手工清理病毒原来可以如此简单

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks "生成的随机CLSID" ""

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "随机字符串" "病毒文件全路径"

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswscsvc Start dword:00000004

　　其他病毒及变种写入注册表的位置不同，下文的实战部分我们将详细说明

　　5.映像劫持技术

　　通过修改注册表

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options的内容达到劫持几乎所有主流杀毒软件，甚至360安全卫士这样的工具的目的，被劫持后的现象是，杀毒软件无法自动运行，实时监控也无法启动，双击运行闪出一个黑色dos窗口后立刻消失。其实这个时候就是利用劫持技术转向运行了病毒本身。这个时候杀毒软件就彻底倒下了。关键时刻我们果然还是要靠自己手工清理啊！

　　6.修改以下服务的启动类型来禁止Windows的自更新和系统自带的防火墙

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess Start dword:00000004

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServiceswuauserv Start dword:00000004

　　7.删除以下注册表项，使用户无法进入安全模式

　　HKEY_CURRENT_USERSYSTEMCurrentControlSetControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}

　　HKEY_CURRENT_USERSYSTEMControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}

　　8.连接网络下载更多的游戏木马、广告软件以为病毒作何谋取经济利益。

　　9.强制关闭包含和病毒或者清理病毒或者杀毒软件有关的信息的页面。