時(shí)間:2015/6/28來(lái)源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評(píng)論(0)
現(xiàn)在的病毒、木馬層出不窮,相對(duì)來(lái)說(shuō)殺毒軟件總是慢半拍。與其求助殺毒軟件,不如親自操刀。Windows提供了強(qiáng)大的命令行工具,其實(shí)在某些特殊情況下我們完全可以用其手刃病毒。下面以清除winlog0n.exe病毒為例演示vista下命令行殺毒的一般過(guò)程。
一、未雨綢繆,有備無(wú)患
任務(wù):備份系統(tǒng)進(jìn)程和注冊(cè)表啟動(dòng)項(xiàng)。
工具:TaskList.exe、reg.exe
說(shuō)明:新型病毒都學(xué)會(huì)了用進(jìn)程來(lái)隱藏自己,所以我們最好在系統(tǒng)正常的時(shí)候,備份一下電腦的進(jìn)程列表,當(dāng)然最好在剛進(jìn)入Windows時(shí)不要運(yùn)行任何程序的情況下備份,樣以后感覺(jué)電腦異常的時(shí)候可以通過(guò)比較進(jìn)程列表,找出可能是病毒的進(jìn)程。另外病毒和木馬通過(guò)在注冊(cè)表啟動(dòng)項(xiàng)中添加相關(guān)鍵值達(dá)到隨系統(tǒng)啟動(dòng),我們也要備份啟動(dòng)項(xiàng),這樣在中毒后可以進(jìn)行比對(duì),找出病毒或者木馬。
操作:
1.備份系統(tǒng)進(jìn)程
在命令提示符下輸入:taskList /fo:csv>D:\bf.csv
提示:上述命令的作用是將當(dāng)前進(jìn)程列表以csv格式輸出到"bf.csv"文件中,D:為你要保存到的盤,可以用excel打開(kāi)該文件。
2.備份注冊(cè)表啟動(dòng)項(xiàng)
把如下代碼保存為rbf1.bat批處理文件
@echo off
reg export HKLM\software\Microsoft\Windows\CurrentVersion\Run d:\hklmrun.reg
reg export HKLM\software\Microsoft\Windows\CurrentVersion\RunOnce d:\hklmrunonce.reg
reg export HKCU\software\Microsoft\Windows\CurrentVersion\Run d:\hkcurun.reg
注:這里只列舉幾個(gè)常見(jiàn)鍵值的備份,其它鍵值請(qǐng)參照上述方法制作。
二、明察秋毫,揪出黑手
任務(wù):找出可疑的進(jìn)程
工具:Fc.exe
說(shuō)明:如果感覺(jué)電腦異常,或者知道最近有流行病毒,那么就有必要檢查一下。
操作:
進(jìn)入命令提示符下,輸入下列命令"TaskList /fo:csv>D:\yc.csv"生成一個(gè)當(dāng)前進(jìn)程的yc.csv文件列表,然后輸入"FC /C /N D:\bf.csv D:\yc.csv"回車后就可以看到前后列表文件的不同了,通過(guò)比較發(fā)現(xiàn),電腦多了一個(gè)名為"winlog0n.exe"(不是 winlogon.exe)的異常進(jìn)程。
三、現(xiàn)場(chǎng)取證,揪出確定目標(biāo)
任務(wù):查看可疑進(jìn)程打開(kāi)的本機(jī)網(wǎng)絡(luò)端口
工具:Netstat.exe
說(shuō)明:大部分病毒(特別是木馬)會(huì)通過(guò)端口進(jìn)行對(duì)外連接來(lái)傳播病毒,可以通過(guò)查看端口占有情況確定病毒或者木馬。
操作:
在命令提示符下輸入"Netstat -a -n -o"回車后就可以看到所有開(kāi)放端口和外部連接進(jìn)程,可以看到PID為2016的進(jìn)程最為可疑,與192.168.1.6直接有網(wǎng)絡(luò)連接并且連接狀態(tài)為 "ESTABLISHED",端口號(hào)為880。通過(guò)任務(wù)管理器可以知道這個(gè)進(jìn)程就是"winlog0n.exe",通過(guò)查看本機(jī)運(yùn)行網(wǎng)絡(luò)程序,可以判斷這是一個(gè)非法連接!
提示:LISTENINC:表示處于偵聽(tīng)狀態(tài),就是說(shuō)該端口是開(kāi)放的,等待連接,但還沒(méi)有被連接,只有TCP協(xié)議的服務(wù)端口才能處于 LISTENINC狀態(tài)。ESTABLISHED的意思是建立連接,表示兩臺(tái)機(jī)器正在通信。TIME-WAIT意思是結(jié)束了這次連接,說(shuō)明端口曾經(jīng)有過(guò)訪問(wèn),但訪問(wèn)結(jié)束了,用于判斷是否有外部電腦連接到本機(jī)。
四:當(dāng)機(jī)立斷,殺死進(jìn)程
任務(wù):殺死可疑進(jìn)程
工具:Netsd.exe
說(shuō)明:既然"winlog0n.exe"是個(gè)非法進(jìn)程,我們就得結(jié)束這個(gè)進(jìn)程,經(jīng)測(cè)試taskkill無(wú)法結(jié)束,那么我們就用Netsd.exe這個(gè)無(wú)敵命令。不過(guò),在Vista中沒(méi)有集成這個(gè)命令,我們可以從XP的系統(tǒng)中復(fù)制一個(gè)。
操作:
在命令提示符下輸入下列命令"ntsd -c q -p 2016"回車后可以順利結(jié)束病毒進(jìn)程。
提示:"2016"為進(jìn)程PID值,如果不知道進(jìn)程的ID,在命令提示符下敲入tasklist命令在PID列中可以看到該進(jìn)程的ID。與 NTSD相關(guān)的還有taskkill命令,不過(guò)ntsd更強(qiáng)大,它可以強(qiáng)行終止除system"、"smss.exe"、"csrss.exe"之外的所有進(jìn)程。
五、斬草除根
任務(wù):搜索并清除病毒原文件
工具:dir、del
說(shuō)明:結(jié)束了winlog0n.exe進(jìn)程,如果不清除源文件它還會(huì)死灰復(fù)燃,在一定的條件下重新運(yùn)行。因此要找到病毒的老巢,把它清理出硬盤。
操作:
在命令行下敲入如下命令:
CD \
cd windows
dir /a /s /OD winlog0n.exe
attrib System32\winlog0n.exe
attrib -s -h -r system32\winlog0n.exe
del system32\winlog0n.exe
說(shuō)明:上面的第一、二行命令是進(jìn)入Windows目錄,因?yàn)椴《、木馬一般都藏身在這個(gè)目錄下。第三行命令是在C:\Windows目錄下查找所有的(包括隱藏的)winlog0n.exe病毒文件,并按照時(shí)間順序排列。第四行是查看該病毒文件的屬性。第五行是取消該病毒文件的系統(tǒng)、隱藏、只讀屬性。第六號(hào)是刪除病毒文件。
六、打掃戰(zhàn)場(chǎng)
任務(wù):清理病毒、木馬在注冊(cè)表中留下的鍵值
工具:reg.exe
說(shuō)明:手動(dòng)殺毒雖然把病毒文件刪除了,但病毒都會(huì)在注冊(cè)表留下垃圾鍵值,還需要把這些垃圾清除干凈。
操作:
1.導(dǎo)出注冊(cè)表啟動(dòng)項(xiàng)目
把如下代碼保存為rbf2.bat批處理文件
@echo off
reg export HKLM\software\Microsoft\Windows\CurrentVersion\Run e:\hklmrun.reg
reg export HKLM\software\Microsoft\Windows\CurrentVersion\RunOnce e:\hklmrunonce.reg
reg export HKCU\software\Microsoft\Windows\CurrentVersion\Run e:\hkcurun.reg
運(yùn)行rbf2.bat導(dǎo)出中毒后的注冊(cè)表啟動(dòng)項(xiàng)。
2.注冊(cè)表啟動(dòng)項(xiàng)比對(duì),輸入如下命令:
copy d:\*.reg d:\ziqidong1.txt
copy e:\*.reg e:\ziqidong2.txt
fc d:\ziqidong1.txt e:\ziqidong2.txt >d:\fc.txt & d:\fc.txt
命令的作用是把兩次備份的reg文件輸出到"ziqidong1.txt"和"ziqidong2.txt"中,然后利用上面介紹的FC命令比較前后兩個(gè)txt文件, 即可快速找出新增自啟動(dòng)項(xiàng)目。
3.用reg delete刪除新增自啟動(dòng)鍵值。
通過(guò)上面的方法在[HKER_CURRENT_USER\SOFTWARE\Microsoft\Windows \CurrentVersion\Run],找到一個(gè)"winlog"自啟動(dòng)項(xiàng),啟動(dòng)程序?yàn)?quot;c:\windows\system32 \winlog0n.exe",現(xiàn)在輸入下列命令即可刪除病毒自啟動(dòng)鍵值:reg delete HKCU\software\Microsoft\Windows\CurrentVersion\Run /v winlog。
4.用reg import恢復(fù)注冊(cè)表。
Reg deete刪除是的是整個(gè)RUN鍵值,現(xiàn)在用備份好的reg文件恢復(fù)即可,輸入下列命令即可迅速還原注冊(cè)表:reg import f:\hklmrun.reg
提示:上述操作也可以在注冊(cè)表編輯器里手動(dòng)操作,但是REG命令有個(gè)好處,那就是即使注冊(cè)表編輯器被病毒設(shè)置為禁用,也可以通過(guò)上述命令導(dǎo)出/刪除/導(dǎo)入操作,而且速度更快!
顯示到此結(jié)束,最后總結(jié)一下vista命令行殺毒的一般步驟:用TSKLIST備份好進(jìn)程列表和注冊(cè)表的啟動(dòng)項(xiàng)→通過(guò)FC比較文件找出病毒→用 NETSTAT判斷進(jìn)程→用Ntsd終止進(jìn)程→dir搜索找出病毒并刪除→用REG命令修復(fù)注冊(cè)表。也許,命令行殺毒大家平時(shí)不經(jīng)常用到,但是掌握一項(xiàng)安全技能卻絕不是壞事。
關(guān)鍵詞標(biāo)簽:Vista木馬病毒
相關(guān)閱讀
熱門文章 如何使HIPS 防止U盤病毒的入侵用小工具巧殺計(jì)算機(jī)病毒Windows 17年的老漏洞(VDM 0day)須警惕光驅(qū)也瘋狂 Autorun病毒冒充文件夾
人氣排行 解決alexa.exe自動(dòng)彈出網(wǎng)頁(yè)病毒卡巴斯基2017激活教程_卡巴斯基2017用授權(quán)文件KEY激活的方法(完美卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活碼/授權(quán)許可文件K更改文件權(quán)限--處理另類無(wú)法刪除病毒comine.exe 病毒清除方法ekrn.exe占用CPU 100%的解決方案當(dāng)殺毒軟件無(wú)能為力時(shí),手動(dòng)殺毒(利用系統(tǒng)自帶命令查殺病毒)也許發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除