“我的電腦黑屏了”
“我的電腦最近不知怎么變得很慢？“
“我上網(wǎng)老是自動彈出頁面，怎么回事？”
“為什么殺毒軟件老是彈出來，每次都是同一個病毒？”
.....................

任何人，我一般都會幫忙，但是長時間停留在這個問題上，會瘋掉的，往往對方的描述不一定精確，光靠說，白白花了一天的時間也有可能搞不定一個小問題

也許有兩種情況我會耐心的給你分析，1：領(lǐng)導(dǎo)，2：美女

我一般會說：“造成這種情況有149834種可能，重裝吧，裝完升級系統(tǒng)，打補(bǔ)丁，裝殺毒，升級病毒庫，不要裝垃圾軟件，不要上色情網(wǎng)站。”

下面講講一般步驟，以下講的都是對付普通病毒，如果說驅(qū)動級，rootkit，bootkit什么的，要想讓我用一篇簡單的blog描述清楚恐怕不太現(xiàn)實(shí)，讓你清理注入線程，SSDT之類的惡意程序就夠你受的了。

以后誰問我，直接丟個鏈接，多方便 ^_^
凡是要看這篇文章的，都是沒裝殺毒或者殺毒軟件已經(jīng)形同虛設(shè)了，因此以下操作都為手工操作，別指望殺毒軟件
（以下步驟都是實(shí)事存在案例的，務(wù)必一步一步確認(rèn)）

如果是美女，直接跳到第十步

1、確認(rèn)插電源了
2、確認(rèn)硬盤燈亮了
3、確認(rèn)顯示器打開了
如果能進(jìn)操作系統(tǒng)，一般系統(tǒng)慢是由于病毒、后門或者垃圾軟件之類的，刪除即可，步驟如下
4、查看進(jìn)程，關(guān)閉不必要的進(jìn)程
這個經(jīng)常有人問我不知道哪些是不必要的進(jìn)程，我只能說以下這些是必要的（但也不排除其中有貓膩，比如線程注入，替換服務(wù)等）
 \SystemRoot\System32\smss.exe
 \??\C:\WINDOWS\system32\winlogon.exe
 C:\WINDOWS\system32\services.exe
 C:\WINDOWS\system32\lsass.exe
 C:\WINDOWS\System32\svchost.exe （這個會有很多，因?yàn)樗欠?wù)的宿主進(jìn)程）
 C:\WINDOWS\Explorer.EXE
 C:\WINDOWS\system32\ctfmon.exe （WinXP以后的輸入法，Win2000沒裝office的輸入法是internet.exe）
    前面的c:\windows是安裝windows的位置，你的可能不一樣，大小寫不敏感，這個...呃...明白哈
    目前的技術(shù)，早就不能擔(dān)保以上的進(jìn)程都是沒有問題的，再高深一點(diǎn)的，下面會提到
    除了以上的進(jìn)程，剩下都可以說是第三方的，如果是驅(qū)動，或者自用的一些軟件什么的就不用關(guān)閉，其它可以的直接kill，然后找到文件刪了（先備份一下），難就難在這里，您老也不知道哪個是要用到的，那小的更不知道了，一般我只能問，“這個xxx.exe是干嘛的？有用嗎？”，你說不知道，那我再問，“你的機(jī)器用來干嘛的？”，如果你說只是上上網(wǎng)，玩玩游戲，那直接殺了進(jìn)程，刪除對應(yīng)文件，如果說有什么xxxx系統(tǒng)，公司要用的，而且很重要，那沒辦法，只能保守點(diǎn)，留著吧。一般憑經(jīng)驗(yàn)也能看出個大概，如果文件名起得和系統(tǒng)必要進(jìn)程類似，比如svch0st.exe，這個我用大腿都能看出來是病毒，還有就是目錄位置不對，比如c:\windows\svchost.exe，這個我用小腿就能看出來是病毒或者惡意程序，直接殺進(jìn)程刪文件。
    除了這些，剩下的陌生的第三方程序咋辦，你不知道，我也不知道，看目錄位置（其實(shí)以目前的技術(shù)，這個也只能防防一般的程序），如果是program files目錄的，如拼音加加輸入法，一般沒什么問題（我只是說一般沒問題），是你自己裝的軟件，如果是windows目錄或者system32目錄，可能是打印機(jī)的或者其它的驅(qū)動，google一下，不會？請直接跳到第九步。如果google還是不能確定，把殺進(jìn)程刪文件（備份文件先），因?yàn)楸匾M(jìn)程我們沒動，可以保證系統(tǒng)正常啟動就什么都不怕。

    之前提到過注入線程，就是說惡意軟件不是以exe形式以進(jìn)程的方式運(yùn)行了，而是dll的形式，插入正常的進(jìn)程進(jìn)行工作，那怎么辦？找工具，windows沒有自帶的工具能查殺線程的，網(wǎng)上找icesword或者syscheck等，不會？請直接跳到第九步。下完了直接打開運(yùn)行，查看對應(yīng)程序的線程，里面有很多模塊，一般都是dll的，這個只能憑經(jīng)驗(yàn)了。真的，大哥，大姐，成千上萬的dll，我沒法確定，這里使用syscheck稍微要省事一點(diǎn)，它可以分辨出來哪些是系統(tǒng)自帶的，哪些是第三方的（依然不是絕對的，只能對付95%的惡意程序）。有可疑的，結(jié)束線程，刪文件（注意備份，有問題還原）。

殺完進(jìn)程線程就查看啟動項(xiàng)，一般包括注冊表，文件關(guān)聯(lián)，服務(wù)，驅(qū)動等
5、查看注冊表，刪除沒用的啟動項(xiàng)
    命令行執(zhí)行regedit.exe，啟動項(xiàng)一般就是HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run，runonce，runonceex，runservices都順便看一下，還有HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下看看shell的值是不是explorer，確認(rèn)后面沒有跟其它內(nèi)容。
還有所謂映像劫持，在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\，查看有沒有exe鍵對應(yīng)了可疑的程序，如果有，刪除（注意備份，有問題恢復(fù)）。文件關(guān)聯(lián)，比如txt的文件關(guān)聯(lián)，在這里HKEY_CLASSES_ROOT\txtfile\shell\open\command，默認(rèn)值應(yīng)該是C:\\WINDOWS\\notepad.exe %1，其它的同理。
6、查看服務(wù)，禁用不必要的服務(wù)
    windows自帶的服務(wù)管理器，我的電腦上點(diǎn)擊右鍵，管理菜單，或者命令行執(zhí)行services.msc，然后敲回車，這個...呃...明白哈，回車就是寫著Enter的那個鍵，看到一大堆服務(wù)，跟進(jìn)程一樣，憑經(jīng)驗(yàn)，禁止可以或者無用服務(wù)，比如一般個人機(jī)器的話，task schedule、remote register、server等服務(wù)都沒用，但是如果我關(guān)了server服務(wù)，以后可能又會對我嚷嚷，什么高手，自從被你整過之后，我的機(jī)器不能共享了。所以這個事情很耗時間，特別是遠(yuǎn)程操作，我可耗不起這人工時。使用iecsword，syscheck等之類的第三方軟件，可疑查看windows自帶的服務(wù)管理器看不到的服務(wù)、驅(qū)動等。
7、一些高級點(diǎn)的情況
    可能會碰到有的注冊表鍵值刪除不了，出錯，或者刪了刷新又出來了，一般是有惡意的進(jìn)程或者線程守護(hù)，沒有殺干凈，回到第四步，或者更高級一點(diǎn)，HOOK，SSDT，驅(qū)動等。使用icesword等第三方工具，恢復(fù)鉤子，ssdt等，卸載驅(qū)動，重啟計算機(jī)。
8、其它意外情況
    一些驅(qū)動，sys文件，dll文件，在windows下看不到，或者死活刪除不了，重命名也不行，那只能實(shí)dos下操作，什么是實(shí)dos？我覺得說來話有一匹布那么長，不如google一下，接著怎么進(jìn)實(shí)dos，使用啟動光盤，或者第三方軟件，用grub菜單啟動到實(shí)dos，然后找到文件位置刪除（注意備份），至于還有什么實(shí)dos支持ntfs什么的不再說了，這個東西就像大樹一樣，一個枝干有很多分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，然后繼電器呢就是把線圈繞在鐵塊上，線圈就是銅絲，銅絲一般由銅原子構(gòu)成，一般金屬都是原子構(gòu)成，空氣，水之類的才由分子組成............
9、找懂電腦的重裝系統(tǒng)
    這一步不是說安裝上面的流程完了就做這一步，我想你應(yīng)該明白的哈，如果實(shí)在搞不定，就找個懂電腦的重裝系統(tǒng)，至于重裝怎么分區(qū)，什么是分區(qū)，硬盤大小，怎么看大小，1G=1024M等，我就不說了，這個東西就像大樹一樣，一個枝干有很多分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支 又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有 分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分 支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支， 分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支 又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有 分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分 支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支， 分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支 又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，分支又有分支，然后繼電器呢就是把線圈繞在鐵塊上，線圈就是銅絲，銅絲一般由銅原子 構(gòu)成，一般金屬都是原子構(gòu)成，空氣，水之類的才由分子組成............
10、把電腦抱過來，老衲親自操刀
不記人工時