巧用Win2000控制台刪感染文件
巧用Win2000控制台刪感染文件
本人的一台操作系統為Win2000 Server的筆記型電腦最近被感染了病毒,我首先用新昇級的Symantec AntiVirus企業版來掃瞄電腦,掃瞄報告如下: 病毒名稱:Hacktool 檔案名:c:\winnt\system32\ntservice.exe 操作:移除失敗,隔離失敗,訪問被拒絕 再用KV2004來殺毒,依然顯示發現病毒,移除失敗。 如何才能徹底移除呢? 因為c:\winnt\system32\ntservice.exe已經在執行了,直接移除顯然是不可能的。於是我執行Windows工作管理器,在工作選擇項中選項結束ntservice.exe工作,結果系統顯示「無法中止工作,拒絕訪問」。 看來除非到安全模式解決..但我突然想到在Win2000(XP)的控制台狀態下是可以用DOS指令的。 什麼是控制台 控制台是Windows的一種簡易執行模式,它可以不啟動圖形界面而在指令行狀態下有限制地訪問FAT和NTFS分區,並對系統進行一些設定和操作。 通過控制台,我們可以更換系統檔案、關閉或者禁用某個系統服務、禁用或卸載硬體設備、修復啟始扇區、新增分區以及格式化硬碟分區等。 啟動控制台 對於Windows2000,我們可以用光碟啟動電腦,然後在安裝程序的選單中按R鍵選項「修復Windows2000安裝」,再從修複選單中按C鍵選項「故障恢復控制台修復Windows2000」。 對於Windows XP,同樣是用光碟啟動電腦,然後按R選項修復,就能直接進入控制台。 直接把控制台的相關選項安裝到啟動功能表中的方法:把光碟放入光碟,然後直接在執行中輸入「d:\i386\winnt32/cmdcons」之後Enter鍵(這裡假設你的光碟是D),再點擊「是」,就可以把控制台選項安裝到進階啟動功能表中,這樣以後直接從硬碟就可以進入控制台中。這個方法適用於Windows2000和WindowsXP。 在控制台的命令提示字元下,為安全起見,我首先對ntservice.exe進行制作備份,然後直接執行:del c:\winnt\system32\ntservice.exe就OK |
Xp修復控制台詳細用法
Windows XP(包括 Windows 2000)的控制台指令是在系統出現一些意外情況下的一種非常有效的診斷和測試以及恢復系統功能的工具。(當然大家可以在系統啟動後按F8,插入XP系統光碟進入)這次整理了一下,希望對大家有所說明 : Bootcfg bootcfg 指令啟動組態和故障恢復(對於大多數電腦,即 boot.ini 文件)。 含有下列參數的 bootcfg 指令僅在使用故障恢復控制台時才可用。可在命令提示字元下使用帶有不同參數的 bootcfg 指令。 用法: bootcfg /default 設定預設值啟始項。 bootcfg /add 向啟始列表中增加 Windows 安裝。 bootcfg /rebuild 重複全部 Windows 安裝程序並允許用戶選項要增加的內容。 注意:使用 bootcfg /rebuild 之前,應先通過 bootcfg /copy 指令制作備份 boot.ini 文件。 bootcfg /scan 掃瞄用於 Windows 安裝的所有磁牒並顯示結果。 注意:這些結果被靜態儲存於,並用於本次會話。如果在本次會話期間磁牒組態發生變化,為獲得更新的掃瞄,必須先重新啟動電腦,然後再次掃瞄磁牒。 bootcfg /list 列出啟始列表中已有的 列項。 bootcfg /disableredirect 在啟動啟始程序中禁用重轉發IP。 bootcfg /redirect [ PortBaudRrate] |[ useBiosSettings] 在啟動啟始程序中通過指定組態啟用重轉發IP。 範例: bootcfg /redirect com1 115200 bootcfg /redirect useBiosSettings hkdsk 新增並顯示磁牒的狀態報告。Chkdsk 指令還可列出並改正磁牒上的錯誤。 含有下列參數的 chkdsk 指令僅在使用故障恢復控制台時才可用。可在命令提示字元下使用帶有不同參數的 chkdsk 指令。 vol [drive:] [ chkdsk [drive:] [/p] [/r] 參數 無 如果不帶任何參數,chkdsk 將顯示當前驅動器中的磁牒狀態。 drive: 指定要 chkdsk 檢查的驅動器。 /p 即使驅動器不在 chkdsk 的檢查範圍內,也執行徹底檢查。該參數不對驅動器做任何更改。 /r 找到壞扇區並恢復可讀取的訊息。隱含著 /p 參數。 注意 Chkdsk 指令需要 Autochk.exe 文件。如果不能在啟動目錄(預設值為 @%systemroot%@System32)中找到該檔案,將試著在 Windows 安裝 CD 中找到它。如果有多啟始系統的電腦,必須保證是在包含 Windows 的驅動器上使用該指令。 Diskpart 新增和移除硬碟驅動器上的分區。diskpart 指令僅在使用故障恢復控制台時才可用。 diskpart [ /add |/delete] [device_name |drive_name |partition_name] [size] 參數 無 如果不帶任何參數,diskpart 指令將啟動 diskpart 的 Windows 字串模式版本。 /add 新增新的分區。 /delete 移除現有分區。 device_name 要新增或移除分區的設備。設備名稱可從 map 指令的輸出獲得。例如,設備名稱: @Device@HardDisk0 drive_name 以驅動器號表示的待移除分區。僅與 /delete 同時使用。以下是驅動器名稱的範例: D: partition_name 以分區名稱表示的待移除分區。可替代 drive_name 使用。僅與 /delete 同時使用。以下是分區名稱的範例: @Device@HardDisk0@Partition1 大小 要新增的分區大小,以兆字元 (MB)表示。僅與 /add 同時使用。 範例 下例將移除分區: diskpart /delete @ Device@ HardDisk0@ Partition3 diskpart /delete F: 下例將在硬碟上增加一個 20 MB 的分區: diskpart /add @ Device@ HardDisk0 20 Fixboot 向系統分區寫入新的分區啟始扇區。只有在使用故障恢復控制台時,才能使用 fixboot 指令。 fixboot [drive] 參數 驅動器 將要寫入啟始扇區的驅動器。它將替代預設值的驅動器(即用戶登入的系統分區)。例如,驅動器:D: 範例 下列指令範例向驅動器 D: 的系統分區寫入新的分區啟始扇區: fixboot d: 注意: 如果不帶任何參數,fixboot 指令將向用戶登入的系統分區寫入新的分區啟始扇區。 Fixmbr 修復啟動磁牒的 主啟動記錄。fixmbr 指令僅在使用故障恢復控制台時才可用。 fixmbr [ device_name] 參數 device_name 要寫入新的硬碟分區表的設備(驅動器)。設備名稱可從 map 指令的輸出獲得。例如,設備名稱: @Device@HardDisk0 範例 下列指令示例向指定設備寫入一個新的硬碟分區表: fixmbr @Device@HardDisk0 注意:如果不指定 device_name,新的硬碟分區表將被寫入啟始設備,即安裝載入主系統的驅動器。 如果系統檢測到無效或非標準分區表標記,將提示用戶是否繼續執行該指令。除非您訪問驅動器有問題,否則不要繼續進行。向系統分區寫入新的硬碟分區表可能破壞分區表並導致分區無法訪問。 Format 將指定的驅動器格式化為指定的文件系統。含有下列參數的 format 指令僅在使用故障恢復控制台時才可用。可在命令提示字元下使用帶有不同參數的 format 指令。 format [ drive:] [ /fs:file-system] 參數 drive: 指定要格式化的驅動器。不能從故障恢復控制台格式化軟碟。 /q 對驅動器進行快速格式化。不掃瞄驅動器看是否有壞區域,因此只應對以前格式化過的驅動器使用該參數。 /fs:file-system 指定要使用的文件系統:FAT、FAT32 或 NTFS 。如果未指定文件系統,將使用現有的文件系統格式。 Map 顯示驅動器號與物理設備名稱的映射。該訊息在執行 fixboot 和 fixmbr 指令時非常有用。 map 指令僅在使用故障恢復控制台時才可用。 Map [ arc] 參數 arc 指示 map 指令顯示進階 RISC 計算 (ARC)設備名稱而不是設備名稱。以下是 ARC 設備名稱的範例: multi(0)disk(0)rdisk(0)partition(1) 等價的設備名稱是: @Device@HardDisk0@Partition1 範例 下例將物理設備名映射為使用 ARC 設備名稱的驅動器號: map arc 注意:如果不使用 arc 參數,則 map 指令顯示設備名稱。map 指令還顯示文件系統的檔案類型和每個磁牒的大小(MB) |
所有時間均為台北時間。現在的時間是 08:02 PM。 |
Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.
『服務條款』
* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *