多少都能对付大多数的病毒，不用管别人评价如何，只要能运行的都很有用。实在不知道那个好就闭着眼睛蒙一个，个人推荐XX版诺顿，因为用了13年习惯了。

更新病毒特征代码库在线更新是方法一，还可在别的电脑上下载可执行的更新文件后用文件更新。

电脑无法正常启动，或启动后啥子杀毒软件都无法安装的尝试在安全模式操作。电脑刚通电显示前几个画面的时候赶快多按几下F8（注意是一个钮，不是F和8），选择带命令行的安全模式。进去以后如果看不见桌面的，输入explorer回车即可。这种安全模式里面至少可以安装并运行norton9.0，我测试过的。传说开始选择带网络连接的安全模式还可以在线更新等。

3. 杀毒，看结果。

4. 用任意一款防间谍、木马、广告等等等恶意软件的软件同样检查、处理机器。

5. 到http://windowsupdate.microsoft.com/ 更新。

如果遇到系统完全无法启动或所有杀毒软件无法安装，或杀毒软件说病毒杀不掉等情况初学者最好请有经验朋友协助，或参阅后文。

http://www.atribune.org/content/view/25/2/ ATF CLEANER

杀毒软件参考：

http://online.rising.com.cn/free/index.htm 瑞星 在线杀毒

http://online.jiangmin.com/checkonline.asp 江民 在线杀毒

http://www.kaspersky.com.cn/KL-Downloads/KL-Product6.0.htm 卡巴斯基

http://www.pandasoftware.com/products/activescan.htm Panda Antivirus可在线杀毒

http://shop.symantecstore.com/store/symnahho/en_US/ContentTheme/ThemeID.106300/pbPage.Trialware_en_US Norton系列产品

http://www.avast.com/eng/free_software.html avast! 4

防间谍、木马、广告等等等恶意软件：

http://www.lavasoft.com/products/ad_aware_free.php Ad-Aware 2007 Free

http://www.safer-networking.org/en/download/index.html Spybot - Search & Destroy

http://www.ewido.net/en/download/ AVG Anti-Spyware

其它可参考的资源：

http://www.download.com/Spyware-Center/2001-2023_4-0.html?tag=dir

http://spywarewarrior.com/asw-features.htm#rec

http://www.spywareinfo.com/downloads.php?cat=sp#det

进阶篇

1. 利用现有的杀毒软件，更新到最新病毒特征代码库，查杀病毒，记录下那些未能成功杀掉的病毒名称。

2. 上网搜索专杀工具，用专杀工具消灭之。

3. 运行Hijackthis、AutoRuns这类的软件分析一下是否还有异常。有经验的朋友用途即在于此，他们可告诉你分析结果中哪些可删除哪些最好不要删除。人缘人品差的也不怕，还可以找一台操作系统版本相符的计算机，一边对比一边判断。假如A中毒，B正常，B中没有的东西，A里面有，肯定可以安全删除，大不了就重装应用软件。如果是A和B里面都有，建议比较文件的md5结果，结果不一样的就值得怀疑了。如果大家的电脑里都有的东西，最好google清楚，不要误删了系统关键进程或服务就很麻烦了。

4. 根据分析结果用上述工具消灭或辅以KillBox等杀人不眨眼的工具开刀。自己看文档，不要问怎么用！！

5. 注意HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 这个键值，很多程序不能运行或许和这里有关。

6. 小心%systemroot%\system32\Rundll32.exe "%systemroot%\system32\ddodtt73.dll",DllCanUnloadNow这类容易忽略的dll，实体程序看起来都是正常文件。

7. 工具软件不好使的情况下，命令行有几条命令也许很适用。写在这里大家不要笑，命令很简单也很古董，其实还多好用的，现在很多人没有接触过DOS或许还不知道。所有命令不知道怎么用都可 命令 /? 调阅帮助信息。

Ren 文件更名

Del 删除文件

Attrib 显示文件属性 S系统 H隐藏 R 只读

Tasklist

Tskill 结束进程

ntsd -c q -p PID 结束进程的强力命令，可结束除纯内核态以外全部系统关键进程

以上方法仍不能搞定的，恐怕就遇到凶险的家伙了，最好请有经验的朋友现场支援，或者自己一边参阅后面骨灰级专家指南并google说法详情。

http://www.tomcoyote.org/hijackthis#Top Hijackthis

http://www.microsoft.com/technet/sysinternals/utilities/autoruns.mspx?wt.svl=whatsnew AutoRuns

http://www.killbox.net/help.html killbox仅有使用方法，自己google下载

再介绍两类其它非常杀毒手段，特殊手段而已，需配合正常方法结合使用！！

方法甲：

1. 将c:/winnt/system32/cmd.exe 更改为cmd.com

2. 点击 开始 —— 运行 输入cmd 确定

3. 在命令提示符下面输入：assoc .exe=exefile

4. 打开Norton等杀毒软件运行程序，升级病毒库定义文件，扫描整个硬盘后、清除病毒。记录杀毒软件工作结果。

5. 然后重启电脑后，检查电脑中是否还有中毒的表征，如果有进安全模式手动清除。

方法乙：

第一步:在“开始→运行”中输入CMD，打开“命令提示符”窗口。

第二步:输入ftype exefile=notepad.exe %1，这句话的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒无法启动了。

第三步:重启电脑，你会看见打开了许多“记事本”。当然，这其中不仅有病毒文件，还有一些原来的系统文件比如输入法程序。

第四步:右击任何文件，选择“打开方式”，然后点击“浏览”，转到Windows\System32下，选择cmd.exe，这样就可以再次打开“命令提示符”窗口。

第五步:运行ftype exefile="%1" %*，将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表，就可以杀掉病毒了。

第六步:在每一个“记事本”中，点击菜单中的“文件→另存为”，就可看到了路径以及文件名了。找到病毒文件，手动删除即可。但得小心，必须得确定那是病毒才能删除。建议将这些文件改名并记下，重启后，如果没有病毒作怪，也没有系统问题，再进行删除。

附：Ftype的用法

在Windows中，Ftype命令用来显示及修改不同扩展名文件所关联的打开程序。相当于在注册表编辑器中修改[HKEY_CLASSES_ROOT]项下的部分内容一样。
Ftype的基本使用格式为:Ftype [文件类型[=[打开方式/程序]]]

比如像上例中的ftype exefile=notepad.exe %1，表示将所有文件类型为EXE(exefile表示为EXE类型文件)的文件都通过“记事本”程序打开，后面的%1表示要打开的程序本身(就是双击时的那个程序)。

ftype exefile="%1" %*则表示所有EXE文件本身直接运行(EXE可以直接运行，所以用表示程序本身的%1即可)，后面的%*则表示程序命令后带的所有参数(这就是为什么EXE文件可以带参数运行的原因)。

骨灰级杀毒工具列表：

1、查毒在正常模式，杀毒在安全模式!
杀除病毒前进入分区采用右击、“打开”方式防自动播放引发病毒杀除病毒前建议首先导入文摘762所有附件， 防文件关联引发病毒

2、工具Hijackthisv最佳拍档：killbox（任何文件的强删工具）扫描后所列每种项目，按下“关于该项目的信息”可获得简短提示 含文件的项，GOOGLE确认为系统文件、各种驱动文件或应用程序文件且在正确的文件夹中，属性、版权信息完整者可放心 不含文件的项，多有问题，参考该文件夹中相关帮助勾选并修复。或贴出来log文件内容到相关论坛寻求分析。

3、Msinfo32模块分析:
关闭IE外所有应用程序后，开始菜单运行msinfo32 查看软件环境\加载模块 点击制造商标签进行排序方便排查，GOOGLE制造商不明的模块文件所列项目单选或按shift键多选后，ctrl-c复制粘贴出来以供分析。

4、icesword http://pjf.blogcn.com/index.shtml http://mail.ustc.edu.cn/~jfpan/
查看问题端口对应程序 查看隐藏服务（红色项） 内核模块平时用菜单log功能作列表备份，以供中毒后分析查看SSDT劫持，底部红色项。

5、x:\windows\system32 x:\windows\system32\drivers
按时间排序，排查近期属性版权信息不全、日期又较孤立的文件 GOOGLE确认,鉴于rootkit渐盛，建议DOS、linux下过滤可疑文件

6、lspfix winsockfix
少数穷凶极恶的病毒劫持了window底层winsock api调用。这个时候可以用lspfix，去除HIJACKTHIS中010 -开头的危险项。 不过注意，一些杀毒软件和防火墙本身也会劫持winsock调用。

7、搜索硬盘Autorun.inf,有立即删除，无用。 HKCU\Softw.\Micros.\Wind.\CurrentV.\Expl.\MountPoints2 分支下若存在shell键，对应各分区自动播放启动文件.

8、filemon regmon（华军等下载网站搜索即得）
在病毒文件、注册表项删除但立刻重复出现的情况下 使用这两个工具，监视病毒文件和注册表项由哪些进程 或线程再次生成。有助发现问题。

9、比系统还原更有效的系统还原步骤：
总不能彻底清除病毒文件，并怀疑系统重要文件被病毒修改的情况下 请插入操作系统安装盘，进入安全模式 运行 sfc /purgecache 再运行 sfc /scannow 之后再进行病毒的排查。