作者：吴金刚

【前言】

         因为怕影响网速，所以仍有许多人没有安装杀毒软件，一般人们在未安装杀毒软件，常用的查找病毒的方法是利用搜索引信查找在

线查毒，利用不同的查度软件交叉查毒，最后再寻找可行的杀毒方法

   以下软件可在线查毒,星期六,曰在线杀毒

雅虎助手—金山毒霸       全天免费查毒       周末免费杀毒        客服热线：010-82331816 推荐：金山毒霸2007杀毒套装 全面防护您的电脑安全

雅虎助手—瑞星       全天免费查毒       周末免费杀毒        客服热线： 010-82678800

因为病毒的不断更新，所以许多时候，杀毒软件也很难查找到可以病毒，采用以下方法，一般可以在没有装杀毒软件的情况下，及

早的发现可以进程，达到提前预防的目的，因本人电脑技术有限，只能采用以下方法查找病毒，希望本贴能起到抛砖引玉的效果

【正文】

1       查找可以进程或服务，具体方法有三种

         1）      在安装WINXP等操作系统时，记录相关进程

                   方法：按键盘CTRL+ALT+DEL键。查看并记录初始状态进程（与以后进程做比较用）

         2）      开始------运行------Msconfig，记录启动选项卡中启动的项目（与以后进程做比较用）

         3）      查找不明服务：开始------运行------Msconfig，点击服务选项卡，在选项卡最下面□隐藏所有Microsoft服务（I）打√，显示的

就为可疑服务，详见：http://sgy.edu.topzj.com/thread-34029-1-1.html
        
2     用搜索引信搜索可疑程序、服务，查看具体来源，看看是不是病毒程序或服务

3     利用网络搜索出的处理方法进行处理

[注:]下载软件后,一定要先杀毒再安装,下载须去正规网站

曾经经历的病毒

1      GrayPigeon_Hacker.com.cn

2       logo1_.exe rundl132.exe 病毒(4楼有详细查杀方法） 【尝试有效】
   
        发现更详尽的介绍BBS：http://www.topzj.com/5/061014/104319.htm





















以下是网上搜索的杀毒方法：

举例：
1     graypigeon_hacker.com.cn进程【图1】

发现过程：见【新手教程】用活系统配置实用程序 Msconfig
http://sgy.edu.topzj.com/thread-34029-1-1.html


2     看看是否为病毒，使用搜索引信搜索【图2】


3     搜索到的结果【图3】


4     点击搜索的文章，查看病毒特征和处理方法

病毒别名： 处理时间：2006-06-15 威胁级别：★
中文名称： 病毒类型：黑客程序 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒是一种可以进行远程控制的黑客病毒，是灰鸽子病毒的一个变种。运行该病毒会在系统留下后门，有随时给别人入侵的可能。它不会自动传播，建议电脑用户不要随便运行不名程序或者打开陌生人邮件的附件，以免中毒受损。

1、生成的文件
%SystemRoot%\Hacker.com.cn.exe
%SystemRoot%\uninstal.bat

2、注册表修改项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn
"Description" = "灰鸽子服务端程序。远程监控管理."
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn
"DisplayName" = "GrayPigeon_Hacker.com.cn"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\GrayPigeon_Hacker.com.cn
"ImagePath" = "C:\WINNT\Hacker.com.cn.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker.com.cn
"Description" = "灰鸽子服务端程序。远程监控管理."
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker.com.cn
"DisplayName" = "GrayPigeon_Hacker.com.cn"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker.com.cn
"ImagePath" = "C:\WINNT\Hacker.com.cn.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker.com.cn
"Start" = "0x2"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\GrayPigeon_Hacker.com.cn
"Type" = "0x110"

3、该病毒在系统添加的服务
名称：GrayPigeon_Hacker.com.cn
描述：灰鸽子服务端程序。远程监控管理.
可执行文件路径：C:\WINNT\Hacker.com.cn.exe

4、批处理文件uninstal.bat内容
---------------------------------
:try
del "原病毒文件"
if exist "原病毒文件" goto try
del %0
exit
----------------------------------

5、该病毒会打开并起挂一个IEXPLORE.EXE进程，并把病毒代码取代原IEXPLORE.EXE程序代码，借此来掩饰自己驻留在留存当中。此进程并不能使用任务管理器结束。









以下为相关图片：

logo1_.exe rundl132.exe 病毒
我的金山毒霸清除logo1_.exe rundl132.exe病毒n多次，为什么它会经常发作，是不是没清干净啊，若是，请问大家，该如果清理？网上的说明太多了，我也搞不清楚情况，想听针对性强的建议。呵呵。
[/quote]


我的Logo1_.exe手动杀毒经历（有效，推荐试试）

手动清除Logo1_.exe病毒:
进入安全模式，如进程内有其它非系统进程，把它们全结束，确认进程表只除系统进程外没其它进程正运行；
1、动行regedit，Clrl+F查sws32.dll，KILL.EXE，logo1_.exe，sws.dll，rundl132.exe等删除掉；
2、找到注册表中[hkey_local_machine/software/soft/downloadwww] auto = 1 删除downloadwww主键；
3、删除c:\windows 目录下KILL.exe、sws.dll、sws32.dll、rundl132.exe、logo1_.exe、winnt.bmp、文件；
4、装瑞星2006或其它杀毒软件(虽然有杀毒软件可以杀,但如果只是杀毒不按上面的方法的话,你重启后病毒也会重生的!!)完后不要重新启动（切记）直接升级病毒库，升级完后。然后运行杀毒软件开始杀毒。杀完后。还有几个杀毒软件无法删掉的东西要把名字记下来。因为不同的系统有不同的名字。所以这里说不清楚了。自己记下来。重新启动后再次杀毒。记的把可疑的进程的结束。否则杀毒软件无法干净杀毒。还有最重要的一点记的把杀毒软件无法清除的病毒设置为删除文件。
5、最后为了安全起见，还可以搜索所有盘的EXE，RAR，DLL等文件进行查杀；（这样就万无一失了！^_^）
5、打开搜索，搜索全部_desktop.ini文件删除；
6、打开组策略--运行 gpedit.msc---用户配置--管理模块--系统-指定不给windows运行的程序 点启用 然后 点显示 添加 logo1_exe 那样可以阻止LOGO1病毒的运行和发作。
7、制作LOGO1_.exe 免疫补丁，方法如下：
（1） 编写批处理文件。开机自动删除logo1_.exe 作用是即使中了该病毒，由于开机后自动删除该病毒。那么该病毒永远无法发作。
批处理文件内容如下：
del c:\windows\logo1_.exe (就这一行。先保存为记事本，然后保存为.bat的批处理文件。
（2）设置改批处理开机自动运行。
修改注册表 加入以下项
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"auto"="c:\auto.bat"  
把上端文本保存为 .REG 文件。然后导入注册表。{ E:\\网络游戏[url=file://\\auto.bat]\\auto.bat[/url] } 该路径为你刚刚编写批处理所在的目录。很重要。
这个方法我一直在用,直至有一次........
当我再次中了这个病毒后(我机子一般只有一个天网防火墙-_-||...),我又用同样的方法去杀,前面的步骤还顺利但到用杀毒软件杀时出现问题了,原来的杀毒软件竟查不收病毒??后来又重装杀毒软件也不行,最后还下载了N多种杀毒软件一样查不收!!什么卡巴斯基,金山,ewido,木马清除大师,木马克星,都说机子没毒!!直是百想不得其解,同样的病毒无论名字,病发现象全都和以前的病毒一模一样,但就是查不收病毒来,就算杀不了最起码也会查到吧!但也查不出,这次真是难到我了!!

  在经过一个通宵和病毒和苦战后,我最终想出一个最好的办法来了
基本是基于以前的手动方法下,在防疫和抑制方面加强了让病毒以后都不会出现,就算下载 了一个病毒文件也不会中毒(只是在我自己的机子上试过!...)
详情就是在以前手动杀毒的基本上杀毒和免疫那里不要,用这个方法来代替,结合以前的手动杀毒后总结起来是:
最新的手动清除logo1_.exe病毒方法:
进入安全模式，如进程内有其它非系统进程，把它们全结束，确认进程表只除系统进程外没其它进程正运行；
1、动行regedit，Clrl+F查sws32.dll，KILL.EXE，logo1_.exe，sws.dll，rundl132.exe等删除掉；
2、找到注册表中[hkey_local_machine/software/soft/downloadwww] auto = 1 删除downloadwww主键；
3、删除c:\windows或C:\winnt 目录下KILL.exe、sws.dll、sws32.dll、rundl132.exe、logo1_.exe、winnt.bmp、文件；
4、在c:\windows或C:\winnt目录下新建几个文本文件，全改名为你刚删除的病毒文件名，就是KILL.exe、sws.dll、sws32.dll、rundl132.exe、logo1_.exe、winnt.bmp ，注意连扩展名一起改，且要加上只读属性，这样可以保证以后运行病毒文件这两个病毒主体不会再被生成，接着修改注册表的启动项，使这两个病毒程序（现在已不是病毒，而是你自己建的程序）不随windows启动，否则的话因为这样的程序没法运行，你可以试一下自己的去打开那个文件，它只会提示“不是有效的可执行程序”，就表明你成功了。
5、最后为了安全起见，还可以搜索所有盘的EXE，RAR，DLL等文件进行查杀；（这样就万无一失了！^_^）
5、打开搜索，搜索全部_desktop.ini文件删除；
6、打开组策略--运行 gpedit.msc---用户配置--管理模块--系统-指定不给windows运行的程序 点启用 然后 点显示 添加 logo1_exe 那样可以阻止LOGO1病毒的运行和发作。
7、最后就是文件恢复工作了，因为没用杀毒软件，所以不能看自动让中毒文件恢复过来，但手动的话一样可以做到。。。。就是：
同上面的方法有点相同，在C:\WINDOWS\system32或C:\WINNT\system32 目录下复制conime.exe、cmd.exe到别的地方做备份（等下要放回去的，不能直接删掉，会让系统出现问题的,有点危险性，但不直接删掉就没事了！-_-||），然后删除原文件，新建2个文本文件，分别改成conime.exe和cmd.exe，同上面一样注意连扩展名一起改，且要加上只读属性，动作要快，因为这个文件一量删除系统会自动重新生成一个同样的文件，如果不快点改成只读的话，系统生成的文件会把你新建的文件覆盖掉，这时就算改了都没用，这样的话又要重新删除、新建了，所以要在系统生成文件前改掉属性，如果想在外面先改好再剪粘过来的话也是不行的，（就是说要和系统比快啰！！郁闷~~）
8、当做好以上的工作后，你就可以进行恢复工作了！！现在你要亲自找出中毒的文件（一般中毒的文件图标都变得模糊，一看就知道了！可以用搜索找出所有EXE，RAR文件，一般如果中毒后运行了的话，你的所有EXE，RAR文件都已经中毒了），找出中毒文件后，要一个个地打开它！（因为你已经做好前面的工作，就算运行了也不会有事）打开后又打开进程管理关闭进程，这时你原来中毒文件的文件夹里就会生成一个好的文件，只是比原名多一个.EXE而已，就是变成“原文件名.EXE.EXE”,只要去掉一个.EXE就行了。你的文件就变回正常了，图标也变清析了！
9、当恢复所有中毒文件后，你就可以把刚才备份下来的conime.exe、cmd.exe覆盖回去！！你的机子又正常了~~~~
这个方法麻烦是麻烦了点，但却不但可以清除病毒，而且可以预防以后再中毒，就算以后再下载了一个有毒文件也不会有事了！！只有c:\windows或C:\winnt 的假病毒文件还在，你就不会再中毒，以后你就可以放心下载东东了！！
提示：如果你的杀毒软件是可以查杀这个病的话，最好是全面再杀一次，看有没有漏网之鱼。。。。来个砍草除根~~~~