东方之爱

    对于windows xp和windows me系统，在清除病毒时，强烈建议关闭系统还原功能。详细的操作步骤，Windows Me/XP 中的系统还原选项”部分。

    Windows ME右键点击“我的电脑”，在出现的菜单中选择“属性”，打开“系统属性”对话框。切换到“性能”选项卡， 点击“性能”选项卡中“高级设置”下的“文件系统”按钮，出现“文件系统 属性”对话框；然后切换到“疑难解答”选项卡，在“设置”中最后一行“禁用系统还原”前打上勾。

    Windows XP右键点击“我的电脑”，在出现的菜单中选择“属性”，打开“系统属性”对话框。切换到“系统还原”选项卡，在其中“在所有驱动器上关闭系统还原”前打上勾。

    请注意修改windows 2000，windows xp系统管理员口令，不要使用空口令或弱口令，安全的密码建议为字母、数字、特殊字符的组合。另外，定期使用windows update修补系统安全漏洞。有关进一步的信息，请参考windows帮助。

    杀毒方法步骤：
    首先断开网线，杀毒，打开监控，最后联网，避免病毒通过网络再次感染本机。
    正常情况下无法清除病毒的原因：
    1.有的病毒会插入系统进程或者利用系统漏洞等等，在正常情况下无法杀死，请到安全模式或者DOS环境下查杀。
    2.如果是CPY（windows的还原文件）,CAB或者是exe为后缀的自解压文件，请先还原或者解压文件后再查杀。
    手动删除病毒步骤:
    1.打开任务管理器，结束可疑进程，注意，有的进程是结束不了的，这种情况下就要进入安全模式。
    2.删除指向病毒文件（文件不一定是exe，也可能是dll，利用远程线程或者挂钩技术插入系统进程）。
    3.删除注册表中的键值

    如何显示所有文件和文件夹（隐含及系统保护）
    Windows 98在“我的电脑”或“Windows资源管理器”窗口菜单栏中点击“查看”>>“文件夹选项...”，在出现的“文件夹选项”对话框中点“查看”选项卡，然后在其中点选“显示所有文件”，最后“确定”。其中去掉“隐藏已知文件类型的扩展名”前的勾，则显示所有文件的扩展名。

    Windows XP在“我的电脑”或“Windows资源管理器”窗口菜单栏中点击“工具”>>“文件夹选项...”，在出现的“文件夹选项”对话框中点“查看”选项卡，然后在其中去掉“隐藏受保护的操作系统文件”前的勾，点选“显示所有文件和文件夹”，最后“确定”。其中去掉“隐藏已知文件类型的扩展名”前的勾，则显示所有文件的扩展名。Windows 2000与Windows XP操作类似。  

如何使用Windows Update
1.Windows Update为Windows系统自带的功能，用于Windows系统的在线更新。
要启动Windows update，可以从“开始”菜单、IE菜单栏上的“工具”菜单中的“Windows Update”等地方点击运行Windows Update

当然你也可以设置自动更新

2. 启动Windows Update后，如图所示，首先MS会搜索当前系统中的Windows Update版本，如果版本过旧，则会首先要求用户安装新版本的Windows Update。进入“欢迎界面”后，点击图中“查看以寻找更新”开始搜索系统所需要安装的关键更新、Service Pack及一些其它更新。

3. 搜索完毕后，会显示出系统需要安装的关键更新和Service Pack及其它更新。
其中，最为关键的是“关键更新和Service Pack”，用户可以点击左边对应的“关键更新和Service Pack”，系统会在右边显示出当前系统所需要安装的“关键更新和Service Pack”，默认情况下，这些全都是选中状态。


用户如果需要安装的话，点击“复查并安装更新”按钮，Windows Update系统会显示出准备安装的“关键更新和Service Pack”的列表和所需下载文件的大小和时间。确认后，点击“立即安装”按钮，Windows Update系统便开始下载并安装所选择的“关键更新和Service Pack”了。

4. 最后，安装完毕，有时可能会提示需要重新启动系统。

如何删除病毒/木马程序的自启动项

从注册表编辑器中删除病毒文件的自启动项

打开注册表编辑器：“开始”>>“运行”，输入“REGEDIT”，点击“确定”打开注册表编辑器。在这里为了能结合实际地说明一些问题，特别介绍删除病毒Lovgate.w （aka
Supnot.w）的自启动项。（以Windows 2000为例）
一般病毒经常会将自己的自启动项加在注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVe
rsion\Run下，这也是最常见的一个自启动项位置，如图：


对于病毒的自启动项，我们一般可以直接删除。
注册表的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce和HKEY_LOCAL_MACHINE\
SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices也是病毒经常添加自启动项的地方，如图：


另外，注册表的HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows下的run和load也会被病毒程序利用起来加上它们的自启动项，只不过不是非常多见，所以有些用户也不十分清楚它在注册表编辑器中的位置，不一定能在注册表编辑器中找到这里，这个时候，我们可以使用菜单“编辑”>>“查找”功能来查找一下我们所要找的病毒自启动信息，如图，我们输入病毒文件的完整文件名来进行查找：


通过查找，我们可以很轻松地找到它的自启动信息和其它一些相关信息
使用“系统配置实用程序”来管理自启动项信息
我们知道在Windows 9X和Windows XP中都有一个叫作“msconfig”的东西，这个就是“系统配置实用程序”， 通过它，我们可以方便地管理一些程序的自启动信息。
打开系统配置实用程序：“开始”>>“运行”，输入“msconfig”，点击“确定”打开系统配置实用程序。在“系统配置实用程序”的“启动”选项页上我们可以看到有一个启动程序列表，它们前面的勾表示它们是否在系统启动时也随系统同时启动。一般对于病毒的自启动项，我们可以在这里将它们前面的勾去掉，如图：

另外，在下图中所示的位置也有可能成为病毒加载自启动项的地方，如果被病毒修改了，我们一般可以直接修改这里：


使用第三方工具
除了通过使用“系统配置实用程序”和直接修改系统注册表的方法来去除病毒的自启动项外，我们还可以使用一些第三方的小工具来去掉或编辑这些启动项，比如HijackThis等等。
小技巧：Windows 9X和Windows XP中的msconfig.exe程序也可以在Windows 2000下直接运行，同样可以显示修改Windows 2000中的“启动”信息。 

常用小工具

最好的流氓软件清理 恶意软件清理助手(RogueCleaner) 360安全卫士

本软件可以完全清除掉上大多数的流氓软件,清理时最好在windows的安全模式下进行!

进入下载 RogueCleaner1 进入下载 RogueCleaner 2
进入下载 360安全卫士
Icesword v1.18（新手慎用）
①这是一斩断黑手的利刃，它适用于Windows 2000/XP/2003 操作系统，其内部功能是十分强大，用于查探系统中的幕后黑手-木马后门，并作出处理。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword 使用了大量新颖的内核技术，使得这些后门躲无所躲。当然使用它需要用户有一些操作系统的知识。使用前请详细阅读说明。
在对软件做讲解之前，首先说明第一注意事项：此程序运行时不要激活内核调试器(如softice)，否则系统可能即刻崩溃。另外使用前请保存好您的数据，以防万一未知的Bug带来损失。
IceSword目前只为使用32位的x86兼容CPU的系统设计，另外运行IceSword需要管理员权限。
②最新版本下载地址：
中文：ftp://202.38.76.151/pub2/Kernel/Windows/tools/IceSword1.18.rar MD5: 3FC619D8447939EEB80F4E5F6B29CBA4
英文：ftp://202.38.76.151/pub2/Kernel/Windows/tools/IceSword1.18en.rar MD5: FD20378C7FC63AEE03A173F79D2B5482
killbox v2.0.0.175
①说明：国外反病毒论坛很受欢迎的工具软件，与 HijackThis 是最佳配合，实质是一个删除任意文件的利器，它不管这个文件是EXE还是DLL等其它文件，也不管这个文件是正在运行中，还是被系统调用了，KillBox 都可以简单几步就将文件删除。
②使用简介：http://forum.ikaka.com/topic.asp?board=28&artid=5454397
③下载地址：http://wx.onlinedown.net/soft/37257.htm
System Repair Engineer 2.0.21.505（RC2）
①说明：System Repair Engineer(SREng) 是一款全新的、强有力的、可扩充的用于调整和修复你系统的免费工具，在这个工具的帮助下，你可以察觉你的系统故障并能够很容易的修复他们。
②下载地址：http://www.kztechs.com/sreng/sreng2.zip（404.86K）

RootkitRevealer 1.20
①说明：RootkitRevealer ，用来检测系统里边是否运行着Rootkit，通过分析注册表和系统API文件差异，它能检测出来www.rootkit.com 发布的所有rootkit，包括AFX、Vanquish、HackerDefender 等。内包含GUI和命令行两个版本，其中命令行版本配合PsExec 可以执行远程扫描。
http://www.sysinternals.com/Files/RootkitRevealer.zip
②下载页面：http://www.sysinternals.com/utilities/rootkitrevealer.html
灰鸽子专用卸载程序:
卸载灰鸽子 [辐射正式版] 和 DLL版服务端 牵手版服务端
http://down.huigezi.net/tools/un_hgzserver.exe
灰鸽子VIP2005服务端专用卸载程序:本程序可以自动检测和清除灰鸽子VIP2005版服务端端
http://down.huigezi.net/hgz/DelHgzvip2005Server.exe
这些工具由灰鸽子工作室开发的

Procexp和Autoruns
下载地址：
http://www.sysinternals.com/Files/ProcessExplorerNt.zip
http://www.sysinternals.com/Files/Autoruns.zip
相关帖子链接：http://forum.ikaka.com/topic.asp?board=28&artid=7318038

江民震荡波漏洞(MS04-011)、冲击波漏洞(MS03-026),Jpeg漏洞(MS04-028),IFRAME漏洞(MS04-040)LoadImage(暂无官方补丁)的文件补丁程序（推荐）

    MCAFEE病毒专杀下载 金山毒霸专杀下载 瑞星专杀下载 诺顿免费病毒专杀工具下载

    免费的金山毒霸下载（使用免费，适合临时杀毒用）

    小鬼当差（绿色的防火墙）  查杀木马辅助工具 （由灰鸽子工作室出品）

    如果您的浏览器被改了首页，如果您的注册表被修改，别急看了这里就能解决您的问题

    一、 瑞星注册表修复工具

　　这是从瑞星2004杀毒软件中提取出来的一个专门用来修复注册表的小工具，大小只有448KB，目前版本为1.0，下载地址：点击这里直接下载。双击RegClean.com，随即进行扫描，发现问题将及时提醒用户进行修改，并可以执行“操作→修复”。另外点击“历史记录”按钮还可查看对注册表进行的具体修改（包括用户自己进行的修改），并可返回原始状态（“操作→恢复记录”）。

　　二、 金山毒霸IE修复工具

　　该工具个头更小，只有300多KB，但功能却非常强大，下载地址：点击这里直接下载。打开主界面后，在右侧的控制中心你可以选择要修复的选项：IE常规、启动运行、右键菜单。在“IE常规”项中你可以选择是解锁注册表，还是恢复被修改的IE主页，或具体要恢复哪种文件的关联；在“右键菜单”项中你更可以任意删除其中的冗余项。

　　三、 RegFix注册表关键键值修复工具

　　目前最新版本为v1.2.1.0，下载地址：点击这里直接下载。解压后双击执行文件，它首先会提示你有无安装系统的KB824146 补丁，同时还会列出该补丁的简单介绍和下载地址。当出现软件主界面后，你可以选择“全自动修复”，但该功能目前尚处于测试阶段（仅供测试），还是手工来修复吧！在“手工修复”下有“基本功能”和“高级功能”两大选项。在“基本功能”中有“文件关联”、“IE控制类”和“Windows Shell控制类”三个大选项，在右侧窗口中你可以点选具体的修复项。在“高级功能“中有一项功能非常引人注目，即“证书安装屏蔽”，它可以屏蔽令人讨厌的IE控件窗口的弹出，如3721中文邮等。

　　四、IE修复工具

　　该软件的强大之处不仅在于对IE的修复上，还可以指导升级你的IE，下载地址：点击这里直接下载。打开主界面，进入“IE信息”标签，在这里会自动显示你的操作系统及IE的版本号，以及各补丁的安装情况，还提供了各补丁的下载按钮供使用。除了IE，还有Office、Windows Media Player等常用软件补丁的下载按钮，非常方便。如果你的IE出现问题，你可以在任一标签中点击“一键修复”按钮，如果你误删了桌面上的“回收站”、“我的电脑”图标，也可用此法修复。另外当你想重装IE，可能需要修改现有IE的版本号，只须在“其它修复工具”标签中点击相应按钮即可。

    五、进入3721上网助手修复

    六、黄山IE修复专家 进入下载页面

    修复恶意网页破坏的IE ,系统优化；清除QQ自动发送信息病毒，黑客、蠕虫、木马病毒；可以修复经常性间隔一段时间就自动打开网页及还原被用户修复的IE等。特点：无需时时运行监测恶意代码，减少系统开销;无需提前备份，中了恶意网页及黑客木马病毒攻击后也能一键修复。

    七、对付外国的恶意网站CoolWeb Shredder

    解决*被重定向到CoolWebSearch相关网页*当输入错误的网址时被重定向*当访问Google时被重定向*输入字符时IE速度严重减慢*重启动后IE主页/搜索页被更改*不请自来的受信任站点*收藏夹里自动反复添加成人网站*在使用Google和Yahoo搜索时出现某些弹出窗口*启动时Win.INI或IEDLL.EXE出错 *IE 选项卡中出现不能更改或被隐藏的项目*不能打开 IE 选项卡

    使用说明 下载 下载

    八、最后一招使用HijackThis

    不需要安装即可使用，我们只要双击压缩包中的HijackThis.exe，就能直接打开程序的主界面了。软件的使用非常简单，点击“Scan”按钮它会自动对系统进行全方位的安全检测，检测内容包括搜寻所有强行“捆绑”在IE浏览器上的各种恶意程序，以及出现在IE工具栏或右键菜单中的各种快捷命令或图标等。扫描结束后，结果会在界面中显示出来，同时scan按钮变成save log（保存日志）。

点击save log按钮，将日志文件Hijackthis.log保存到您选定的地方，您也可以给这个文件改名字，但建议不要改动扩展名.log

    下载后将LOG发给我的QQ

一旦您获得了我们的建议，决定使用HijackThis修复某些项目。请重新运行HijackThis来扫描，然后在主界面中相应项目前面的正方形里用鼠标点击打勾，接着按下Fix Checked按钮。会有一个安全提示，点击Yes让它继续即可。

    使用说明 汉化版 原版

    总结一下，遇到浏览器劫持，尤其是被外文网页劫持，建议使用使用Spybot-Search&Destroy、Ad-aware、CWShredder.exe这三个免费软件来清除。比较而言，前两者作为对付木马、广告/间谍程序、浏览器劫持等的工具，其覆盖范围更广，但CWShredder.exe作为CoolWebSearch专杀，优点在于升级及时，经常在Spybot-Search&Destroy和Ad-aware还没作出反应时已经可以清除CoolWebSearch最新变种。所以建议遇到浏览器劫持的时候（尤其是被外文网页劫持），先使用Spybot-Search&Destroy和Ad-aware扫描并清除，最后再使用一下CWShredder.exe以确保清除CoolWebSearch最新变种。如果出现CoolWebSearch提示发现问题并修复，重新启动后却问题依旧的现象，建议在安全模式再次使用CWShredder.exe

    最后建议：

1、建立良好的安全习惯，不打开可疑邮件和可疑网站；
2、关闭或删除系统中不需要的服务；
3、很多病毒利用漏洞传播，一定要及时给系统打补丁，微软升级网站；或者使用FIREFOX，防止针对IE的病毒
4、安装专业的防毒软件进行实时监控，平时上网的时候一定要打开防病毒软件的实时监控功能。