如何清除xp中的特洛伊木马

特洛伊木马一个远程控制的黑客工具，它的隐藏性和危害性不是一般的大。在xp系统中，是一个比较背容易盯上的系统，所以xp系统的用户们就要学会自己来手动清除这个特洛伊木马了。

木马藏身地及通用排查技术

●在Win.ini中启动木马：

在Win.ini的[Windows]小节中有启动命令“load=”和“run=”，在一般的情况下“=”后面是空的，如果后面跟有程序，比如：

run=C:Windows ile.exe

load=C:Windows ile.exe

则这个file.exe很有可能就是木马程序。

●在Windows XP注册表中修改文件关联：

修改注册表中的文件关联是木马常用的手段，如何修改的 *** 已在本系列的前几文中有过阐述。举个例子，在正常情况下txt文件的打开方式为Notepad.exe(记事本)，但一旦感染了文件关联木马，则txt文件就变成条用木马程序打开了。如著名的国产木马“冰河”，就是将注册表HKEY_CLASSES_ROOT xtfileshellopencommand子键分支下的键值项“默认”的键值“C:Windows otepad.exe %1”修改为“C:WindowsSystemSysexplr.exe”，这样，当你双击一个txt文件时，原本应该用记事本打开的文件，现在就成了启动木马程序了。当然，不仅是txt 文件，其它类型的文件，如htm、exe、zip、com等文件也都是木马程序的目标，要小心。

对这类木马程序，只能检查注册表中的HKEY_CLASSES_ROOT中的文件类型shellopencommand子键分支，查看其值是否正常。

●在Windows XP系统中捆绑木马文件：

实现这种触发条件首先要控制端和服务端已通过木马建立连接，控制端用户使用工具软件将木马文件和某一应用程序捆绑在一起，上传到服务端覆盖原有文件，这样即使木马被删除了，只要运行捆绑了木马的应用程序，木马又会被重新安装了。如果捆绑在系统文件上，则每次Windows XP启动都会启动木马。

●在System.ini中启动木马：

System.ini中的[boot]小节的shell=Explorer.exe是木马喜欢的藏身之所，木马通常的做法是将该语句变为这样：

Shell=Explorer.exe file.exe

这里的file.exe就是木马服务端程序。

另外，在[386enh]小节，要注意检查在此小节的“driver=path程序名”，因为也有可能被木马利用。[mic]、[drivers]、[drivers32]这三个小节也是要加载驱动程序的，所以也是添加木马的理想场所。

●利用Windows XP注册表加载运行：

注册表中的以下位置是木马偏爱的藏身之所：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersion子键分支下所有以“run”开头的键值项数据。

●在Autoexec.bat和Config.sys中加载运行木马：

要建立控制端与服务端的连接，将已添置木马启动命令的同名文件上传到服务端覆盖着两个文件才能以这种方式启动木马。不过不是很隐蔽，所以这种方式并不多见，但也不能掉以轻心。

●在Winstart.bat中启动木马：

Winstart.bat也是一个能自动被Windows XP加载运行的文件，多数时由应用程序及Windows自动生成，在执行了Win.com或者Kernel386.exe，并加载了多数驱动程序之后开始执行(这可以通过在启动时按F8选择逐步跟踪启动过程的启动方式得知)。由于Autoexec.bat的功能可以由 Winstart.bat代替完成，因此木马完全可以像在Autoexec.bat中那样被加载运行。

木马病毒的通用排查技术

现在，我们已经知道了木马的藏身之处，查杀木马自然就容易了。如果您发现计算机已经中了木马，最安全最有效的 *** 就是马上与 *** 段开，防止计算机骇客通过 *** 对您进行攻击，执行如下步骤：

l 编辑Win.ini文件，将[Windows]小节下面的“run=木马程序”或“load=木马程序”更改为“run=”，“load=”。

l 编辑System.ini文件，将[boot]小节下面的“shell=木马文件”更改为“shell=Explorer.exe”。

l 在Windows XP注册表中进行修改：先在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun子键分支下找到木马程序的文件名删除，并在整个注册表中查找木马程序，将其删除或替换。但可恶的是，并不是所有的木马程序都只要删除就能万事大吉的，有的木马程序被删除后会立即自动添上，这时，您需要记下木马的位置，即它的路径和文件名，然后退到DOS系统下，找到这个文件并删除。重启计算机，再次回到注册表中，将所有的木马文件的键值项删除。

木马在无形中进入系统，很多用户都是无法察觉的，再加上它神秘的隐身地，更是难上加难，用户们只有花更多的时间和耐心去排查，将这个隐藏在系统内的地雷排扫掉，保障系统的安全性。

电脑木马病毒怎么清除(电脑已经打不开了)？

还不行就找一个人现场给你分析 针对解决。因为我们看不见 摸不到 不知道你的具体情况 更不知道你中的是什么毒。重装不重装不是你能决定的，如果系统文件大面积破坏就得重装。好比人全面烧伤就要植皮，不能单纯用药。

为了防止此类事情再次发生，今后怎么办？请看～

只要阅读下面的《防毒真经》就可以远离盗号，黑客攻击，系统破坏，木马病毒杀不完之困扰。 【根本解决之道,不信依旧中毒!】

您是不是感觉杀毒软件排名很高，但是实际使用确实一般呢，病毒杀完又出来，杀毒软件被关闭

这是因为阻止病毒加载能力弱，所以出现反复查杀的情况!

【杀毒排名是给人个用户的迷魂汤】

杀毒市场的泡沫，靠提高排名来扩大自己的市场，但是企业不吃这一套。排名前几名没有一个是在企业级能带来巨大影响的

杀毒排名并不会考虑到阻止病毒加载能力这个因素，不会作为排名标准，所以排名就是只是扫描静态病毒测试。

他们都还是在走传统的路,但像McAfee企业版早已有了Generic Buffer Overflow Protection（缓冲区溢位保护）

没有一个杀毒测试是在测这个的。

原创+心得体会 不可删除/杀不完又出来的病毒/免杀病毒 `杀必~~!!!

杀毒--吸取教训--学习知识--永不中毒 这个才是正确的

杀毒--利用别的给你的具体 *** 照猫画虎-再次中毒-循环 是跳不出的怪圈

想要彻底不中毒并不容易 除非你学习了。 人人都凭几句话就能彻底避免中毒， 那么就不可能有病毒流行，也没有存在的意义。正是因为大部分用户并不是计算机行业或者不是很懂计算机，造成安全意识不强，病毒才得以传播有价值。

【快速成为安全专家3步曲】【之一步学习原理】【第二部找杀毒软件】【第三步McAfee规则杀毒防毒之终极大法】

【之一步学习原理】

《Windows安全原理与技术》[AVI]

http://www.verycd.com/topics/209612/

《病毒防护技巧－东方标准－高显嵩主讲》avi

http://www.verycd.com/topics/193233/

《计算机病毒与维护1-12》[美河原创][西安电子科技大学]

http://www.verycd.com/topics/76357/

《吉大-计算机维护与维修》视频版

http://www.verycd.com/topics/132863/

《计算机病毒与木马程序剖析》

http://www.verycd.com/topics/79116/

《上海交大 *** 安全》[RMVB]

http://www.verycd.com/topics/139299/

计算机精选技巧5000篇 一套非常值得收藏的精品教程 含多方面电脑知识

http://www.97sky.cn/downinfo/2741.html

【第二部找杀毒软件】

【McAfee爱好者 - 麦粉丝中文社区 - 值得信赖的迈克菲学习交流技术社区】

http://bbs.mcafeefans.com/index.php

//**如果有一定的计算机知识 推荐使用McAfee企业版 利用自定义规则打造百度不侵系统。病毒写入不到磁盘干着急没办法。

McAfee公司已经连续六年占据企业级防病毒市场的之一名，并且占据硬件防毒市场之一名。

//**如果你是新手推荐使用ESET NOD32。 卡巴老是提示有风险，让用户判断。用户能判断要你做什么。所以不适合新手。

【节省你的银两--杀毒软件大全】特集：26种手机杀毒软件 for Symbian系统(9 MB)

包含:①金山,②McAfee(迈克菲/麦咖啡),③Syamtenc(赛门铁克)/Norton(诺顿),④卡巴斯基,⑤Avira(小红伞),⑥ESET/NOD32,⑦avast!,⑧Bitdefender,⑨Trend Micro/PC-cillin(趋势科技),⑩Panda(熊猫),⒒F-Secure,⒓F-Prot,⒔G DATA,⒕CA,⒖AVG,⒗Norman,

【节省你的银两--杀毒软件大全】的信息转移到百度空间:

http://hi.baidu.com/eriko_futami/blog/item/8cfb39d3d55ce7daa9ec9afe.html

【第三步McAfee规则杀毒防毒法】

如果你安装了McAfee 企业版防毒软体 可以很容易搞定 不可删除/杀不完又出来的病毒/免杀病毒终结者

【McAfee规则杀毒防毒法-防止USB一定设备自动运行auto实例】

开启McAfee控制台-打开访问保护-右键属性-用户定义的规则-新建(F)-注册表阻止规则。

填写如下资料: (进程可带路径,可以使用通配符)

规则名称:禁止生成自动播放选项

包含进程:*

排除进程：预留空

要保护的注册表项。HKCU /Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/**

要阻止的注册表操作: 除了删除 读取其他都选上。

然后再确定保存 看McAfee日志 是什么程序产生了那些文件

然后按照同样的 *** 把根源程序阻止 然后就能轻易删除 杀毒就是这么容易。

日志就是这么一个例子:

2008-7-18 14:12:45 将由访问保护规则 (当前不强制执行规则) 禁止 MSDN-XP\McAfee C:\DOCUME~1\McAfee\LOCALS~1\Temp\Rar$EX00.172\UXTender.exe C:\Documents and Settings\McAfee\Local Settings\Temp\Rar$EX00.172\UXTender.exe 防间谍程序更大保护:禁止所有程序从 Temp 文件夹运行文件 已阻止的操作: 执行

这个例子表明前面那个文件运行的结果就是产生那个文件。 分析你阻止的那些文件 阻止掉源头程序。(但不总是这样的，要学会分析.)

【注册表访问保护规则】(利用McAfee自定义规则防止病毒篡改首页实例)

规则名称:自己写

要包含的进程:*

要排除的进程:预留空 根据自己实际填写。可带路径

要保护的注册表项或者注册表值:

选择 HKLM 填入 /SOFTWARE/Microsoft/Internet Explorer/Main/**

规则类型:项

要阻止的操作:选中“向项或值中写入”和“创建项或值”

规则名称:自己写

要包含的进程:*

要排除的进程:预留空 根据自己实际填写。可带路径

要保护的注册表项或者注册表值:

选择 HKCU 填入 /Software/Microsoft/Internet Explorer/Main*/**

规则类型:项

要阻止的操作:选中“向项或值中写入”和“创建项或值”

【注册表访问保护规则】(利用McAfee自定义规则保护安全模式不被病毒篡改实例)

规则名称:自己写

要包含的进程:*

要排除的进程:预留空 根据自己实际填写。可带路径

要保护的注册表项或者注册表值:

选择 HKLM 填入 /SYSTEM/ControlSet*/Control/SafeBoot/**

规则类型:项

要阻止的操作:选中“向项或值中写入”和“创建项或值”和“删除项或值”

怀疑xp电脑的输入法有病毒怎么彻底杀掉木马病毒？

建议你进入安全模式全盘杀毒

进入安全模式的 *** 是

1、在计算机开启BIOS加载完之后，迅速按下F8键，在出现的WindowsXP高级选项菜单中选择“安全模式”；

2、如果有多系统引导，在选择WindowsXP启动时，当按下回车键，就应该迅速地按下F8键（更好两只手进行操作），在出现的WindowsXP高级选项菜单中选择“安全模式”。

木马杀不掉怎么办？

如果遇到这类隐藏性很高的、又释放驱动的病毒，很难处理。所以要先对病毒灭活，杀掉活体病毒之后就很容易查杀了

如果遇到木马或病毒杀不掉，一般是由于木马病毒正在运行，或者有其他的病毒进程守护，造成的。

1、电脑杀毒建议安装专业的杀毒软件，用杀毒软件在安全模式下全盘查杀处理病毒应当可以清理彻底，推荐试试腾讯电脑管家，它是免费专业安全软件，杀毒管理二合一(只需要下载一份），占内存小，杀毒好，防护好，无误报误杀。拥有云查杀引擎、反病毒引擎、金山云查杀引擎、AVIRA查杀引擎、小红伞和查杀修复引擎等世界一流杀毒软件内嵌杀毒引擎！保证杀毒质量。如果遇到顽固木马，可以用首页——工具箱——顽固木马克星，强力查杀，效果相当不错的。

2、安全模式下，将该目录的所有文件按修改时间重新排列，将该病毒以及修改时间和病毒一样的文件删除（先纪录名字）。安全模式下，在运行中输入msconfig，在“启动”中将除了ctfmon之外的所有项目的勾去掉。在安全模式下，把刚才的名字一个一个在注册表中查找一遍，一样路径和名称的键都删除

3、如果遇到所有安全类软件打不开，就可以用安全模式试试。如果安全模式下也进入不了的话没有太好的办法了，可以尝试挂盘杀毒，也可以 *** 一个引导杀毒的工具，很多杀毒软件都有引导杀毒工具，或者是重装系统。

建议你在用杀毒软件检测出木马病毒后，之一时间进行清除。一般当扫描出木马后，都会帮您勾选好所有木马，只需要点击“立即清除”就可以了。有些木马需要重启电脑，为了彻底清除危害千万不要嫌麻烦哦。

XP手动清除病毒木马的通法

“木马”程序会想尽一切办法隐藏自己，主要途径有：在任务栏中隐藏自己，这是最基本的办法。只要把Form的Visible属性设为False，ShowInTaskBar设为False，程序运行时就不会出现在任务栏中了。在任务管理器中隐形：将程序设为“系统服务”可以很轻松地伪装自己。当然它也会悄无声息地启动，黑客当然不会指望用户每次启动后点击“木马”图标来运行服务端，“木马”会在每次用户启动时自动装载。Windows系统启动时自动加载应用程序的 *** ，“木马”都会用上，如：启动组、Win.ini、System.ini、注册表等都是“木马”藏身的好地方。

下面具体谈谈“木马”是怎样自动加载的。在Win.ini文件中，在WINDOWS]下面，“run=”和 “load=” 是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面应该什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成 command.exe(真正的系统文件为command.com)文件，如果不注意可能不会发现它不是真正的系统启动文件(特别是在Windows窗口下)。

在System.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至：“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINESO FTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer键值改为Explorer= “C:WINDOWSexpiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENTUSERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能，更好的办法就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索即可。

知道了“木马”的工作原理，查杀“木马”就变得很容易，如果发现有“木马”存在，最有效的 *** 就是马上将计算机与 *** 断开，防止黑客通过 *** 对你进行攻击。然后编辑win.ini文件，将[WINDOWS]下面，“run=“木马”程序”或“load=“木马”程序”更改为“run=”和“load=”；编辑system.ini文件，将[BOOT]下面的“shell=‘木马’文件”，更改为：“shell=explorer.exe”；在注册表中，用regedit对注册表进行编辑，先在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马”程序的文件名，再在整个注册表中搜索并替换掉“木马”程序，有时候还需注意的是：有的“木马”程序并不是直接 将“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下的“木马”键值删除就行了，因为有的“木马”如：BladeRunner“木马”，如果你删除它，“木马”会立即自动加上，你需要的是记下“木马”的名字与目录，然后退回到MS-DOS下，找到此“木马”文件并删除掉。重新启动计算机，然后再到注册表中将所有“木马”文件的键值删除。至此，我们就大功告成了。

发现病毒，无法清除怎么办？

Q：发现病毒，但是无论在安全模式还是Windows下都无法清除怎么办？

A：由于某些目录和文件的特殊性，无法直接清除（包括安全模式下杀毒等一些方式杀毒），而需要某些特殊手段清除的带毒文件。以下所说的目录均包含其下面的子目录。

1、带毒文件在\Temporary Internet Files目录下。

由于这个目录下的文件，Windows会对此有一定的保护作用（未经证实）。所以对这个目录下的带毒文件即使在安全模式下也不能进行清除，对于这种情况，请先关闭其他一些程序软件，然后打开IE，选择IE工具栏中的"工具"\"Internet选项"，选择"删除文件"删除即可，如果有提示"删除所有脱机内容"，也请选上一并删除。

2、带毒文件在\_Restore目录下，或者System Volume Information目录下。

这是系统还原存放还原文件的目录，只有在装了Windows Me/XP操作系统上才会有这个目录，由于系统对这个目录有保护作用。对于这种情况需要先取消"系统还原"功能，然后将带毒文件删除，甚至将整个目录删除也是可以的。 关闭系统还原 *** 。WindowsMe的话，禁用系统还原，DOS下删除。XP关闭系统还原的 *** ：右键单击“我的电脑”，选“属性”--“系统还原”--在“在所有驱动器上关闭系统还原”前面打勾--按“确定”退出。

3、带毒文件在.rar、.zip、.cab等压缩文件中。

现今能支持直接查杀压缩文件中带毒文件的反病毒软件还很少，即使有也只能支持常用的一些压缩格式；所以，对于绝大多数的反病毒软件来说，最多只能检查出压缩文件中的带毒文件，而不能直接清除。而且有些加密了的压缩文件就更不可能直接清除了。

要清除压缩文件中的病毒，建议解压缩后清除，或者借助压缩工具软件的外挂杀毒程序的功能，对带毒的压缩文件进行杀毒。

4、病毒在引导区或者SUHDLOG.DAT或SUHDLOG.BAK文件中。

这种病毒一般是引导区病毒，报告的病毒名称一般带有boot、wyx等字样。如果病毒只是存在于移动存储设备（如软盘、闪存盘、移动硬盘）上，就可以借助本地硬盘上的反病毒软件直接进行查杀；如果这种病毒是在硬盘上，则需要用干净的可引导盘启动进行查杀。

对于这类病毒建议用干净软盘启动进行查杀，不过在查杀之前一定要备份原来的引导区，特别是原来装有别的操作系统的情况，如日文Windows、Linux等。

如果没有干净的可引导盘，则可使用下面的 *** 进行应急杀毒：

(1) 在别的计算机上做一张干净的可引导盘，此引导盘可以在Windows 95/98/ME系统上通过"添加／删除程序"进行 *** ，但要注意的是， *** 软盘的操作系统须和自己所使用的操作系统相同；

(2) 用这张软盘引导启动带毒的计算机，然后运行以下命令：

A:\fdisk/mbr

A:\sys a: c:

如果带毒的文件是在SUHDLOG.DAT或SUHDLOG.BAK文件中，那么直接删除即可。这是系统在安装的时候对硬盘引导区做的一个备份文件，一般作用不大，病毒在其中已经不起作用了。

5、带毒文件的后缀名是.vir、.kav、.kbk等。

这些文件一般是一些防毒软件对原来带毒的文件做的备份文件，一般情况下，如果确认这些文件已经无用了，那就将这些文件删除即可。

6、带毒文件在一些邮件文件中，如dbx、eml、box等。

有些防毒软件可以直接检查这些邮件文件中的文件是否带毒，但往往不能对这些带毒的文件直接的进行操作，对于一些邮箱中的带毒的信件，可以根据防毒软件提供的信息找到那带毒的信件，删除信件中的附件或者删除该信件；如果是eml、nws一些信件文件带毒，可以用相关的邮件软件打开，确认该信件及其附件，然后删除相关内容。一般有大量的eml、nws的带毒文件的话，都是病毒自动生成的文件，建议都直接删除。

7、文件中有病毒的残留代码。

这种情况比较多见的就是带有CIH、Funlove、宏病毒（包括Word、Excel、Powerpoint和Wordpro等文档中的宏病毒）和个别网页病毒的残留代码，通常防毒软件对这些带有病毒残留代码的文件报告的病毒名称后缀通常是int、app等结尾，而且并不常见，如W32/FunLove.app、W32.Funlove.int。一般情况下，这些残留的代码不会影响正常程序的运行，也不会传染，如果需要彻底清除的话，要根据各个病毒的实际情况进行清除。

8、文件错误。

这种情况出现的并不多，通常是某些防毒软件将原来带毒的文件并没有很干净地清除病毒，也没有很好的修复文件，造成文件无法正常使用，同时造成别的防毒软件的误报。这些文件可以直接删除。

9、加密的文件或目录。

对于一些加密了的文件或目录，请在解密后再进行病毒查杀。

10、共享目录。

这里包括两种情况：本地共享目录和 *** 中远程共享目录（其中也包括映射盘）。遇到本地共享的目录中的带毒文件不能清除的情况，通常是局域网中别的用户在读写这些文件，杀毒的时候表现为无法直接清除这些带毒文件中的病毒，如果是有病毒在对这些目录在写病毒操作，表现为对共享目录进行清除病毒操作后，还是不断有文件被感染或者不断生成病毒文件。以上这两种情况，都建议取消共享，然后针对共享目录进行彻底查杀，恢复共享的时候，注意不要开放太高的权限，并对共享目录加设密码。对远程的共享目录（包括映射盘）查杀病毒的时候，首先要保证本地计算机的操作系统是干净的，同时对共享目录也有更高的读写权限。如果是远程计算机感染病毒的话，建议还是直接在远程计算机进行查杀病毒。特别的，如果在清除别的病毒的时侯都建议取消所有的本地共享，再进行杀毒操作。在平时的使用中，也应注意共享目录的安全性，加设密码，同时，非必要的情况下，不要直接读取远程共享目录中的文件，建议拷贝到本地检查过病毒后再进行操作。

11、光盘等一些存储介质。

对于光盘上带有的病毒，不要试图直接清除，这是神仙也做不到的事情。同时，对另外一些存储设备查杀病毒的，也需要注意其是否处于写保护或者密码保护状态。

参考：http://blog.zol.com.cn/597/article_596994.html

XP中了好多病毒木马,杀不完,求救

先建议使用最新的专业杀毒软件和木马专杀工具Ewido 4.0和卡巴斯基等进行处理，如遇杀毒软件被禁用或杀毒失败或一开机就重新出现的情况：（如果是IE上网浏览的问题，先阅读步骤4 !!）

1.打开windows任务管理器，察看是否有可疑的进程（可以根据杀毒软件的报告或者在网上搜索相关信息来判定）在运行，如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒，有可能一个dll文件在运行，他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径，因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件（主要是你所中止的病毒进程文件，另外先在资源管理器的文件夹选项中，设置显示所有文件和文件夹、显示受保护的文件，再察看如system32文件夹中是否有不明dll或exe文件，C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件），然后删去，搞清楚是否是系统文件再动手。

2.有些病毒进程终止不了，提示“拒绝访问”，或者出现“屡禁不止”的情况。根据我的经验，有三种办法供尝试：

A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是：察看控制面板〉管理工具〉服务，看有没有与之相关的服务(特别是“描述”为空的)在运行，把它停止。再试着中止病毒进程并删除。

B.你可以尝试安全模式下（开机后按F8选安全模式）用杀毒软件处理，不行则再按步骤1和2A试一试。

C.（慎用）使用冰刃等工具，察看病毒进程的线程信息和模块信息，尝试结束线程和解除模块，再试着删除病毒进程文件和相应的模块。（慎用）

3.如果稍微懂得注册表使用的，可以再把相关的注册表键值删除。一般 *** ：开始〉运行，输入regedit，确定，打开注册表编辑器。编辑〉查找，查找目标为病毒进程名，在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒，还应尝试使用步骤2中 *** 。

4.某些病毒会劫持IE浏览器，导致乱弹网页的状况。建议用金山毒霸的金山反间谍 2006等修复工具。看浏览器辅助对象BHO是否有可疑项目。有就修复它。修复失败时参照1、2来做。

5.其他提示：为了更好的操作，请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件。一般病毒往往在临时文件夹Temp中，这样做可以帮你更快找到病毒文件。

开始〉运行，输入msconfig，确定，可以打开“系统配置实用程序”。选择“启动”，察看开机时加载的程序，如果在其中发现病毒程序，可以禁止它在开机时加载。不过此法治标不治本，甚至对某些程序来说无效。还是要按步骤1、2办。

6.说了这么多，不过有时还是不能解决。只好请教高人或格式化重做系统了，当然不推荐后者

xp系统c盘一直有木马病毒怎么办

试试腾讯电脑管家XP专版查杀，和微软合作关系，兼容XP

腾讯电脑管家引进国际领先的本地查杀引擎，大大提高木马查杀能力。您在安装完电脑管家后，即默认开启了双引擎模式，在您杀毒的时候您来决定是升级双引擎，如果愿意，轻轻松松就能体验强大的木马双引擎查杀能力。

您可以在电脑管家木马查杀主界面下方的双引擎区域找到一些操作 *** ，您可以自由的开启或关闭双引擎，也可以手动的检查病毒库的更新。

木马中了木马杀不死

针对性 ***

一、禁用XP的系统还原

二、开始－》运行》Services.msc，找到Windows

Update服务，双击，禁用此服务。

三、按Ctrl

Alt

Delete，调用进程管理，找到usrinit.exe，结束进程。

四、运行Regedit.exe,找到如下分支

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

删除"WindowsUpdate"

"%System%\USRINIT.EXE"键值。

再展开分支：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

删除

"Windows

Update"

键值.

五、重启电脑

本人总结的通用的 *** ，可以一试。

对于杀不掉的病毒：关闭所有盘系统还原（右键我的电脑，属性，系统还原标签页，勾选在所有驱动器

上关闭系统还原，确定.这样阻止了许多的杀完重启又出现的病毒），清空IE缓存（右键IE图标，属性里

，勾选清除所有脱机内容），进安全模式（开机连续点F8，选择安全模式，进入，再杀一遍吧。

建议配合金山清理专家查找可疑的启动项，删了病毒启动信息，重启杀毒容易些，以及修复系统。

http://www.duba.net/zt/ksc/index.shtml

病毒文件可以使用他的文件粉碎功能。