计算机病毒的手工清除

摘要：本文通过清除一个病毒的实例，介绍了手工清除计算机病毒的一般方法，具有通用性。

关键词：计算机病毒；注册表；清除

1 病毒症状

最近电脑发现一病毒，其中毒时瑞星防火墙弹出c:\windows\system32\TxHMou.Exe窗口，要求修改注册表，如果选择拒绝，则不断弹出该窗口，使系统无法正常工作，下面将该病毒的手工排除方法与大家分享，希望对大家清除病毒有一定的借鉴。

我们知道system32下的文件为系统文件，而在system32下没有TxHMou.Exe文件，因此要将该文件删除，可是不管是双击C盘，还是右击C盘再打开，均报如图所示的错误。

2 删除病毒文件

在地址栏中输入C：，可打开C盘进入windows\system32，发现许多的系统文件夹的日期被改为当天的，而且还增加了许多文件。于是进入安全模式去删除当天建立的文件，方法很简单，注意一定要进入安全模式，否则删除时报文件被调用，删除不了。

3 清理注册表

我们经常听说某某病毒太厉害了，老是杀不到或者前面刚杀，重新启动机器又来了，其实是没有了解病毒的传染原理，病毒为了隐藏自己并实施破坏，必须随系统而启动，病毒只有写入到注册表的相关项中，才能随系统启动，因此，手动清除病毒时，必须知道病毒通常在注册表的哪些地方加载，然后才能到清理注册表中的相关项去删除病毒文件，下面通过实例介绍该病毒在注册表中加载的分支。

(1) 查找病毒文件

为了使系统重新启动后能正常运行，必须修改注册表。进入注册表，通过“查找”命令，查找“TxHMou.Exe”文件，找到后删除。

(2) 查看注册表的关键分支

我们知道病毒文件通常在下面三个分支中加载，因此清除病毒就必须从这三个分支着手。

首先是HKEY_CURRENT_USER\Software \ Microsoft \ Windows \ CurrentVersion

Run分支，该分支中列出当前登录用户登录时运行的文件，查看该分支中有无异常的启动项；

其次是HKEY_LOCAL_MACHINE\SOFT

WARE\ Microsoft\ Windows\ CurrentVersion

Run分支，因该分支中列出了MSCONFIG启动项中运行的文件，因此查看该项中有无异常的启动项；

再次是HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Ex

plorer\MountPoints2分支，打开其下的文件夹，仔细查看发现其下多了很多文件夹，展开每个子文件夹，发现下面有很多不正常的调用，如图 中的H:\setip.exe,0。

继续展开其中的一个分支，如HKEY_CU

RENT_USER\ Software\ Microsoft\ Windows

CurrentVersion\Explorer\MountPoints2\ {82b

d5e5e-4ca8-11dc-895a-806d6172696f}

Shell\AutoRun\command分支，发现有非法调用C:\soS.Exe，但进入C盘未发现soS.Exe文件，那肯定是隐藏了。

4 删除soS.Exe文件

(1) 改变隐藏属性

方法：工具/文件夹选项/查看/隐藏文件和文件夹中选“显示所有文件和文件夹”/应用确定后，再查看还是看不到，此时再次查看文件夹选项发现“隐藏”属性没有改过来，重复几次无果。

(2) 修改注册表的相关分支的键值

HKEY_LOCAL_MACHINE\SOFTWARE

Microsoft\ Windows\ CurrentVersion\Explorer\ Advanced\ Folder\ Hidden\ SHOWALL的CheckedValue改为1，然后再修改“隐藏”属性，发现仍然无法修改其属性，后经研究发现键值项CheckedValue的类型变为REG_SZ，而正常的应为REG_DWORD，于是删除该键值项，并新建一个DWORD的键值并命名为CheckedValue，将其值改为1。此时，再修改“文件夹”属性，然后进入每一个盘的根目录发现每个盘的根目录下均有AuToRUN.Inf和soS.Exe文件。

(3) 删除AuToRUN.Inf和soS.Exe文件

继续在安全模式删除，进入每个盘符将这两个文件删除，至此病毒全部清除，重新启动电脑一切正常。注意：该病毒有时还会修改系统日期，使你不易发现它，笔者发现上述病毒有时将系统日期年份改为2000年，月日不变，此时你就要查看任务栏下的日期是否与system32文件夹的日期相同，你可以试着去修改系统日期，你会发现在任务栏下系统日期无法修改。

5 结语

计算机病毒目前十分流行，但并不可怕，只要知道计算机病毒的特征，熟悉计算机操作系统的系统文件命名规则，并仔细识别系统文件名及其常用系统文件存放的路径，知道病毒在注册表中通常都在哪些地方加载等，那么我们就能做到手到病除。通过对上述病毒的清除过程的介绍，其他的病毒也可使用类似的方法清除，具有通用性。