A. 用自帶的Windows命令查殺病毒
計算機病毒指編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機正常使用並且能夠自我復制的一組計算機指令或程序代碼。下面為大家帶來用自帶的Windows命令查殺病毒,快來看看吧。
用自帶的Windows命令查殺病毒
上網最恐怖的事莫過於新病毒出來的時候,盡管電腦上我們都裝有各種強大的殺毒軟體,也配置了定時自動更新病毒庫,但病毒總是要先於病毒庫的更新的,所以中招的每次都不會是少數,這里列舉一些通用的殺毒方法,自己親自動手來用系統自帶的工具絞殺病毒:
一、自己動手前,切記有備無患——用TaskList備份系統進程
新型病毒都學會了用進程來隱藏自己,所以我們最好在系統正常的時候,備份一下電腦的進程列表,當然最好在剛進入Windows時不要運行任何程序的情況下備份,樣以後感覺電腦異常的時候可以通過比較進程列表,找出可能是病毒的進程。
在命令提示符下輸入:
TaskList/fo:csv>g:zc.csv
上述命令的作用是將當前進程列表以csv格式輸出到「zc.csv」文件中,g:為你要保存到的.盤,可以用Excel打開該文件.
二、自己動手時,必須火眼金睛——用FC比較進程列表文件
如果感覺電腦異常,或者知道最近有流行病毒,那麼就有必要檢查一下。
進入命令提示符下,輸入下列命令:
TaskList /fo:csv>g:yc.csv
生成一個當前進程的yc.csv文件列表,然後輸入:
FC g:zccsv g:yc.csy
回車後就可以看到前後列表文件的不同了,通過比較發現,電腦多了一個名為「Winion0n.exe」(這里以這個進程為例)不是「Winionon.exe」的異常進程。
三、進行判斷時,切記證據確鑿——用Netstat查看開放埠
對這樣的可疑進程,如何判斷它是否是病毒呢?根據大部分病毒(特別是木馬)會通過埠進行對外連接來傳播病毒,可以查看一下埠佔有情況。
在命令提示符下輸入:
Netstat-a-n-o
參數含義如下:
a:顯示所有與該主機建立連接的埠信息
n:顯示打開埠進程PID代碼
o:以數字格式顯示地址和埠信息
回車後就可以看到所有開放埠和外部連接進程,這里一個PID為1756(以此為例)的進程最為可疑,它的狀態是「ESTABLISHED」,通過任務管理器可以知道這個進程就是「Winion0n.exe」,通過查看本機運行網路程序,可以判斷這是一個非法連接!
連接參數含義如下:
LISTENINC:表示處於偵聽狀態,就是說該埠是開放的,等待連接,但還沒有被連接,只有TCP協議的服務埠才能處於LISTENINC狀態。
ESTABLISHED的意思是建立連接。
表示兩台機器正在通信。
TIME-WAIT意思是結束了這次連接。
說明埠曾經有過訪問,但訪問結束了,用於判斷是否有外部電腦連接到本機。
四:下手殺毒時,一定要心狠手辣——用NTSD終止進程
雖然知道「Winion0n.exe」是個非法進程,但是很多病毒的進程無法通過任務管理器終止,怎麼辦?
在命令提示符下輸入下列命令:
ntsd–cq-p1756
回車後可以順利結束病毒進程。
提示:「1756」為進程PID值,如果不知道進程的ID,打開任務管理器,單擊「查看→選擇列→勾上PID(進程標識符)即可。
NTSD可以強行終止除Sytem,SMSS.EXE,CSRSS.EXE外的所有進程。
五、斷定病毒後,定要斬草除根——搜出病毒原文件
對於已經判斷是病毒文件的「Winion0n.exe」文件,通過搜索本地所有分區」、「搜索系統文件夾和隱藏的文件和文件夾」,找到該文件的藏身之所,將它刪除。
不過這樣刪除的只是病毒主文件,通過查看它的屬性,依據它的文件創建曰期、大小再次進行搜索,找出它的同夥並刪除。
如果你不確定還有那些文件是它的親戚,通過網路搜索查找病毒信息獲得幫助。六、清除病毒後一定要打掃戰場
手動修復注冊表雖然把病毒文件刪除了,但病毒都會在注冊表留下垃圾鍵值,還需要把這些垃圾清除干凈。
Windows登錄類型
登錄類型2:互動式登錄(Interactive)
這應該是你最先想到的登錄方式吧,所謂互動式登錄就是指用戶在計算機的控制台上進行的登錄,也就是在本地鍵盤上進行的登錄,但不要忘記通過KVM登錄仍然屬於互動式登錄,雖然它是基於網路的。
登錄類型3:網路(Network)
當你從網路的上訪問一台計算機時在大多數情況下Windows記為類型3,最常見的情況就是連接到共享文件夾或者共享列印機時。另外大多數情況下通過網路登錄IIS時也被記為這種類型,但基本驗證方式的IIS登錄是個例外,它將被記為類型8,下面將講述。
登錄類型4:批處理(Batch)
當Windows運行一個計劃任務時,「計劃任務服務」將為這個任務首先創建一個新的登錄會話以便它能在此計劃任務所配置的用戶賬戶下運行,當這種登錄出現時,Windows在日誌中記為類型4,對於其它類型的工作任務系統,依賴於它的設計,也可以在開始工作時產生類型4的登錄事件,類型4登錄通常表明某計劃任務啟動,但也可能是一個惡意用戶通過計劃任務來猜測用戶密碼,這種嘗試將產生一個類型4的登錄失敗事件,但是這種失敗登錄也可能是由於計劃任務的用戶密碼沒能同步更改造成的,比如用戶密碼更改了,而忘記了在計劃任務中進行更改。
登錄類型5:服務(Service)
與計劃任務類似,每種服務都被配置在某個特定的用戶賬戶下運行,當一個服務開始時,Windows首先為這個特定的用戶創建一個登錄會話,這將被記為類型5,失敗的類型5通常表明用戶的密碼已變而這里沒得到更新,當然這也可能是由惡意用戶的密碼猜測引起的,但是這種可能性比較小,因為創建一個新的服務或編輯一個已存在的服務默認情況下都要求是管理員或serversoperators身份,而這種身份的惡意用戶,已經有足夠的能力來干他的壞事了,已經用不著費力來猜測服務密碼了。
登錄類型7:解鎖(Unlock)
你可能希望當一個用戶離開他的計算機時相應的工作站自動開始一個密碼保護的屏保,當一個用戶回來解鎖時,Windows就把這種解鎖操作認為是一個類型7的登錄,失敗的類型7登錄表明有人輸入了錯誤的密碼或者有人在嘗試解鎖計算機。
登錄類型8:網路明文(NetworkCleartext)
這種登錄表明這是一個像類型3一樣的網路登錄,但是這種登錄的密碼在網路上是通過明文傳輸的,WindowsServer服務是不允許通過明文驗證連接到共享文件夾或列印機的,據我所知只有當從一個使用Advapi的ASP腳本登錄或者一個用戶使用基本驗證方式登錄IIS才會是這種登錄類型。「登錄過程」欄都將列出Advapi.
登錄類型9:新憑證(NewCredentials)
當你使用帶/Netonly參數的RUNAS命令運行一個程序時,RUNAS以本地當前登錄用戶運行它,但如果這個程序需要連接到網路上的其它計算機時,這時就將以RUNAS命令中指定的用戶進行連接,同時Windows將把這種登錄記為類型9,如果RUNAS命令沒帶/Netonly參數,那麼這個程序就將以指定的用戶運行,但日誌中的登錄類型是2.
登錄類型10:遠程交互(RemoteInteractive)
當你通過終端服務、遠程桌面或遠程協助訪問計算機時,Windows將記為類型10,以便與真正的控制台登錄相區別,注意XP之前的版本不支持這種登錄類型,比如Windows2000仍然會把終端服務登錄記為類型2.
登錄類型11:緩存交互(CachedInteractive)
Windows支持一種稱為緩存登錄的功能,這種功能對移動用戶尤其有利,比如你在自己網路之外以域用戶登錄而無法登錄域控制器時就將使用這種功能,默認情況下,Windows緩存了最近10次互動式域登錄的憑證HASH,如果以後當你以一個域用戶登錄而又沒有域控制器可用時,Windows將使用這些HASH來驗證你的身份。