每次开机都弹出个资源管理器我的文档，虽然没什么影响，但是心里总觉得不爽，尝试了几次，都没把它搞掉~~昨晚断网后无聊，又试了一次，终于把它拿下了！:P :victory:

接下来的文字中，对大家优化开机速度，手工清除病毒有点启示，由于偶也不是很懂，所以遇到有疑问的地方不要太相信，有什么不懂的地方，去搜搜，我就不敢解释了呵呵：D 开始了。

俗话说，工欲行其事，必先利其器，先准备几个软件：

Icesword （冰刃，不用说了）
Process Explorer (一个强大的查看进程的工具)  【但是我以前一直用HandleEx查看进程，功能比起前者要弱点，但足够我用了，而且今早才知道它们是一个公司（Sysinternals）】
Autoruns（一个管理开机自动加载程序等东东的软件，同样是Sysinternals的）

另外还有几个工具 Filemon 和 RegMon 分别是监视文件创建运行 和注册表操作的工具（同样的Sysinternals。。。主页是 http://www.microsoft.com/technet/sysinternals/default.mspx 应该是被微软收了，牛 呵呵）Tcpview（监视网络链接，Sysinternals的。。。） Regsnap（注册表快照，用来比较两次注册表改动的），虽然昨天没用到，但也是手杀时很有用的软件。

关于这些软件的下载及用法，大家搜搜就行了。

还有时间稍紧，网速又慢，今天就不抓图了，以后有机会再补吧。

开机加载
一般如果感觉刚进系统后，很慢，那么首先想到的是一些自动运行的程序，这些一般包括开始菜单启动那里的，注册表里Run下面的，winlogon下面的，服务，DLL，如果打开浏览器很慢，我们还可以看下IE的加载项……
这些我们都不用去管它到底在哪，有了Autoruns，我们就可以轻松搞定：D
我们打开Autoruns，它对开机时加载项目都做了分类，我们需特别注意 用户登录，系统登录，资源管理器，IE浏览器，服务，驱动程序这几项，如果想开机禁止某些程序运行，只需去掉对应项前面的勾就行了，比如说QQ，迅雷，Yahoo之类乱七八糟的，有时或出现“找不到文件”的提示，这很有可能是软件卸载、病毒被杀了没请干净留下的。
但是有些病毒光是去掉勾是不行的，这个稍后说。
昨天（像以往一样）偶把Autoruns翻了个遍，把自己敢肯定的不用启动的都去了后，重启依然弹出我的文档（最先怀疑是某个病毒被杀后没在注册表里留下的），接下来就要想想是不是其它什么地方不对了。

杀病毒
昨晚并没有杀病毒，只是这边文章既然提到了，偶就在此抛砖引玉了：D
先不说杀毒软件。
一般怀疑遇到病毒，我们看进程信息，用Icesword 或 Process Explorer(以后简称proc)都行，windows自带的功能弱了点。
弱智点的病毒，单个进程（关于进程，一是靠经验，还有对于有疑问的就搜一下），在注册表里添写东西开机启动，我们现结束它进程找到相应的文件路径，杀掉它就行了，也可以去搜下进程信息，网上写的有手工清楚的方法。
厉害的，几个进程相互守护，隐藏进程，或者线程注入。。。这个就麻烦点了。。。唔。。当然是用Icesword，我觉得它最牛的地方之一就是可以创建规则以禁止某个进程或者线程的创建，这样守护的就没用了。。首先要完全结束病毒运行，再来删文件，修改注册表，要不删不掉，或者删了也白删。
当然冰刃的功能远不止这点，关于冰刃，网上有很多很详细的教程，我就不在此误人子弟了~~—_—
再牛的（我觉得是很难发现的了），什么全局钩子。。什么把自己注册成服务，恶心的还把公司、描述信息那些还搞成微软、一些搞不懂的术语~~这个我的感觉还是靠搜索，没网的时候靠经验~还有最恶心的3721，CNNIC，把自己搞成驱动程序加载。。。但是这样的病毒毕竟少，网上一般有方法，免杀做的好的还是能类似的解决。
一般说来，结合我提到的几个工具，不能完全清除，也可以防止他启动了，（可以windows的组策略或者某些杀毒软件的功能禁止某个文件运行）…………另外进安全模式杀，冰刃可以在安全模式下运行的。
。。。。这个就不写了，越写越乱，也不是几句话就可以说清楚的~。。。。

昨晚的情况，肯定是开机加载什么东西了，肯定不是病毒引起的。。那是什么呢，用冰刃，选择重启并监视（重启后并记录进程创建过程），同时查看Windows日志，看看有木有虾米怪异~~~但是窗口弹出的太早了，比杀毒软件还早，估计是系统自己的什么东东~~~于是我有回到Autoruns，仔细查看用户登陆这个分类，注意到HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 这个项，由于没网，所以也搞不清什么名堂，太转到注册表相应位置看看吧，看到值是userinit.exe, EXPLORER.EXE 奇怪，这个项为什么要启动两个程序呢（以前在清除病毒时遇到类似方法插入进程的），再网上看看，有个SHELL下面也是启动EXPLORER.EXE ，会不会是重复了呢，于是我再运行里执行explorer.exe，果然弹出个我的文档，然后谨慎的把userint里面的EXPLORER.EXE 删了，重启后居然就搞定了：D

通过这次解决过程，……………………（收获以我的表达能力能写的差不多都写了~感想就免了）

结束。

[ 本帖最后由 Subaru 于 2007-1-15 20:49 编辑 ]

对了，还有个软件SSM（System Safety Monitor）也是很有用的软件，但是新版本开始收费了，比较郁闷。

shell就是加载windows的界面管理器，也就是explorer.exe的吧，以前win98是写在win.ini还是system.ini里面的来得

以前用 windows优化大师优化后也自动打开,后来才知道是因为一个选项

哇！好麻烦，要那么多软件……我清理过一次，比较麻烦的说……手动删除N多病毒文件，其中一个就是白板的explorer.exe（没有电脑图标的explorer我叫他白板）然后运行msconfig，在里面把看着不顺眼的都给关掉，后来又清查注册表，因为当时中的是rose病毒，所以搜索rose，把一切带rose的键值都删掉了，可是TNND还是往外弹，最后到百度知道上一搜索，发现还有改那个userini的键值，就是把那个explorer.exe删掉，嘿嘿，最后才不弹得。说得比较简单，但是做起来挺麻烦的，有空我把那个文章给贴过来，不需要别的软件，我就喜欢这点。

好 谢谢了  万分感谢 真的