利用系統原有的命令指令殺毒!

[psac]

上網最恐怖的事莫過於新病毒出來的時候，儘管電腦上我們都裝有各種強大的殺毒軟體，也組態了定時自動更新病毒庫，但病毒總是要先於病毒庫的更新的，所以中招的每次都不會是少數，這裡列舉一些通用的殺毒方法，自己親自動手來用系統原有的的工具絞殺病毒：

一、自己動手前，切記有備無患——用TaskList制作備份系統行程
新型病毒都學會了用行程來隱藏自己，所以我們最好在系統正常的時候，制作備份一下電腦的行程列表，當然最好在剛進入Windows時不要執行任何程序的情況下制作備份，樣以後感覺電腦異常的時候可以通過比較行程列表，找出可能是病毒的行程。

在命令提示字元下輸入：

TaskList /fo:csv>g:zc.csv
上述指令的作用是將當繼續程列表以csv格式輸出到「zc.csv」文件中，g:為你要儲存到的盤，可以用Excel開啟該檔案.

二、自己動手時，必須火眼金睛——用FC比較行程列表文件
如果感覺電腦異常，或者知道最近有流行病毒，那麼就有必要檢查一下。

進入命令提示字元下，輸入下列指令：
TaskList /fo:csv>g:yc.csv
產生一個當繼續程的yc.csv文件列表，然後輸入：

FC g:\zccsv g:\yc.csy
Enter鍵後就可以看到前後列表文件的不同了，通過比較發現，電腦多了一個名為「Winion0n.exe」(這裡以這個行程為例)不是「Winionon.exe」的異常行程。

三、進行判斷時，切記證據確鑿——用Netstat檢視開放連接阜
對這樣的可疑行程，如何判斷它是否是病毒呢？

根據大部分病毒（特別是木馬）會通過連接阜進行對外連接來傳播病毒，可以檢視一下連接阜佔有情況。
在命令提示字元下輸入：


Netstat -a-n-o

參數含義如下：

a:顯示所有與該主機建立連接的連接阜訊息
n:顯示開啟連接阜行程PID程式碼
o：以數位格式顯示位址和連接阜訊息

Enter鍵後就可以看到所有開放連接阜和外部連接行程，這裡一個PID為1756（以此為例）的行程最為可疑，它的狀態是「ESTABLISHED」，通過工作管理器可以知道這個行程就是「Winion0n.exe」，通過檢視本地機執行網路程序，可以判斷這是一個非法連接！
連接參數含義如下：


LISTENINC：表示處於偵聽狀態，就是說該連接阜是開放的，等待連接，但還沒有被連接，只有TCP傳輸協定的服務連接阜才能處於LISTENINC狀態。

ESTABLISHED的意思是建立連接。表示兩台機器正在通信。TIME-WAIT意思是結束了這次連接。說明連接阜曾經有過訪問，但訪問結束了，用於判斷是否有外部電腦連線到本地機。

四：下手殺毒時，一定要心狠手辣——用NTSD終止行程
雖然知道 「Winion0n.exe」是個非法行程，但是很多病毒的行程無法通過工作管理器終止，怎麼辦？

在命令提示字元下輸入下列指令：
ntsd –c q-p 1756
Enter鍵後可以順利結束病毒行程。
提示：「1756」為行程PID值，如果不知道行程的ID，開啟工作管理器，按下「檢視→選項列→勾上PID（行程標幟符）即可。NTSD可以強行終止除Sytem,SMSS.EXE,CSRSS.EXE外的所有行程。

五、斷定病毒後，定要斬草除根——搜出病毒原文件
對於已經判斷是病毒文件的「Winion0n.exe」文件，通過搜尋「本機所有分區」、「搜尋系統檔案夾和隱藏的文件和資料夾」，找到該檔案的藏身之所，將它移除。


不過這樣移除的只是病毒主文件，通過檢視它的內容，依據它的文件新增日期、大小再次進行搜尋，找出它的同夥並移除。


如果你不確定還有那些文件是它的親戚，通過網路搜尋尋找病毒訊息獲得說明 。

六、清除病毒後一定要打掃戰場
手動修復註冊表雖然把病毒文件移除了，但病毒都會在註冊表留下LJ鍵值，還需要把這些LJ清除乾淨。


1、用reg export制作備份自啟動。由於自啟動鍵值很多，發現病毒時手動尋找很不方便。這裡用reg export+批次處理指令來制作備份。


啟動記事本輸入下列指令：


reg export HKLM\software\Microsoft\Windows\
CurrentVersion\Run fo:\hklmrun.reg
reg export HKCU\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run f:\hklcu.reg
reg export HKLM\SOFTWARE\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run hklml.reg


註：這裡只列舉幾個一般鍵值的制作備份，其它鍵值請參照上述方法製作。


然後將它儲存為ziqidong.bat在命令提示字元下執行它，即可將所有自啟動鍵值制作備份到相應的reg文件中，接著再輸入：

copy f:\*.reg ziqidong.txt

指令的作用是將所有制作備份的reg文件輸出到「ziqidong.txt」中，這樣如果發現病毒新增自啟動項，同上次匯出自啟動值，利用上面介紹的FC指令比較前後兩個txt文件，即可快速找出新增自啟動項目。


2、用reg delete移除新增自啟動鍵值。


比如：通過上面的方法在[HKER_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run],找到一個「Logon」自啟動項，啟動程序為「c:\windows\winlogon.exe」,現在輸入下列指令即可移除病毒自啟動鍵值：
reg delete HKLM\software\Microssoft\Windows\
CurrentVersion\Run /f


3、用reg import恢復註冊表。Reg de-lete移除是的是整個RUN鍵值，現在用制作備份好的reg文件恢復即可，輸入下列指令即可迅速還原註冊表：

reg import f:\hklmrun.reg
上面介紹手動殺毒的幾個系統指令，其實只要用好這些指令，我們基本可以KILL掉大部分的病毒，當然平時就一定要做好制作備份工作。


提示：上述操作也可以在註冊表編輯器裡手動操作，但是REG指令有個好處，那就是即使註冊表編輯器被病毒設定為禁用，也可以通過上述指令匯出/移除/匯入操作，而且速度更快！

七、元件服務木馬剋星——FIND
上面介紹利用系統指令查殺一般病毒，下面再介紹一個檢測元件服務木馬的「FIND」指令。


相信很很多網蟲都遭遇過元件服務木刀，這些「批著羊皮的狼」常常躲在圖片、FLASH、甚至音樂文件後面。


當我們開啟這些文件的時候，雖然在當前視窗顯示的確實是一幅圖片（或是播放的FLASH），但可惡的木馬卻已經在後台悄悄地執行了。


比如近日我就收到一張好友從QQ傳來的超女桌布，但是當我開啟圖片時卻發現：圖片已經用「圖片和傳真檢視器」開啟了，硬碟的指示燈卻一直在狂閃。


顯然在我開啟圖片的同時，有不明的程序在後台執行。現在用FIND指令檢測圖片是否元件服務木馬，在命令提示字元輸入：
FIND /c /I〝This program〞g:\chaonv.jpe.exe
其中:
g:\chaonv.jpe.exe表示需要檢測的文件
FIND指令返回的提示是「___G:CHAONV.EXE: 2」,這表明「G：、CHAONV.EXE」確實元件服務了其它文件。


因為FIND指令的檢測：如果是EXE文件，正常情況下返回值應該為「1」；如果是不可執行文件，正常情況下返回值應該為「0」，其它結果就要注意了。


提示：其實很多元件服務木馬是利用Windows預設的「隱藏已知檔案類型文件副檔名」來迷惑我們，比如本例的「chaonv.jpe.exe」，由於這個文件採用了JPG文件的圖示，才導致上當。


開啟「我的電腦」，按下「工具→資料夾選項」，「按下」「檢視」，去除「隱藏已知檔案類型文件副檔名」前的小勾，即可看清「狼」的真面目。

八、總結

最後我們再來總結一下手動毒的流程：

用TSKLIST制作備份好行程列表→通過FC比較文件找出病毒→用NETSTAT判斷行程→用FIND終止行程→搜尋找出病毒並移除→用REG指令修復註冊表。這樣從發現病毒、移除病毒、修復註冊表，這完成整個手動查毒、殺毒程序。