病毒程序的格式有哪种杀毒软件又是如何将这些文件删除的

很多时候大家已经用杀毒软件查出了自己的机子中了例如：

RootkitVantizg

TrojanWin32SendIP15

等等这些一串英文还带数字的病毒名，这时有些人就懵了，那么长一串的名字，我怎么知道是什么病毒啊？

其实只要我们掌握一些病毒的命名规则，我们就能通过杀毒软件的报告中出现的病毒名来判断该病毒的一些公有的特性了。

世界上那么多的病毒，反病毒公司为了方便管理，他们会按照病毒的特性，将病毒进行分类命名。虽然每个反病毒公司的命名规则都不大一样，但大体都是采用一个统一的命名方法来命名的——格式为：

病毒类型（前缀）病毒名 变种特征（后缀）。

下面附带一些常见的病毒前缀的解释（针对我们用得最多的Windows *** 作系统）：

1、系统病毒

系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows *** 作系统的 exe 和 dll 文件，并通过这些文件进行传播。如CIH病毒。

2、蠕虫病毒

蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。

3、木马病毒、黑客病毒

木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有**密码的功能（这些字母一般都为“密码”的英文“password”的缩写）。

4、脚本病毒

脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的。 ）

5、宏病毒

其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word97、Excel、Excel97其中之一（也许还有别的）。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀，格式是：MacroWord97；凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀，格式是：MacroWord；凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀，格式是：MacroExcel97；凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：MacroExcel，依此类推。该类病毒的公有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播。

6、后门病毒

后门病毒的前缀是：Backdoor。该类病毒的公有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。

7、病毒种植程序病毒

这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。前缀千变万化。

8．破坏性程序病毒

破坏性程序病毒的前缀是：Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。

9．玩笑病毒

玩笑病毒的前缀是：Joke，也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏 *** 作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。

10．捆绑机病毒

捆绑机病毒的前缀是：Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。

以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下：

DoS：会针对某台主机或者服务器进行DoS攻击；

Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；

HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。

你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，达到知己知彼的效果！

安装杀毒软件，进行全盘查杀，不行的话，就转到安全模式下去查杀。

只要电脑中有杀毒软件就可以进行杀毒了，不需要联网。如果没有杀毒软件，可以从进程管理器中查找可以的病毒程序，然后结束进程，删除相应的文件，不过这种方法比较难，也难以彻底清除病毒。所以还是建议你在联网的电脑上下载一个杀毒软件，然后用U盘拷贝到你的电脑上安装后进行杀毒。

方法一：修改注册表。打开注册表，展开到：

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

找到"DisableTaskmgr"把dword值设置为00000000

方法二：

打开记事本，把下面的内容保存成reg文件，然后双击导入恢复。

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

"DisableTaskmgr"=dword:00000000

(最后一行留一空行)

方法三：利用组策略：

开始/运行/gpeditmsc,

在用户配置-管理模板-系统-CTRL+ALT+DELE选项，在左边找到“删除任务管理器”

双击打开，设置为未配置，或者禁用。

方法四：利用小软件：

把下面的文件，解压后点击“任务管理器可用”，即可解决！！

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@

或者：

任务管理器被病毒禁用解决方法

任务管理器被病毒禁用解决方法

最近这段时间，QQ病毒又出来新品种了，就是任务管理器被禁用了，使你知道中了QQ病毒也没有办法关掉病毒进程，一开始作者把病毒修改的注册表改回来，但发现修改完保存好的注册表后驻留内存的病毒又将其修改了，怎么办呢？

作者：妖妖灵

偶尔回论坛看看~发现N多人都中了QQ病毒~同情ING`~

于是便随便找了个求助贴，把杀软关了，把那个病毒源程序下载来了dir一下,把WINDOWS和system32目录下的exe和dll文件输出到文本然后就运行那个病毒了

很显然任务管理器被禁用了打开QQ会自动向外发信息(这个我早就知道了嘻嘻我当然不会傻到跟人家去聊Q)其实经过分析这其实还是个木马会将一些病毒制造者感兴趣的东东通过E-mail发到他的邮箱

这么做的目的无非是想让人家无法终止病毒进程

然后就到注册表里去解锁他却没有禁用注册表开始心想这SB,居然不禁用注册表明明可以改回来嘛!

找到HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies

把DisableTaskMgr直接删除了

重新加载一遍WINDOWS外壳程序却发现一个问题任务管理器还是打不开再次打开注册表发现DisableTaskMgr的键值依然存在郁闷了怪不得他不禁用注册表

其实应该想到了这应该是内存中驻留的病毒程序搞的鬼一旦他检测到你对注册表所做的修改他会自动改回来的

好吧看到底是哪一个病毒程序运行病毒程序之前为了保险,我是先对系统文件信息做了一个大概的备份的然后再dir一下WINDOWS和system32目录下面的exe和dll文件依旧输出到文本用fcexe比对了一下发现确实多了一个svohostexe,其实他就是想与svchostexe这个系统文件混淆只差一个字母不仔细还真发现不了

接下来开始解决

1打开CMD输入命令tasklist回车查看一下果然发现了这个进程:svohostexe(虽然他禁用了任务管理器,但在CMD下用tasklist命令还是可以查看到进程信息的)

2关了他输入命令taskkill /f /im svohostexe

提示成功

3搜索svohostexe这个文件(把搜索隐藏文件也勾上)搜索到后删除!似乎有两个一个是完全大写的一个是完全小写的事实上还有一个程序叫lsasaexe的也得删除他模仿的是WINDOWS的正常进程lsassexe

4本以为没问题了后来还发现一个问题他还修改了注册表的一处,使文件夹选项中对隐藏文件的设置始终为"不显示隐藏文件"，这么做的主要目的在于让你在WINDOWS环境下找不到被设定隐藏属性的病毒源文件但这里还有几种手段可以找到他1用WINDOWS的搜索只要在高级选项里把"搜索隐藏的文件和文件夹"勾上就可以找到了2在命令提示符里用dir /a命令也可以查看到麻烦一点罢了由于WINDOWS和SYSTEM32目录下文件太多用dir命令的时候最好再加一个参数dir /a /p这样会更好

我们到注册表里去把他改回正常状态

打开注册表找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL这个键看右边找到一个CheckedValue的值我注意到这个该死的病毒居然把他改成了字符串值如果你不小心的话也许会认为改了也没用把这个值删除重建一个DWORD的值为CheckedValue把他的值设为1

基本搞定了一开始我只是想弄明白他是怎样一个原理其实相信大家也应该看出来了如果你的杀毒软件病毒库够新的话都能把病毒源程序杀掉的你所需要做的只是修复注册表中的相关项这里也提供了一个DIY解决问题的思路也许病毒源文件并不一样大家按照实际情况按照上面的方法 *** 作

友情提示一下:在QQ上发过来的文件不经过确认可不要随意乱点没准一不小心就中招了

PS：一些不得不说的话：我发现有很多人误会我的意思了`

这个贴子~其实我只是想告诉大家一种方法。我发现有很多网友却依葫芦画瓢，去电脑里搜索svohostexe和lsasaexe，其实病毒有很多种，源文件也是千变万化的，不能认死理，重要的是方法。只要有病毒运行，那么一定是有病毒进程的`我想现在还不多见隐藏进程的病毒吧~仔细观察，总能发现源文件的~也许是跟系统文件名称一样但路径不同~例如在不同路径下有的svchostexe,rundll32exe等~

对于一般的网友而言，最好是用强力的杀毒软件来杀。

至于手动清除的话。我们也有很多方式可以查的~一般的病毒，都会设置为自启动~那么，大家可以到注册表里一些可以启动的地方去找一找。如RUN，SHELL等~相关文章大家可以上网去找一找，有些病毒会注册服务，以服务的形式启动~大家可以打开servicesmsc来查看。

很多病毒喜欢伪照服务进程。这里我以查进程中的svchostexe有无可疑为例~

在CMD里输入命令：tasklist /svc回车~可以看到svchostexe的进程代表的服务。下图是我的：

大家可以看到，有四个svchostexe，那么，我们在tasklist下面看是几个呢？

也是四个~证明这四个svchostexe都是正常的（服务态加载的病毒除外）

如果在上面那幅图出现了5个svchostexe呢？这意味着。那个多余的svchostexe肯定是有问题的。那么我们可以在C盘搜索一下svchostexe看到底有几个，非system32目录下的svchostexe一定是病毒~

大家可以先把所有的应用程序，一些认识的除系统进程外的后台程序通通都关了，缩小查找的范围，这需要的就是经验。

其实WINDOWS提供了很多的小工具帮你解决问题，如系统信息查询工具,msconfig,servicsemsc,tasklistexe等等小工具，只要用好了这些小工具，我想将病毒除去也不是什么太大的难事！

还是建议大家能安装一个好一点的杀软。如果嫌麻烦的话，但我认为，能自己亲手把病毒干掉。是一件很值得快乐的事情

推荐大家使用longhorn的任务管理器！longhorn的任务管理器可以在进程中直接点右键选择打开该应用程序所在的文件夹，这对于查病毒是非常有用的~对于禁用了任务管理器的用户可以使用第三方的任务管理器，如WINDOWS优化大师自带的进程管理就不错，可以直接看到应用程序的路径，节省了大把的时间

容量？ 一般病毒都小于1M。几百kb吧。 但是一旦病毒发作，会自动从网上下载病毒程序，见过最大的把一个硬盘都塞满了。

反正你下载东西的时候看着点，一般程序都会几M的。太小的很有可能是病毒。

一、手工清除SVCHOSTEXE病毒

查看：svchostexe进程是什么

在开始菜单的运行中输入cmd，出现命令行提示，输入命令“tasklist /svc >c:\1txt”（例如：C:\Documents and Settings\Administrator>tasklist /svc >c:\1txt），就会在C盘根目录生成1txt文件，打开1txt可以看到如下内容：

查找svchostexe的PID值和服务名称。

图像名 PID 服务

========================= ====== =============================================

System Idle Process 0 暂缺

System 4 暂缺

smssexe 1168 暂缺

csrssexe 1228 暂缺

winlogonexe 1260 暂缺

servicesexe 1308 Eventlog, PlugPlay

lsassexe 1320 PolicyAgent, ProtectedStorage, SamSs

ibmpmsvcexe 1484 IBMPMSVC

ati2evxxexe 1520 Ati HotKey Poller

svchostexe 1544 DcomLaunch, TermService

svchostexe 1684 RpcSs

svchostexe 380 AudioSrv, BITS, Browser, CryptSvc, Dhcp,

EventSystem, FastUserSwitchingCompatibility,

helpsvc, lanmanserver, lanmanworkstation,

Netman, Nla, RasMan, Schedule, seclogon,

SENS, SharedAccess, ShellHWDetection,

TapiSrv, Themes, TrkWks, W32Time, winmgmt,

wscsvc, wuauserv, WZCSVC

btwdinsexe 420 btwdins

ati2evxxexe 456 暂缺

EvtEngexe 624 EvtEng

S24EvMonexe 812 S24EventMonitor

svchostexe 976 Dnscache

svchostexe 1192 Alerter, LmHosts, RemoteRegistry, SSDPSRV,

WebClient

spoolsvexe 1852 Spooler

IPSSVCEXE 272 IPSSVC

AcPrfMgrSvcexe 288 AcPrfMgrSvc

guardexe 1064 AVG Anti-Spyware Guard

avpexe 1124 AVP

mDNSResponderexe 1284 Bonjour Service

inetinfoexe 1848 IISADMIN, W3SVC

ibguardexe 3464 InterBaseGuardian

RegSrvcexe 3556 RegSrvc

svchostexe 3596 stisvc

SUServiceexe 3968 SUService

TPHDEXLGexe 3788 TPHDEXLGSVC

TpKmpSvcexe 3804 TpKmpSVC

tvtschedexe 3836 TVT Scheduler

wdfmgrexe 3920 UMWdf

vmware-authdexe 3956 VMAuthdService

vmount2exe 3576 vmount2

vmnatexe 4112 VMware NAT Service

vmnetdhcpexe 4360 VMnetDHCP

AcSvcexe 4388 AcSvc

ibserverexe 4684 InterBaseServer

explorerexe 5416 暂缺

algexe 5704 ALG

SynTPEnhexe 3776 暂缺

SvcGuiHlprexe 4912 暂缺

TPHKMGRexe 5088 暂缺

UNavTrayexe 5120 暂缺

TpShocksexe 5136 暂缺

TPONSCRexe 4532 暂缺

avpexe 4648 暂缺

TpScrexexe 4412 暂缺

CRavgasexe 5196 暂缺

ctfmonexe 5284 暂缺

VStartexe 6020 暂缺

QQexe 6124 暂缺

TXPlatformexe 5584 暂缺

dllhostexe 4164 COMSysApp

davcdataexe 1232 暂缺

Maxthonexe 2212 暂缺

EmEditorexe 2004 暂缺

cmdexe 6360 暂缺

conimeexe 2928 暂缺

wmiprvseexe 5552 暂缺

tasklistexe 1900 暂缺

如果看到哪个Svchostexe进程后面提示的服务信息是“暂缺”，而不是一个具体的服务名，那么它就是病毒进程了，记下这个病毒进程对应的PID数值(进程标识符)，即可在任务管理器的进程列表中找到它，结束进程后，在C盘搜索Svchostexe文件，也可以用第三方进程工具直接查看该进程的路径，正常的Svchostexe文件是位于%systemroot%\System32目录中的，而假冒的Svchostexe病毒或木马文件则会在其他目录，例如“w32welchinaworm”病毒假冒的Svchostexe就隐藏在Windows\System32\Wins目录中，将其删除，并彻底清除病毒的其他数据即可。

二、SVCHOSTEXE病毒高级骗术

一些高级病毒则采用类似系统服务启动的方式，通过真正的Svchostexe进程加载病毒程序，而Svchostexe是通过注册表数据来决定要装载的服务列表的，所以病毒通常会在注册表中采用以下方法进行加载： 添加一个新的服务组，在组里添加病毒服务名在现有的服务组里直接添加病毒服务名 修改现有服务组里的现有服务属性，修改其“ServiceDll”键值指向病毒程序判断方法:病毒程序要通过真正的Svchostexe进程加载，就必须要修改相关的注册表数据，可以打开[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Svchost]，观察有没有增加新的服务组，同时要留意服务组中的服务列表，观察有没有可疑的服务名称，通常来说，病毒不会在只有一个服务名称的组中添加，往往会选择LocalService和netsvcs这两个加载服务较多的组，以干扰分析，还有通过修改服务属性指向病毒程序的，通过注册表判断起来都比较困难，这时可以利用前面介绍的服务管理专家，分别打开LocalService和netsvcs分支，逐个检查右边服务列表中的服务属性，尤其要注意服务描述信息全部为英文的，很可能是第三方安装的服务，同时要结合它的文件描述、版本、公司等相关信息，进行综合判断。例如这个名为PortLess BackDoor的木马程序，在服务列表中可以看到它的服务描述为“Intranet Services”，而它的文件版本、公司、描述信息更全部为空，如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\WINDOWS\System32\svchostexe -k netsvcs”中可以看出这是一款典型的利用Svchostexe进程加载运行的木马，知道了其原理，清除方法也很简单了：先用服务管理专家停止该服务的运行，然后运行regeditexe打开“注册表编辑器”，删除[HKEY_LOCAL_MACHINE\System\CurrentControlSet\

Services\IPRIP]主键，重新启动计算机，再删除%systemroot%\System32目录中的木马源程序“svchostdlldll”，通过按时间排序，又发现了时间完全相同的木马安装程序“PortlessInstexe”，一并删除即可。 svchostexe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它。

三、SVCHOSTEXE病毒专杀工具

SVCHOSTEXE病毒专杀工具下载：Autorun病毒防御者/AutoGuarder2下载

我用Powerpoint做东西时保存后无法再读取。显示无法打开演示文稿。防病毒程序可能阻止您打开此演示文稿。若要解决此问题，请确保防病毒程序为最新版本并且运行正常。如果问题仍然存在，并且该演示文稿来自您信任的人员，请关闭防病毒程序，然后重新尝试打开演示文稿。如果执行此 *** 作，则在打开了演示文稿之后，请务必重新打开防病毒软件。我用的是瑞星杀毒软件。瑞星已经卸载了还是打不开啊，但是文件在同事电脑上能正常打开。 我来回答匿名

以上就是关于病毒程序的格式有哪种杀毒软件又是如何将这些文件删除的全部的内容，包括:病毒程序的格式有哪种杀毒软件又是如何将这些文件删除的、希沃一体机中毒了,且下载不了软件、应用程序启动失败，发现任务管理器中有很多对应的进程等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！