恶意软件查杀命令

A. 电脑卸载流氓软件命令

第一步：到桌面“开始”的“所有程序”中找到这些流氓软件，如果有卸载功能的，用卸载功能进行卸载。
第二步：如果“所有程序”中没有这个程序，或者没有卸载功能，或者卸载功能根本就不起作用，就到“添加和删除程序”中去卸载。
其方法是：先打开“控制面板”，再打开“添加和删除程序”这一功能，在里面找到要删除的程序，点击右侧的删除，即可卸载。
如果在卸载时，提示“无法卸载，有程序正在使用”等问题，一般到进程中，关闭与这个程序相关的进程即可。
第三步：如果“添加和删除程序”也没有或卸载不了，那就只能请出第三方的智能卸载软件，如忧化大师，魔方，强力卸载软件等等，它们都有智能分析功能，能够把安装的软件，桌面快捷方式，注册表中的注册内容等全部分析出来，然后全部删除。
方法：以忧化大师为例，先找到要删除的程序，如果这个程序在桌面有快捷图标，或者在“添加和删除程序”存在，只要打开忧化大师的智能卸载功能，就会自会搜索到这些程序，选择要卸载的程序，然后分析+卸载。

B. 木马病毒的查杀

首先找到感染文件，其手动方法是结束相关进程然后删除文件。但是目前互联网上出现了各种杀毒软件及专杀，我们可以借助这些安全工具进行查杀。
木马和病毒都是一种人为的程序，都属于电脑病毒，为什么木马要单独提出来说呢?大家都知道以前的电脑病毒的作用，其实完全就是为了搞破坏，破坏电脑里的资料数据，除了破坏之外其它无非就是有些病毒制造者为了达到某些目的而进行的威慑和敲诈勒索的作用，或为了炫耀自己的技术. 木马不一样，木马的作用是赤裸裸的偷监视别人和盗窃别人密码，数据等，如盗窃管理员密码-子网密码搞破坏，或者好玩，偷窃上网密码用于别处，游戏帐号，股票帐号，甚至网上银行帐户等等.达到偷窥别人隐私和得到经济利益为目的.所以木马的作用比早期的电脑病毒更加有用.更能够直接达到使用者的目的！导致许多别有用心的程序开发者大量的编写这类带有偷窃和监视别人电脑的侵入性程序，这就是网上大量木马泛滥成灾的原因.鉴于木马的这些巨大危害性和它与早期病毒的作用性质不一样，所以木马虽然属于病毒中的一类，但是要单独的从病毒类型中间剥离出来.独立的称之为木马程序。
一般来说一种杀毒软件程序，它的木马专杀程序能够查杀某某木马的话，那么它自己的普通杀毒程序也当然能够杀掉这种木马，因为在木马泛滥的今天，为木马单独设计一个专门的木马查杀工具，那是能提高该杀毒软件的产品档次的，对其声誉也大大的有益，实际上一般的普通杀毒软件里都包含了对木马的查杀功能.如果大家说某某杀毒软件没有木马专杀的程序，那这家杀毒软件厂商自己也好像有点过意不去，即使它的普通杀毒软件里当然的有杀除木马的功能。并且，在互联网上公开的病毒，一般杀毒厂商都会更新病毒库，便以查杀。
还有一点就是，把查杀木马程序单独剥离出来，可以提高查杀效率,很多杀毒软件里的木马专杀程序只对木马进行查杀，不去检查普通病毒库里的病毒代码，也就是说当用户运行木马专杀程序的时候，程序只调用木马代码库里的数据，而不调用病毒代码库里的数据，大大提高木马查杀速度.我们知道查杀普通病毒的速度是比较慢的，因为有太多太多的病毒.每个文件要经过几万条木马代码的检验，然后再加上已知的差不多有近10万个病毒代码的检验，那速度岂不是很慢了.省去普通病毒代码检验，是不是就提高了效率，提高了速度呢? 也就是说好多杀毒软件自带的木马专杀程序只查杀木马而一般不去查杀病毒，但是它自身的普通病毒查杀程序既查杀病毒又查杀木马！
如何查出：
在使用常见的木马查杀软件及杀软件的同时，系统自带的一些基本命令也可以发现木马病毒：
一、检测网络连接
如果你怀疑自己的计算机上被别人安装了木马，或者是中了病毒，但是手里没有完善的工具来检测是不是真有这样的事情发生，那可以使用Windows自带的网络命令来看看谁在连接你的计算机。
具体的命令格式是：netstat -an这个命令能看到所有和本地计算机建立连接的IP，它包含四个部分——proto（连接方式）、local address（本地连接地址）、foreign address（和本地建立连接的地址）、state（当前端口状态）。通过这个命令的详细信息，我们就可以完全监控计算机上的连接，从而达到控制计算机的目的。
二、禁用不明服务
很多朋友在某天系统重新启动后会发现计算机速度变慢了，不管怎么优化都慢，用杀毒软件也查不出问题，这个时候很可能是别人通过入侵你的计算机后给你开放了特别的某种服务，比如IIS信息服务等，这样你的杀毒软件是查不出来的。但是别急，可以通过“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们就可以有针对性地禁用这个服务了。
方法就是直接输入“net start”来查看服务，再用“net stop server”来禁止服务。
三、轻松检查账户
很长一段时间，恶意的攻击者非常喜欢使用克隆账号的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户是不经常用的，然后使用工具把这个账户提升到管理员权限，从表面上看来这个账户还是和原来一样，但是这个克隆的账户却是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。
为了避免这种情况，可以用很简单的方法对账户进行检测。
首先在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user 用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不是！如果你发现一个系统内置的用户是属于administrators组的，那几乎肯定你被入侵了，而且别人在你的计算机上克隆了账户。快使用“net user用户名/del”来删掉这个用户吧！
联网状态下的客户端。对于没有联网的客户端，当其联网之后也会在第一时间内收到更新信息将病毒特征库更新到最新版本。不仅省去了用户去手动更新的烦琐过程，也使用户的计算机时刻处于最佳的保护环境之下。
四、对比系统服务项
1、点击“开始，运行”输入“msconfig.exe回车，打开”系统配置实用程序，然后 在“服务”选项卡中勾选“隐藏所有Microsoft服务”，这时列表中显示的服务项都是非系统程序。
2、再点击“开始，运行”，输入Services.msc回车，打开“系统服务管理”，对比两张表，在该“服务列表”中可以逐一找出刚才显示的非系统服务项。
3、在“系统服务”管理界面中，找到那些服务后，双击打开，在“常规”选项卡中的可执行文件路径中可以看到服务的可执行文件位置，一般正常安装的程序，比如杀毒，MSN，防火墙，等，都会建立自己的系统服务，不在系统目录下，如果有第三方服务指向的路径是在系统目录下，那么他就是“木马”。选中它，选择表中的“禁止”，重新启动计算机即可。
4、要点：有一个表的左侧：有被选中的服务程序说明，如果没用，它就是木马。 1、盗取我们的网游账号，威胁我们的虚拟财产的安全
木马病毒会盗取我们的网游账号，它会盗取我们帐号后，并立即将帐号中的游戏装备转移，再由木马病毒使用者出售这些盗取的游戏装备和游戏币而获利。
2、盗取我们的网银信息，威胁我们的真实财产的安全
木马采用键盘记录等方式盗取我们的网银帐号和密码，并发送给黑客，直接导致我们的经济损失。
3、利用即时通讯软件盗取我们的身份，传播木马病毒等不良信息
中了此类木马病毒后，可能导致我们的经济损失。在中了木马后电脑会下载病毒作者指定的程序任意程序，具有不确定的危害性。如恶作剧等。
4、给我们的电脑打开后门，使我们的电脑可能被黑客控制
如灰鸽子木马等。当我们中了此类木马后，我们的电脑就可能沦为肉鸡，成为黑客手中的工具。 木马查杀（查杀软件很多，有些病毒软件都能杀木马）
防火墙（分硬件和软件）家里面的就用软件好了，如果是公司或其他地方就硬件和软件一起用。
基本能防御大部分木马，但是的软件都不是万能的，还要学点专业知识，有了这些，你的电脑就安全多了。高手也很多，只要你不随便访问来历不明的网站，使用来历不明的软件（很多盗版或破解软件都带木马，这个看你自己经验去区分），还要及时更新系统漏洞，如果你都做到了，木马，病毒。就不容易进入你的电脑了。

C. 用自带的Windows命令查杀病毒

计算机病毒指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机正常使用并且能够自我复制的一组计算机指令或程序代码。下面为大家带来用自带的Windows命令查杀病毒，快来看看吧。

用自带的Windows命令查杀病毒

上网最恐怖的事莫过于新病毒出来的时候，尽管电脑上我们都装有各种强大的杀毒软件，也配置了定时自动更新病毒库，但病毒总是要先于病毒库的更新的，所以中招的每次都不会是少数，这里列举一些通用的杀毒方法，自己亲自动手来用系统自带的工具绞杀病毒：

一、自己动手前，切记有备无患——用TaskList备份系统进程

新型病毒都学会了用进程来隐藏自己，所以我们最好在系统正常的时候，备份一下电脑的进程列表，当然最好在刚进入Windows时不要运行任何程序的情况下备份，样以后感觉电脑异常的时候可以通过比较进程列表，找出可能是病毒的进程。

在命令提示符下输入：

TaskList/fo:csv>g:zc.csv

上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中，g:为你要保存到的.盘，可以用Excel打开该文件.

二、自己动手时，必须火眼金睛——用FC比较进程列表文件

如果感觉电脑异常，或者知道最近有流行病毒，那么就有必要检查一下。

进入命令提示符下，输入下列命令：

TaskList /fo:csv>g:yc.csv

生成一个当前进程的yc.csv文件列表，然后输入：

FC g:zccsv g:yc.csy

回车后就可以看到前后列表文件的不同了，通过比较发现，电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。

三、进行判断时，切记证据确凿——用Netstat查看开放端口

对这样的可疑进程，如何判断它是否是病毒呢？根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒，可以查看一下端口占有情况。

在命令提示符下输入：

Netstat-a-n-o

参数含义如下：

a:显示所有与该主机建立连接的端口信息

n:显示打开端口进程PID代码

o：以数字格式显示地址和端口信息

回车后就可以看到所有开放端口和外部连接进程，这里一个PID为1756(以此为例)的进程最为可疑，它的状态是“ESTABLISHED”，通过任务管理器可以知道这个进程就是“Winion0n.exe”，通过查看本机运行网络程序，可以判断这是一个非法连接!

连接参数含义如下：

LISTENINC：表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接，只有TCP协议的服务端口才能处于LISTENINC状态。

ESTABLISHED的意思是建立连接。

表示两台机器正在通信。

TIME-WAIT意思是结束了这次连接。

说明端口曾经有过访问，但访问结束了，用于判断是否有外部电脑连接到本机。

四：下手杀毒时，一定要心狠手辣——用NTSD终止进程

虽然知道“Winion0n.exe”是个非法进程，但是很多病毒的进程无法通过任务管理器终止，怎么办?

在命令提示符下输入下列命令：

ntsd–cq-p1756

回车后可以顺利结束病毒进程。

提示：“1756”为进程PID值，如果不知道进程的ID，打开任务管理器，单击“查看→选择列→勾上PID(进程标识符)即可。

NTSD可以强行终止除Sytem,SMSS.EXE,CSRSS.EXE外的所有进程。

五、断定病毒后，定要斩草除根——搜出病毒原文件

对于已经判断是病毒文件的“Winion0n.exe”文件，通过搜索本地所有分区”、“搜索系统文件夹和隐藏的文件和文件夹”，找到该文件的藏身之所，将它删除。

不过这样删除的只是病毒主文件，通过查看它的属性，依据它的文件创建曰期、大小再次进行搜索，找出它的同伙并删除。

如果你不确定还有那些文件是它的亲戚，通过网络搜索查找病毒信息获得帮助。六、清除病毒后一定要打扫战场

手动修复注册表虽然把病毒文件删除了，但病毒都会在注册表留下垃圾键值，还需要把这些垃圾清除干净。

Windows登录类型

登录类型2：交互式登录(Interactive)

这应该是你最先想到的登录方式吧，所谓交互式登录就是指用户在计算机的控制台上进行的登录，也就是在本地键盘上进行的登录，但不要忘记通过KVM登录仍然属于交互式登录，虽然它是基于网络的。

登录类型3：网络(Network)

当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3，最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型，但基本验证方式的IIS登录是个例外，它将被记为类型8，下面将讲述。

登录类型4：批处理(Batch)

当Windows运行一个计划任务时，“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行，当这种登录出现时，Windows在日志中记为类型4，对于其它类型的工作任务系统，依赖于它的设计，也可以在开始工作时产生类型4的登录事件，类型4登录通常表明某计划任务启动，但也可能是一个恶意用户通过计划任务来猜测用户密码，这种尝试将产生一个类型4的登录失败事件，但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的，比如用户密码更改了，而忘记了在计划任务中进行更改。

登录类型5：服务(Service)

与计划任务类似，每种服务都被配置在某个特定的用户账户下运行，当一个服务开始时，Windows首先为这个特定的用户创建一个登录会话，这将被记为类型5，失败的类型5通常表明用户的密码已变而这里没得到更新，当然这也可能是由恶意用户的密码猜测引起的，但是这种可能性比较小，因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份，而这种身份的恶意用户，已经有足够的能力来干他的坏事了，已经用不着费力来猜测服务密码了。

登录类型7：解锁(Unlock)

你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保，当一个用户回来解锁时，Windows就把这种解锁操作认为是一个类型7的登录，失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。

登录类型8：网络明文(NetworkCleartext)

这种登录表明这是一个像类型3一样的网络登录，但是这种登录的密码在网络上是通过明文传输的，WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的，据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi.

登录类型9：新凭证(NewCredentials)

当你使用带/Netonly参数的RUNAS命令运行一个程序时，RUNAS以本地当前登录用户运行它，但如果这个程序需要连接到网络上的其它计算机时，这时就将以RUNAS命令中指定的用户进行连接，同时Windows将把这种登录记为类型9，如果RUNAS命令没带/Netonly参数，那么这个程序就将以指定的用户运行，但日志中的登录类型是2.

登录类型10：远程交互(RemoteInteractive)

当你通过终端服务、远程桌面或远程协助访问计算机时，Windows将记为类型10，以便与真正的控制台登录相区别，注意XP之前的版本不支持这种登录类型，比如Windows2000仍然会把终端服务登录记为类型2.

登录类型11：缓存交互(CachedInteractive)

Windows支持一种称为缓存登录的功能，这种功能对移动用户尤其有利，比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能，默认情况下，Windows缓存了最近10次交互式域登录的凭证HASH，如果以后当你以一个域用户登录而又没有域控制器可用时，Windows将使用这些HASH来验证你的身份。

D. 怎么用“运行-cmd”来查杀病毒

根据进程名查杀
这种方法是通过WinXP系统下的taskkill命令来实现的，在使用该方法之前，首先需要打开系统的进程列表界面，找到病毒进程所对应的具体进程名。
接着依次单击“开始→运行”命令，在弹出的系统运行框中，运行“cmd”命令；再在DOS命令行中输入“taskkill
/im
aaa”格式的字符串命令，单击回车键后，顽固的病毒进程“aaa”就被强行杀死了。比方说，要强行杀死“conime.exe”病毒进程，只要在命令提示符下执行“taskkill
/im
conime.exe”命令，要不了多久，系统就会自动返回结果。
根据进程号查杀
上面的方法，只对部分病毒进程有效，遇到一些更“顽固”的病毒进程，可能就无济于事了。此时你可以通过Win2000以上系统的内置命令——ntsd，来强行杀死一切病毒进程，因为该命令除System进程、SMSS.EXE进程、CSRSS.EXE进程不能“对付”外，基本可以对付其它一切进程。但是在使用该命令杀死病毒进程之前，需要先查找到对应病毒进程的具体进程号。
考虑到系统进程列表界面在默认状态下，是不显示具体进程号的，因此你可以首先打开系统任务管理器窗口，再单击“查看”菜单项下面的“选择列”命令，在弹出的设置框中，将“PID（进程标志符）”选项选中，单击“确定”按钮。返回到系统进程列表页面中后，你就能查看到对应病毒进程的具体PID了。
接着打开系统运行对话框，在其中运行“cmd”命令，在命令提示符状态下输入“ntsd
-c
q
-p
PID”命令，就可以强行将指定PID的病毒进程杀死了。例如，发现某个病毒进程的PID为“444”，那么可以执行“ntsd
-c
q
-p
444”命令，来杀死这个病毒进程。

E. Windows 自带的杀毒程序的命令是什么

一，使用杀毒盘的方法（通常的方法）。你自己得先制作DOS杀毒盘。（现在江民要四张空白软盘了，瑞星也至少3张）
有了杀毒软盘之后就好了(记住软盘有先后顺序,你制作的时候用铅笔在上面标清楚)。以江民为例(附带讲瑞星的使用)
插入第一张软盘,进入DOS。
1，见到"C：\ " 之后 输入 A： 确定。
2,输入 kvdos.exe 确定（瑞星是ravdos.exe 下面的其他步骤完全一致。）,进入了江民杀毒伴侣界面。
3，按照提示陆续放入其他三张软盘。.
4，四张软盘完全拷贝之后，可以开始杀毒。
5，点F3（杀毒状态）
6，按C （开始杀C盘，要一段时间哦）
7，杀完C之后（等提示），按D ，杀完D之后，按E，--如此类推。每个盘都需要一段时间的。都有杀毒的提示。方法就是这样。
二，另外一种是上面所说的可以试用（不需要制作软盘的方法）进入DOS。假若你的杀毒软件装在G盘的话（如果是E就将“G”该为E，如果是C就该为C），
1，见到"C：\ " 之后。输入 g：\kv2005\ kvdos.exe 确定（瑞星是g：\kv2005\ ravdos.exe 下面的其他步骤完全一致。）,进入了江民杀毒伴侣界面。
2，点F3（杀毒状态）
3，按C （开始杀C盘，要一段时间哦）
4，杀完C之后（等提示），按D ，杀完D之后，按E，---如此类推。方法就是这样。

如果你不会DOS，用了很久的kv还没有看到过它的DOS杀毒界面，那么下面的文字可以帮上你的忙，学会DOS杀毒，这只要三分钟的时间，就这么简单！

简单概念：DOS,DISK OPERATE SYSTEM的缩写,全名叫磁盘操作系统。

第一步：进得去出得来

进入DOS:有两个办法：1.点【开始】、【关闭系统】、选【重新启动系统并切换到MS-DOS方式】2.启动计算机的时候按住Ctrl键不放，等选择界面出来后，按键盘上的上下方向键，选Command Prompt only，回车。说明：如果你用的是win2000和win xp，要先进入win98才行。

最好的办法，就是在系统干净的时候，做一张DOS启动盘，用它启动系统，可以保证你杀毒的完美效果！也就是说，利用硬盘启动的时候，切入DOS操作系统（比上面：等选择界面出来后，按键盘上的上下方向键，选Command Prompt only，回车。）要有效地多！

退出DOS:刚才我们进入了DOS，你看到的可能是c:\WINDOWS> ,它的意思是你现在的位置在c盘的WINDOWS目录下(如果你用上面第二个方法进入dos，你看到的会是c:\>),现在在它后面紧跟着输入个命令win，系统就会退出DOS返回到你熟悉的windows界面。注意，当你输入了win后可能看到电脑没什么反应，不用着急，电脑没坏，保持耐心多等等就行了。win这个命令很好记，win就是windows是缩写。

到此你已经会进入和退出DOS了，心里有底了，恭喜！你已经成功了50％！

第二步：在dos下调出kv的dos杀毒程序进行杀毒

1.在windows下，找到你kv的dos杀毒程序的位置，它在你kv杀毒软件的安装目录下，kv2005dos杀毒程序的文件名叫KVDOS.exe，我们每个人安装kv的位置不一样，默认在安装在c盘，自定义安装位置每人装的不一样，比如说我安装在G盘，那么KVDOS.exe的位置就是G:\KV2005\KVDOS.exe，现在拿笔记下这个位置。

2.用上面说的办法进入DOS,在光标提示符号下输入刚才记下的位置，回车，你会看到dos在加载kv的dos杀毒程序，几秒钟之内你就可以进入kv的dos杀毒界面，选择要杀毒的盘或要杀毒的文件夹、文件就可以开始杀毒了。dos下杀毒可以把毒杀得更彻底，恭喜你，现在可以在dos下杀毒了！

[color=blue]Antivir纯DOS（硬盘、软盘、光盘、闪盘、虚拟盘 通用）版 [/color]

[color=red]使用说明：[/color]Antivir Personal Edition (AVE) 新版纯DOS杀毒软件（硬盘、软盘、闪盘、光盘、虚拟盘通用）使用说明：

F. 病毒文件soundmix.exe怎么查杀

一、病毒症状: 1.进程中出现soundmix.exe,并且无法关闭(关闭后几秒内会再次出现); 2.所有盘的隐藏目录与文件无法打开,想修改注册表,把隐藏文件的关键项CheckedValue的键值改为1,刷新后却立刻又恢复成0; 3.注册表启动项中存在C:\window\system32\soundmix.exe,删除后又出现; 4.由于无法显示隐藏文件,看不到C:\window\system32下的soundmix.exe,用IceSword可以删除,但删除后立刻出现; 二、解决办法(2个办法,第一个可以,第二个保证): 方法1.重启电脑按F8进安全模式,打开任务管理器,光标选到soundmix.exe,打开IceSword,找到C:\window\system32下的soundmix.exe,先在任务管理器结束进程,然后立刻在IceSword中删除soundmix.exe,完了立刻重启,不出意外,问题解决; 方法2.打开IceSword,选择文件－>创建进程规则－>添加规则,选择“禁止”,勾选文件名,填上soundmix.exe,然后在IceSword的进程那里把soundmix.exe结束,再在IceSword文件中删除soundmix.exe,完了立刻重启,保证解决. 三、善后措施: 1.删除相关文件: 在c:\windows\system32\dllcache下面把zipexr.dll删除;再搜索整个盘看有没soundmix.exe,没有就ok了!~ 2.恢复exe文件关联: 开始->运行->输入"command",回车后依次执行以下命令： ftype exefile="%1" %* assoc .exe=exefile 3.修改注册表: ㈠先恢复隐藏文件显示: 在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中,把CheckedValue的键值改为1; ㈡删除启动项: 在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中把soundmix删除. 注:杀毒途中如果发现有exe文件(比如注册表或者IceSword.exe)无法打开,就是关联已经被破坏了的话,直接修改后缀.exe为.com,然后双击可以打开的!~
满意请采纳