史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 作業系統操作技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2005-11-02, 10:36 AM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 巧用Win2000控制台刪感染文件

巧用Win2000控制台刪感染文件

本人的一台操作系統為Win2000 Server的筆記型電腦最近被感染了病毒,我首先用新昇級的Symantec AntiVirus企業版來掃瞄電腦,掃瞄報告如下:


病毒名稱:Hacktool
檔案名:c:\winnt\system32\ntservice.exe
操作:移除失敗,隔離失敗,訪問被拒絕
再用KV2004來殺毒,依然顯示發現病毒,移除失敗。
如何才能徹底移除呢?
因為c:\winnt\system32\ntservice.exe已經在執行了,直接移除顯然是不可能的。於是我執行Windows工作管理器,在工作選擇項中選項結束ntservice.exe工作,結果系統顯示「無法中止工作,拒絕訪問」。

看來除非到安全模式解決..但我突然想到在Win2000(XP)的控制台狀態下是可以用DOS指令的。


什麼是控制台


控制台是Windows的一種簡易執行模式,它可以不啟動圖形界面而在指令行狀態下有限制地訪問FAT和NTFS分區,並對系統進行一些設定和操作。

通過控制台,我們可以更換系統檔案、關閉或者禁用某個系統服務、禁用或卸載硬體設備、修復啟始扇區、新增分區以及格式化硬碟分區等。

啟動控制台

對於Windows2000,我們可以用光碟啟動電腦,然後在安裝程序的選單中按R鍵選項「修復Windows2000安裝」,再從修複選單中按C鍵選項「故障恢復控制台修復Windows2000」。


對於Windows XP,同樣是用光碟啟動電腦,然後按R選項修復,就能直接進入控制台。


直接把控制台的相關選項安裝到啟動功能表中的方法:把光碟放入光碟,然後直接在執行中輸入「d:\i386\winnt32/cmdcons」之後Enter鍵(這裡假設你的光碟是D),再點擊「是」,就可以把控制台選項安裝到進階啟動功能表中,這樣以後直接從硬碟就可以進入控制台中。這個方法適用於Windows2000和WindowsXP。



在控制台的命令提示字元下,為安全起見,我首先對ntservice.exe進行制作備份,然後直接執行:del c:\winnt\system32\ntservice.exe就OK
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-03-29, 12:10 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Xp修復控制台詳細用法

Windows XP(包括 Windows 2000)的控制台指令是在系統出現一些意外情況下的一種非常有效的診斷和測試以及恢復系統功能的工具。(當然大家可以在系統啟動後按F8,插入XP系統光碟進入)這次整理了一下,希望對大家有所說明 :
Bootcfg
  bootcfg 指令啟動組態和故障恢復(對於大多數電腦,即 boot.ini 文件)。
  含有下列參數的 bootcfg 指令僅在使用故障恢復控制台時才可用。可在命令提示字元下使用帶有不同參數的 bootcfg 指令。

用法:

  bootcfg /default  設定預設值啟始項。

  bootcfg /add    向啟始列表中增加 Windows 安裝。

  bootcfg /rebuild  重複全部 Windows 安裝程序並允許用戶選項要增加的內容。

  注意:使用 bootcfg /rebuild 之前,應先通過 bootcfg /copy 指令制作備份 boot.ini 文件。

  bootcfg /scan    掃瞄用於 Windows 安裝的所有磁牒並顯示結果。

  注意:這些結果被靜態儲存於,並用於本次會話。如果在本次會話期間磁牒組態發生變化,為獲得更新的掃瞄,必須先重新啟動電腦,然後再次掃瞄磁牒。

  bootcfg /list   列出啟始列表中已有的 列項。

  bootcfg /disableredirect 在啟動啟始程序中禁用重轉發IP。

  bootcfg /redirect [ PortBaudRrate] |[ useBiosSettings]

  在啟動啟始程序中通過指定組態啟用重轉發IP。

範例:
  bootcfg /redirect com1 115200
  bootcfg /redirect useBiosSettings

hkdsk

  新增並顯示磁牒的狀態報告。Chkdsk 指令還可列出並改正磁牒上的錯誤。

  含有下列參數的 chkdsk 指令僅在使用故障恢復控制台時才可用。可在命令提示字元下使用帶有不同參數的 chkdsk 指令。

vol [drive:] [ chkdsk [drive:] [/p] [/r]

  參數  無

  如果不帶任何參數,chkdsk 將顯示當前驅動器中的磁牒狀態。

drive: 指定要 chkdsk 檢查的驅動器。
/p   即使驅動器不在 chkdsk 的檢查範圍內,也執行徹底檢查。該參數不對驅動器做任何更改。
/r   找到壞扇區並恢復可讀取的訊息。隱含著 /p 參數。




注意

Chkdsk 指令需要 Autochk.exe 文件。如果不能在啟動目錄(預設值為 @%systemroot%@System32)中找到該檔案,將試著在 Windows 安裝 CD 中找到它。如果有多啟始系統的電腦,必須保證是在包含 Windows 的驅動器上使用該指令。

Diskpart

  新增和移除硬碟驅動器上的分區。diskpart 指令僅在使用故障恢復控制台時才可用。

  diskpart [ /add |/delete] [device_name |drive_name |partition_name] [size]

  參數 無

  如果不帶任何參數,diskpart 指令將啟動 diskpart 的 Windows 字串模式版本。

  /add

  新增新的分區。

  /delete

  移除現有分區。

  device_name

  要新增或移除分區的設備。設備名稱可從 map 指令的輸出獲得。例如,設備名稱:

  @Device@HardDisk0

  drive_name

  以驅動器號表示的待移除分區。僅與 /delete 同時使用。以下是驅動器名稱的範例:

  D:

  partition_name

  以分區名稱表示的待移除分區。可替代 drive_name 使用。僅與 /delete 同時使用。以下是分區名稱的範例:

  @Device@HardDisk0@Partition1

   大小

  要新增的分區大小,以兆字元 (MB)表示。僅與 /add 同時使用。

  範例

  下例將移除分區:

diskpart /delete @ Device@ HardDisk0@ Partition3
diskpart /delete F:

  下例將在硬碟上增加一個 20 MB 的分區:

  diskpart /add @ Device@ HardDisk0 20



Fixboot

  向系統分區寫入新的分區啟始扇區。只有在使用故障恢復控制台時,才能使用 fixboot 指令。

  fixboot [drive]

  參數  驅動器

  將要寫入啟始扇區的驅動器。它將替代預設值的驅動器(即用戶登入的系統分區)。例如,驅動器:D:

  範例

  下列指令範例向驅動器 D: 的系統分區寫入新的分區啟始扇區:

  fixboot d:

  注意: 如果不帶任何參數,fixboot 指令將向用戶登入的系統分區寫入新的分區啟始扇區。

  Fixmbr

  修復啟動磁牒的 主啟動記錄。fixmbr 指令僅在使用故障恢復控制台時才可用。

  fixmbr [ device_name]

  參數

  device_name

  要寫入新的硬碟分區表的設備(驅動器)。設備名稱可從 map 指令的輸出獲得。例如,設備名稱:

  @Device@HardDisk0

  範例

  下列指令示例向指定設備寫入一個新的硬碟分區表:

  fixmbr @Device@HardDisk0

  注意:如果不指定 device_name,新的硬碟分區表將被寫入啟始設備,即安裝載入主系統的驅動器。
如果系統檢測到無效或非標準分區表標記,將提示用戶是否繼續執行該指令。除非您訪問驅動器有問題,否則不要繼續進行。向系統分區寫入新的硬碟分區表可能破壞分區表並導致分區無法訪問。

Format

  將指定的驅動器格式化為指定的文件系統。含有下列參數的 format 指令僅在使用故障恢復控制台時才可用。可在命令提示字元下使用帶有不同參數的 format 指令。

  format [ drive:] [ /fs:file-system]

  參數

drive:

  指定要格式化的驅動器。不能從故障恢復控制台格式化軟碟。




 /q

  對驅動器進行快速格式化。不掃瞄驅動器看是否有壞區域,因此只應對以前格式化過的驅動器使用該參數。

  /fs:file-system

  指定要使用的文件系統:FAT、FAT32 或 NTFS 。如果未指定文件系統,將使用現有的文件系統格式。

Map

  顯示驅動器號與物理設備名稱的映射。該訊息在執行 fixboot 和 fixmbr 指令時非常有用。

  map 指令僅在使用故障恢復控制台時才可用。

  Map [ arc]

  參數

arc

  指示 map 指令顯示進階 RISC 計算 (ARC)設備名稱而不是設備名稱。以下是 ARC 設備名稱的範例:

  multi(0)disk(0)rdisk(0)partition(1)

  等價的設備名稱是:

  @Device@HardDisk0@Partition1

  範例

  下例將物理設備名映射為使用 ARC 設備名稱的驅動器號:

  map arc

  注意:如果不使用 arc 參數,則 map 指令顯示設備名稱。map 指令還顯示文件系統的檔案類型和每個磁牒的大小(MB)
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 08:16 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2021, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1