关于删除病毒步骤

1、正常模式与安全模式删除病毒时的差异。2、删除病毒文件与病毒加载项的前后次序。

首先明确4个问题：
1、病毒在系统中的存在有两个：一是病毒文件，是子弹；一是注册表或autoruns.inf等其他途径的加载项，是撞针。两者缺一不可。只有病毒文件，没有加载项，好比子弹不上膛，没啥P用。除非你非把子弹拿两个大石头砸着玩。只有启动项没有子弹，结果是打空枪。

第2个问题。如果能成功清除病毒的所有注册表加载项，即使不删除病毒文件，你的系统也即可恢复正常。反之，如果删除全部病毒文件，不清除病毒的注册表加载项，重启之后你的系统会报错。可能提示你XXX文件找不到或加载失败，或者留下系统错误日志。

第3个问题：安全模式，只加载病毒驱动（sys文件，如果有）。
正常模式，加载病毒驱动项、服务项、启动项等等一切。

第4：病毒驱动和病毒进程一旦加载，会监视病毒文件和注册表保证自身和注册表启动项不被删除。

明确以上的问题后，得到的一般的查杀步骤如下：

1、可以进入安全模式：
对于病毒驱动文件来说，删除时在安全和正常模式都一样，但对于中毒较深，病毒进程较多的案例，一定要进入安全模式杀毒。这时没有病毒进程干扰和保护，系统不会被病毒拖慢甚至拖死，删除成功率高些，操作也顺当。
但一定要先删除驱动文件。删除病毒驱动文件后，删除病毒注册表启动项和其他病毒文件前，要重启电脑。因为病毒驱动加载到system级别保护，不重启，我们对注册表的修改操作会失败。这个在清除 allxun/piaoxue等流氓时得到验证。

在安全模式，在清除病毒驱动并重启之后，由于病毒的服务和进程没有加载，清除注册表和删除病毒文件的次序是无所谓前后的。

2、不能进入安全模式，删除病毒驱动后，可以有3种次序删除病毒：
A、停止病毒服务，终止病毒进程，如果能成功，再先删文件还是先删注册表就无所谓了。这是个理想的结果，实际操作时对于服务和进程比较单一的病毒有效。如果遇到病毒注入很多包括系统进程。这时你不可能把所有进程全部终止。不是万无一失的办法。除非使用冰刃。
B、先删除干净注册表，再重启删除病毒文件。这个在病毒进程没有监控注册表时可以成功。这也是个理想的状态。实际很多病毒进程是监控自己的注册表启动项的。被修改后马上自行修复。所以这个次序也不是万全之策。 除非使用冰刃。
C、 先删除干净病毒文件，然后重启，删除病毒启动项。这个办法是先卸子弹，再摘撞针。 这时删除病毒文件需要使用删除工具（不多废话，有专贴：病毒文件删除工具使用指南:http://btbaicai.com/read-htm-tid-2637.html）。然后重启时，会提示XXX文件加载失败或找不到。继续删除注册表启动项，再重启就ok了。这个次序是我的回帖模版所采用的。

必须的补充：1、我在上面两次提到“除非使用冰刃”。冰刃对于非驱动级别的病毒文件甚至部分驱动级别的病毒文件，都可以轻松删除，并能修改注册表成功，原因在于冰刃的功能强大，还有一个杀手锏：禁止进程和线程创建。这一点让病毒的任何修复操作都不能成功。即使病毒进程没有终止，我们也一样可以轻松删除病毒文件并修复注册表。在冰刃这个工具面前，我们前面的好多讨论都是废话。
但是冰刃对于一些驱动级别文件的删除有时力不从心，这个我有一个案例分析：（http://btbaicai.com/read-htm-tid-2156.html在这个案例中，各个删除工具八仙过海，各尽所能。）。冰刃的另一个不足之处是对注册表的操作必须直接修改，这个对于菜鸟有些难度。还有冰刃的文件管理菜单和右键功能过于单调，连“新建”都没有。不能对病毒文件做文件夹免疫。所以必须配合其他工具一起，才达到无敌的境界。

补充2、一个极大的隐患：（信息来源：http://btbaicai.com/read-htm-tid-2956.html ：xdelbox 1.2 发布 yy2006）
Quote:。。。恶意流氓驱动保护在安全模式下也加载，当在DOS下删除sys文件重启后，会导致系统无法进入，蓝屏等（极少数），系统以为是缺少某个正常硬件驱动呢，。。。
看来最保险的方式还是驱动项和文件同步删除。
这种情况我想lenew应该不陌生。 我想我们的回复模版应该采用的删除工具是xdelbox 1.2了。

补充3、讨论一下区别：
驱动，底层加载，注入system，加载后无法手动停止或终止。安全模式也被加载。
服务，修复工具或服务管理器可以禁用或停止。
启动，表现为进程。可以使用任务管理器或修复工具终止。
以上3项都可能把病毒dll文件注入到其他进程。
所以对病毒文件和启动项目的删除还是要根据3种不同的启动方式具体综合分析。
本文出自 51CTO.COM技术博客