mcafee如何把自动删除可疑文件，改成手动删除？我要详细步骤

我是版本 McAfee Security Center

3楼

在经过一个通宵和病毒和苦战后,我最终想出一个最好的办法来了~~~
基本是基于以前的手动方法下,在防疫和抑制方面加强了让病毒以后都不会出现,就算下载 了一个病毒文件也不会中毒(只是在我自己的机子上试过!...)
详情就是在以前手动杀毒的基本上杀毒和免疫那里不要,用这个方法来代替,结合以前的手动杀毒后总结起来是:

最新的手动清除logo1_.exe病毒方法:

进入安全模式，如进程内有其它非系统进程，把它们全结束，确认进程表只除系统进程外没其它进程正运行；
1、动行regedit，Clrl+F查sws32.dll，KILL.EXE，logo1_.exe，sws.dll，rundl132.exe等删除掉；
2、找到注册表中[hkey_local_machine/software/soft/downloadwww] auto = 1 删除downloadwww主键；
3、删除c:\windows或C:\winnt 目录下KILL.exe、sws.dll、sws32.dll、rundl132.exe、logo1_.exe、winnt.bmp、文件；
4、在c:\windows或C:\winnt目录下新建几个文本文件，全改名为你刚删除的病毒文件名，就是KILL.exe、sws.dll、sws32.dll、rundl132.exe、logo1_.exe、winnt.bmp ，注意连扩展名一起改，且要加上只读属性，这样可以保证以后运行病毒文件这两个病毒主体不会再被生成，接着修改注册表的启动项，使这两个病毒程序（现在已不是病毒，而是你自己建的程序）不随windows启动，否则的话因为这样的程序没法运行，你可以试一下自己的去打开那个文件，它只会提示“不是有效的可执行程序”，就表明你成功了。
5、最后为了安全起见，还可以搜索所有盘的EXE，RAR，DLL等文件进行查杀；（这样就万无一失了！^_^）
5、打开搜索，搜索全部_desktop.ini文件删除；
6、打开组策略--运行 gpedit.msc---用户配置--管理模块--系统-指定不给windows运行的程序 点启用 然后 点显示 添加 logo1_exe 那样可以阻止LOGO1病毒的运行和发作。
7、最后就是文件恢复工作了，因为没用杀毒软件，所以不能看自动让中毒文件恢复过来，但手动的话一样可以做到。。。。就是：
同上面的方法有点相同，在C:\WINDOWS\system32或C:\WINNT\system32 目录下复制conime.exe、cmd.exe到别的地方做备份（等下要放回去的，不能直接删掉，会让系统出现问题的,有点危险性，但不直接删掉就没事了！-_-||），然后删除原文件，新建2个文本文件，分别改成conime.exe和cmd.exe，同上面一样注意连扩展名一起改，且要加上只读属性，动作要快，因为这个文件一量删除系统会自动重新生成一个同样的文件，如果不快点改成只读的话，系统生成的文件会把你新建的文件覆盖掉，这时就算改了都没用，这样的话又要重新删除、新建了，所以要在系统生成文件前改掉属性，如果想在外面先改好再剪粘过来的话也是不行的，（就是说要和系统比快啰！！郁闷~~）
8、当做好以上的工作后，你就可以进行恢复工作了！！现在你要亲自找出中毒的文件（一般中毒的文件图标都变得模糊，一看就知道了！可以用搜索找出所有EXE，RAR文件，一般如果中毒后运行了的话，你的所有EXE，RAR文件都已经中毒了），找出中毒文件后，要一个个地打开它！（因为你已经做好前面的工作，就算运行了也不会有事）打开后又打开进程管理关闭进程，这时你原来中毒文件的文件夹里就会生成一个好的文件，只是比原名多一个.EXE而已，就是变成“原文件名.EXE.EXE”,只要去掉一个.EXE就行了。你的文件就变回正常了，图标也变清析了！
9、当恢复所有中毒文件后，你就可以把刚才备份下来的conime.exe、cmd.exe覆盖回去！！你的机子又正常了~~~~
这个方法麻烦是麻烦了点，但却不但可以清除病毒，而且可以预防以后再中毒，就算以后再下载了一个有毒文件也不会有事了！！只有c:\windows或C:\winnt 的假病毒文件还在，你就不会再中毒，以后你就可以放心下载东东了！！
提示：如果你的杀毒软件是可以查杀这个病的话，最好是全面再杀一次，看有没有漏网之鱼。。。。来个砍草除根~~~~

大功告成~~~~我也要睡觉去了~~~

dongtenx

去天极网（ http://download.yesky.com/）搜一下《木马剑客2007》，下载并安装后，进安全模式下杀。附：Trojan，特洛伊木马。肯定有啦—————————— 再附：Trojan.VB是什么？盗号木马，本身具有U盘传播和网络传播的特性，开机会启动IEXPLORE.EXE浏览器进程，并会镜像挟持在Temp缓存文件中的随机数字可执行文件作保护。 IEXPLORE.EXE、SVCH0ST.EXE会自我复制到系统的system32下，并有守护插入进程，即使在安全模式下也无法删除。 为什么我说这个病毒木马是最新的呢？因为昨天去客户那里杀毒,南京某邮局某部门全部中了这个病毒，他们的机器都不联网的，全部是U盘传播的。当时使用 Autorun.exe工具清理了重启进安全模式删除，发现删除不了Trojan.VB变种，看来不是有守护进程就是有驱动启动的隐藏进程了，郁闷的该部门全部是Dell品牌机，木光驱，否则用PE系统进去了，有的人说，怎么不用Dos？根据经验这样的病毒在Dos下压根儿就查找不到。电脑使用的是趋势 OfficeScan7.0，能准确的报毒，但是无法隔离，看了控制台，只有阻挡生成的功能，没有阻挡运行的功能。看来当前所有杀毒软件只有用 Mcafee企业版了，因为他们机器配置比较好，就直接安装Mcafee VirusScan Enterprise 8.0i 没有升级病毒库，因为Mcafee不需要升级病毒库也可以控制这样的病毒木马。好了，直接说策略如何作：打开Mcafee控制台 ↓ 访问保护 ↓ 共享资源和文件夹保护 ↓ 添加 ↓ 规则名称阻挡病毒U盘媒体传播要阻挡的内容 * 要阻挡的文件或文件夹 **Autorun.INF 要阻挡的文件操作 [√]读取文件 [√]写入文件 [√]执行文件 [√]创建新文件 [ ]删除文件 添加第2条策略 规则名称阻挡病毒IEXPLORE.EXE创建与执行要阻挡的内容 * 要阻挡的文件或文件夹 %windir%system32IEXPLORE.EXE 要阻挡的文件操作 [√]读取文件 [√]写入文件 [√]执行文件 [√]创建新文件 [ ]删除文件 添加第3条策略 规则名称阻挡病毒SVCH0ST.EXE创建与执行（注意这里的SVCH0ST.EXE中CH后那个是零而非英文o）要阻挡的内容 * 要阻挡的文件或文件夹 %windir%system32SVCH0ST.EXE 要阻挡的文件操作 [√]读取文件 [√]写入文件 [√]执行文件 [√]创建新文件 [ ]删除文件 以上策略中绿色字体为步骤，红色字体为需要输入或者钩选的内容 作完这三条策略后重启计算机，进入桌面后趋势防毒墙启动后弹出警告，发现“Trojan.VB”，趋势写的什么变种我记不得了，不过后面可以看到“隔离成功”，看来麦咖啡在没有升级的情况下和升级的趋势防毒墙双剑合璧蛮不错的 。回到公司后把病毒样本提交到Virustotal，返回如此报告结果，大家一起参考下：以上策略中绿色字体为步骤，红色字体为需要输入或者钩选的内容 作完这三条策略后重启计算机，进入桌面后趋势防毒墙启动后弹出警告，发现“Trojan.VB”，趋势写的什么变种我记不得了，不过后面可以看到“隔离成功”，看来麦咖啡在没有升级的情况下和升级的趋势防毒墙双剑合璧蛮不错的 。 可以看到连小红伞都没有反映，连Avast都无动于衷，看来该变种应该是最新的，趋势防毒墙能查到，看来还不错，当然我们的麦咖啡也没有查到，基于如此多的杀毒引擎只有几款杀毒软件能够辨别为病毒，看来是很新的病毒了，所以这里发布预警，大家先作好以上策略，防御病毒永远胜于查杀病毒。 预防该Trojan.VB变种病毒同样可以如此作策略。通过U盘传播病毒是相当可怕的，大名鼎鼎的熊猫烧香、维金都有如此传播功能，请务必加上这条策略（如果已经作了，可以不添加）打开Mcafee控制台 ↓ 访问保护 ↓ 共享资源和文件夹保护 ↓ 添加 ↓ 规则名称阻挡病毒U盘媒体传播要阻挡的内容 * 要阻挡的文件或文件夹 **Autorun.INF 要阻挡的文件操作 [√]读取文件 [√]写入文件 [√]执行文件 [√]创建新文件 [ ]删除文件 Mcafee VirusScan Enterprise 8.5i的操作步骤有所不同，对于对Mcafee企业版操作不够了解的朋友，我再把8.5i版本的步骤写出来，仅供参考：打开Mcafee控制台 ↓ 访问保护 ↓ 用户自定义的规则 ↓ 新建 ↓ 文件/文件夹阻止规则 ↓ 规则名称阻挡病毒U盘媒体传播要包含的进程 * 要排除的进程 要阻止的文件或文件夹 **Autorun.INF 要禁止的文件操作 [√]对文件进行读访问 [√]对文件进行写访问 [√]正在执行的文件 [√]正在创建的新文件 [ ]正在删除的文件 添加第2条策略 规则名称阻挡病毒IEXPLORE.EXE创建与执行要包含的进程 * 要排除的进程 要阻止的文件或文件夹 %windir%system32IEXPLORE.EXE 要禁止的文件操作 [√]对文件进行读访问 [√]对文件进行写访问 [√]正在执行的文件 [√]正在创建的新文件 [ ]正在删除的文件 添加第3条策略 规则名称阻挡病毒SVCH0ST.EXE创建与执行（注意这里的SVCH0ST.EXE中CH后那个是零而非英文o）要包含的进程 * 要排除的进程 要阻止的文件或文件夹 %windir%system32SVCH0ST.EXE 要禁止的文件操作 [√]对文件进行读访问 [√]对文件进行写访问 [√]正在执行的文件 [√]正在创建的新文件 [ ]正在删除的文件0