【国际黑客联盟,2016年8月8日】与其使用安装的软件,不如使用系统自带的工具自行查杀病毒。 也就是利用系统自带的命令来做手动杀毒。 具体步骤如下:
1.自己动手之前,记得做好准备——使用TaskList备份系统进程
新病毒已经学会了利用进程来隐藏自己,所以我们最好在系统正常的时候备份计算机的进程列表。 当然,第一次进入Windows时最好在不运行任何程序的情况下进行备份电脑杀木马最好的软件,否则以后电脑会感觉不正常。 您可以比较进程列表来查找可能是病毒的进程。
在命令提示符处输入:
任务列表 /fo:csv>g:zc.csv
上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中。 g:是您要保存到的磁盘。 您可以使用 Excel 打开该文件。
2、自己动手的时候,眼睛一定要雪亮——用FC对比进程列表文件
如果你感觉自己的电脑出现异常,或者知道最近有流行的病毒,就有必要检查一下。
进入命令提示符并输入以下命令:
任务列表 /fo:csv>g:yc.csv
生成当前进程的yc.csv文件列表,然后输入:
FC g:\zccsv g:\yc.csy
按回车后,可以看到前后列表文件的区别。 通过对比,发现电脑多了一个名为“Winion0n.exe”的异常进程(这里以该进程为例),并非“Winionon.exe”。
3、做出判断时,记得要有确凿的证据——使用Netstat查看开放端口
对于这样的可疑进程,如何判断是否是病毒呢? 根据大多数病毒(尤其是木马)会通过端口对外连接传播病毒,可以查看端口占用情况。
在命令提示符处输入:
网络统计-ano
参数含义如下:
a:显示连接到主机的所有端口信息
n:显示打开端口的进程的PID码
o:以数字格式显示地址和端口信息
按回车后可以看到所有开放的端口和外部连接进程。 PID为1756的进程(以此为例)是最可疑的。 其状态为“已建立”。 通过任务管理器可以知道这个进程是“Winion0n.exe”,通过检查这台电脑上运行的网络程序,可以确定这是一个非法连接!
连接参数含义如下:
LISTENINC:表示处于监听状态,表示端口打开并等待连接,但尚未连接。 只有TCP协议的服务端口可以处于LISTENINC状态。
ESTABLISHED 表示建立连接。
表明两台机器正在通信。
TIME-WAIT表示结束本次连接。
表示该端口之前曾被访问过,但访问结束。 用于判断本机是否连接有外部计算机。
四:启动杀毒时一定要狠——用NTSD终止进程
虽然我们知道“Winion0n.exe”是非法进程,但很多病毒进程无法通过任务管理器终止。 我应该怎么办?
在命令提示符处输入以下命令:
ntsd –c qp 1756
按回车后即可成功结束病毒进程。
提示:“1756”为过程PID值。 如果您不知道进程ID,请打开任务管理器,单击“查看→选择列→检查PID(进程标识符)”。
NTSD可以强制终止除Sytem、SMSS.EXE和CSRSS.EXE之外的所有进程。
5、识别出病毒后,必须将其根除——搜索原始病毒文件
对于已确定为病毒文件的“Winion0n.exe”文件,通过搜索“所有本地分区”和“搜索系统文件夹及隐藏文件和文件夹”找到该文件的隐藏位置并将其删除。
但是,仅删除主病毒文件。 通过检查其属性并根据其文件创建日期和大小再次搜索,您可以找到其同伙并将其删除。
如果您不确定哪些文件与其相关,请通过在 Internet 上搜索有关该病毒的信息来获取帮助。
6.清除病毒后一定要清理战场
手动修复注册表虽然删除了病毒文件,但是病毒会在注册表中留下垃圾键,这些垃圾需要清理掉。
1.使用reg导出备份自启动。
由于自启动键值较多,发现病毒时手动查找很不方便。
这里使用regexport+batch命令进行备份。
启动记事本并输入以下命令:
reg 导出 HKLM\software\Microsoft\Windows\
当前版本\运行 fo:\hklmrun.reg
reg 导出 HKCU\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\Run f:\hklcu.reg
reg 导出 HKLM\SOFTWARE\Microsoft\Windows\
当前版本\策略\资源管理器\运行 hklml.reg
注:这里仅备份一些常用键值。 其他键值请参考上述方法。
然后保存为ziqidong.bat,在命令提示符下运行,将所有自启动键值备份到对应的reg文件中,然后输入:
复制f:\*.reg ziqidong.txt
该命令的作用是将所有备份的reg文件输出到“ziqidong.txt”中。 这样,如果发现病毒有新的自启动项,则和上次一样导出自启动值。 使用上面介绍的FC命令对比前后两个txt文件,即可以快速找到新的自启动项目。
2. 使用reg delete删除新增的自启动键值。
例如:在[HKER_CURRENT_USER\SOFTWARE\Microsoft\中使用上述方法
Windows\CurrentVersion\Run],找到一个“Logon”自启动项,启动程序为“c:\windows\winlogon.exe”,现在输入以下命令删除病毒自启动项:
reg 删除 HKLM\software\Microsoft\Windows\
当前版本\运行 /f
3. 使用reg import 恢复注册表。
Reg de-lete 删除整个 RUN 键值。 现在您可以使用备份的 reg 文件来恢复它。 输入以下命令快速恢复注册表:reg import f:\hklmrun.reg
以上介绍了手动杀毒的几个系统命令。 其实只要我们用好这些命令,基本上就可以杀掉大部分的病毒了。 当然,我们一定要做好备份工作。
提示:上述操作也可以在注册表编辑器中手动执行,但REG命令的优点是即使注册表编辑器被病毒禁用,仍然可以通过上述命令导出/删除/导入,而且是快点。 快的!
7.捆绑木马之星——FIND
以上介绍了使用系统命令来查杀一般病毒。 下面介绍一个用于检测捆绑木马的“FIND”命令。
相信很多网友都遇到过木刀相互绑在一起的情况。 这些“披着羊皮的狼”往往隐藏在图片、FLASH、甚至音乐文件后面。
当我们打开这些文件时,虽然当前窗口中显示的确实是一张图片(或正在播放的FLASH),但可恶的木马却已经在后台悄悄运行了。
例如,我最近在QQ上收到朋友发来的女超人壁纸,但当我打开该图片时,发现该图片已经用“图片和传真查看器”打开了,但硬盘指示灯一直在疯狂闪烁。
显然,当我打开图像时,后台正在运行一个未知程序。
现在使用FIND命令检测镜像是否捆绑木马,在命令提示符下输入:
FIND /c /I〝这个程序〞g:\chaonv.jpe.exe 其中:
g:\chaonv.jpe.exe 表示需要检测的文件
FIND命令返回的提示符为“___G:CHAONV.EXE:2”,这表明“G:,CHAONV.EXE”确实与其他文件捆绑在一起。
因为FIND命令的检测:如果是EXE文件,正常情况下返回值应该是“1”; 如果是不可执行文件,正常情况下返回值应为“0”。 注意其他结果。
提示:事实上,许多捆绑木马使用Windows默认的“隐藏已知类型的文件扩展名”来迷惑我们,例如本例中的“chaonv.jpe.exe”。 因为这个文件使用了JPG文件的图标,所以我们被骗了。
打开“我的电脑”,点击“工具→文件夹选项”电脑杀木马最好的软件,“点击”“查看”,去掉“隐藏已知类型的文件扩展名”前面的小勾,就可以看到“狼”的真面目了。
八、总结
最后总结一下手动投毒的流程:
使用TSKLIST备份进程列表→与FC比较文件查找病毒→使用NETSTAT确定进程→使用FIND终止进程→搜索找到病毒并删除→使用REG命令修复注册表。
