第二步：实战清理病毒

    通过上面的内容相信你已经基本了解病毒的运作方式，现在杀毒软件已经“下岗”了，那么现在我们就靠自己的双手将它驱逐出去，还您一片蓝色的天空吧！

    首先介绍今天的主角：WinPe 老毛桃修改版

    这是一个类似windows98的操作系统。它体积很小只有几十M，现在很多系统安装版里都集成了这个软件，或者你也可以上网下载一个iso文件。用虚拟光驱运行，会有安装到系统的功能，所以没有刻录机的朋友一样可以使用它，当然它还有U盘版。我今天使用的是光盘版，或许你会问“为什么要用这个操作系统？他和xp有什么区别呢？难道用他就不会开机运行病毒了？”

    是的！说的没错！因为WinPe是光盘或本地安装出来的一个虚拟磁盘的操作系统，他和系统本身是没有挂钩的，所以不会启动windows注册表里的启动项。这个的带来的优势就是我们可以在病毒启动之前就把他删除掉！设想，一个病毒虽然在注册表里配置的启动项，但是他的原始病毒文件已经不存在了。和谈启动运行？这就是我们今天的重点思路！在病毒启动以前将病毒文件全部删除，让他有心无力！

    下面是winpe下操作的截图：

    是不是和98或者2003很像？Winpe的另一个好处就是，我们前面提到的磁盘感染Autorun.inf对它也是无效的。右键是没有”Auto”这个选项的，所以我们在winpe下可以放心的双击盘符而不会运行病毒！

    我们首先来清理掉最容易找到的病毒文件——磁盘根目录下的感染文件

    除了C盘以外的每个盘根目录下都有，一定要记得全部删除！

    删除的文件包括Autorun.inf和那个隐藏的exe文件，有的病毒隐藏文件是.pif或cmd或别的什么，因为c盘根目录没这些感染文件。所以我可以告诉大家一个诀窍：

    删除除C盘以外，所以盘目录下的隐藏文件（不包括文件夹）就可以了。

    好接下来看看我们前面提到的其他文件夹：

    C:\windows
    C:\windows\help
    C:\Windows\Temp
    C:\windows\system32
    C:\Windows\System32\drivers
    C:\Program Files\
    C:\Program Files\Common Files\microsoft shared\
    C:\Program Files\Common Files\microsoft shared\MSInfo
    C:\Program Files\Internet Explorer
    在windows文件夹下我们发现了017A4901.hlp和我们上面说的一样