Use el comando incorporado de Windows para matar el virus (1)

Lo más horrible de navegar por Internet es cuando aparece el nuevo virus. Aunque tenemos todo tipo de software antivirus potente instalado en la computadora, también configuramos la actualización automática de la base de datos de virus a intervalos regulares, pero el virus siempre debe actualizarse antes que la base de datos de virus. Cada vez, no será una minoría. Aquí hay algunos métodos antivirus comunes. Puede usar sus propias herramientas para eliminar el virus: Primero, hágalo usted mismo antes de iniciarlo: use TaskList para hacer una copia de seguridad del proceso del sistema. Los nuevos virus han aprendido a usar procesos para ocultarse, por lo que deberíamos hacer una copia de seguridad de la lista de procesos en la computadora cuando el sistema es normal. Por supuesto, es mejor hacer una copia de seguridad sin ejecutar ningún programa cuando ingresas a Windows por primera vez. Puede averiguar qué procesos pueden ser virus comparando la lista de procesos. En el símbolo del sistema, escriba: TaskList /fo: csv > g: zc.csv El comando anterior es enviar la lista del proceso actual al archivo "zc.csv" en formato csv, g: para el disco en el que desea guardar. Puede abrir el archivo con Excel.
Segundo, debe ser llamativo cuando inicie sus propias manos: use FC para comparar el archivo de la lista de procesos. Si cree que la computadora no funciona correctamente o si sabe que hay un virus reciente, es necesario que lo revise. Vaya al símbolo del sistema e ingrese el siguiente comando: TaskList /fo:csv>g:yc.csv Genere una lista de archivos yc.csv para el proceso actual, luego escriba: FC g: \\ zccsv g: \\ yc.csy Puede ver la diferencia entre los archivos de la lista anterior y posterior. En comparación, la computadora tiene un proceso anormal llamado "Winion0n.exe" (aquí, este proceso no es un ejemplo) y no es "Winionon.exe". En tercer lugar, al emitir juicios, recuerde que la evidencia es concluyente: use Netstat para ver el puerto abierto. Para un proceso tan sospechoso, ¿cómo juzgar si es un virus? Según la mayoría de los virus (especialmente los troyanos), el virus se transmitirá a través del puerto para conectarse al virus. Puede verificar la ocupación del puerto. En el símbolo del sistema, escriba: Netstat-ano Los parámetros tienen los siguientes significados: a: Muestra toda la información del puerto que establece una conexión con el host. N: Muestra el código PID del proceso del puerto abierto o: Muestra la dirección y la información del puerto en formato numérico. Para todos los puertos abiertos y procesos de conexión externa, un proceso con un PID de 1756 (como ejemplo) es el más sospechoso. Su estado es "ESTABLECIDO". El administrador de tareas puede saber que el proceso es "Winion0n.exe". Esta máquina ejecuta el programa de red y puede juzgar que se trata de una conexión ilegal. El significado de los parámetros de conexión es el siguiente: LISTENINC: indica que el puerto está en el estado de escucha, es decir, el puerto está abierto, esperando la conexión, pero no se ha conectado, solo el puerto de servicio del protocolo TCP. Puede estar en el estado LISTENINC. ESTABLECIDO significa establecer una conexión. Indica que dos máquinas se están comunicando. TIEMPO-ESPERAR significa terminar la conexión. Se ha accedido al puerto, pero el acceso ha finalizado. Se utiliza para determinar si hay una computadora externa conectada a la unidad. Cuatro: cuando inicias un antivirus, debes ser implacable: usa NTSD para finalizar el proceso. Aunque sabes que "Winion0n.exe" es un proceso ilegal, pero el administrador de tareas no puede finalizar muchos procesos de virus, ¿qué debo hacer? Ingresa el siguiente comando en el símbolo del sistema: Ntsd – cq-p1756 Después del retorno de carro, el proceso del virus puede finalizar con éxito. Consejo: "1756" es el valor PID del proceso. Si no conoce la ID del proceso, abra el administrador de tareas y haga clic en "Ver → Seleccionar columna → Verificar PID (Identificador del proceso). El NTSD puede finalizar por la fuerza, excepto Sytem, ​​SMSS. EXE, todos los procesos excepto CSRSS.EXE. 5. Una vez determinado el virus, es necesario eliminar las raíces: busque el archivo original del virus para el archivo "Winion0n.exe" que se considera un archivo de virus, buscando en todas las particiones locales "," sistema de búsqueda " Carpetas y archivos ocultos y carpetas ", busque el escondite del archivo y elimínelo. Sin embargo, solo se elimina el archivo maestro de virus. Al ver sus propiedades, busca de nuevo según el período y tamaño de creación del archivo, encuentra sus asociados y lo elimina. Si no está seguro de qué archivos son sus familiares, utilice la búsqueda en la web para buscar información sobre virus para obtener ayuda. En sexto lugar, después de limpiar el virus, debe limpiar el campo de batalla. Reparar manualmente el registro. Aunque el archivo del virus se ha eliminado, el virus dejará el valor de la clave de basura en el registro, y usted deberá limpiar la basura. 1, comience con regexport copia de seguridad. Debido a la gran cantidad de claves de inicio automático, es un inconveniente encontrar el virus manualmente cuando se encuentra. Aquí use el comando regexport + batch para realizar una copia de seguridad. Inicie el Bloc de notas e ingrese el siguiente comando: regexportHKLM \\ software \\ Microsoft \\ Windows \\ CurrentVersion \\ Runfo: \\ hklmrun.reg regexportHKCU \\ Software \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ Explorer \\ Runf: \\ hklcu.reg regexportHKLM \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Policies \\ Explorer \\ Runhklml.reg Nota: aquí solo se enumeran algunas copias de seguridad de valores clave comunes. Para otros valores clave, consulte el método anterior. Luego, guárdelo como ziqidong.bat y ejecútelo en el símbolo del sistema, puede hacer una copia de seguridad de todos los valores clave de inicio automático en el archivo reg correspondiente, y luego escribir: copyf: \\ *. Regziqidong.txt El propósito del comando es El archivo de registro de copia de seguridad se envía a "ziqidong.txt", por lo que si encuentra que el virus se agregó desde el elemento de inicio y es igual que la última vez que exportó el valor de inicio, use el comando FC descrito anteriormente para comparar los dos archivos de texto anterior y posterior, puede encontrar rápidamente el nuevo. Proyecto de arranque automático. 2. Utilice regdelete para eliminar la nueva clave de inicio automático. Por ejemplo: a través del método anterior en [HKER_CURRENT_USER \\ SOFTWARE \\ Microsoft \\ Windows \\ CurrentVersion \\ Run], encuentre un elemento de inicio automático de "Inicio de sesión", el programa de inicio es "c: \\ windows \\ winlogon.exe", ahora ingrese el siguiente comando Elimine la clave de inicio automático del virus: regdeleteHKLM \\ software \\ Microssoft \\ Windows \\ CurrentVersion \\ Run /f 3. Restaure el registro con regimport. La eliminación de Regde-lete es el valor de la clave RUN completa, ahora use el archivo de copia de respaldo para restaurar, puede restaurar rápidamente el registro ingresando el siguiente comando: regimportf: \\ hklmrun.reg Lo anterior describe varios comandos del sistema para antivirus manual, de hecho Siempre que usemos estos comandos, básicamente podemos MATAR la mayoría del virus, por supuesto, debemos hacer un buen trabajo de respaldo. Consejo: la operación anterior también se puede operar manualmente en el Editor del Registro, pero el comando REG tiene la ventaja de que incluso si el Editor del Registro está deshabilitado por el virus, puede exportar /eliminar /importar a través de los comandos anteriores, y la velocidad es aún más rápida. ¡Rápido! Siete, estrella de la marca de madera empaquetada: FIND. Lo anterior describe el uso de los comandos del sistema para matar el virus en general, a continuación se describe el comando "FIND" para detectar el troyano incluido. Creo que muchos gusanos se han encontrado con cuchillos de madera. Estos "lobos criados con lobos" a menudo se esconden detrás de las imágenes, FLASH e incluso archivos de música. Cuando abrimos estos archivos, aunque la ventana actual es de hecho una imagen (o FLASH), el abominable troyano se ha ejecutado silenciosamente en segundo plano. Por ejemplo, recibí un papel tapiz de una súper chica de un amigo, pero cuando abrí la foto, descubrí que la imagen se había abierto con el "visor de imágenes y fax", y la luz indicadora del disco duro estaba parpadeando. Obviamente, mientras abro la imagen, hay programas desconocidos ejecutándose en segundo plano. Ahora use el comando FIND para verificar si la imagen está empaquetada con un troyano. En el símbolo del sistema, escriba: FIND /c /I 〝Este programa g: \\ chaonv.jpe.exe donde: g: \\ chaonv.jpe.exe indica que el comando FIND devuelve el archivo que se va a detectar. El indicador es "___ G: CHAONV.EXE: 2", lo que significa que "G :, CHAONV.EXE" está incluido en otros archivos. Debido a la detección del comando FIND: si es un archivo EXE, el valor de retorno debe ser "1" en circunstancias normales; si es un archivo no ejecutable, el valor de retorno debe ser "

0" en circunstancias normales. Es Sugerencia: De hecho, muchos troyanos combinados utilizan las "extensiones de archivo de tipo conocido" predeterminadas de Windows para confundirnos, como "chaonv.jpe.exe" en este ejemplo. Dado que este archivo usa el icono del archivo JPG, se deja engañar. Abra "Mi PC", haga clic en "Herramientas → Opciones de carpeta", "Haga clic en" "Ver", quite la marca pequeña antes de "Ocultar el tipo conocido de extensión de archivo", puede ver la verdadera cara de "Lobo". Resumen Finalmente, resumamos el proceso de envenenamiento manual: haga una copia de seguridad de la lista de procesos con TSKLIST → Encuentre el virus comparando los archivos con FC → Determine el proceso con NETSTAT → Termine el proceso con FIND → Busque el virus y elimine → Use el comando REG para reparar el registro. Esto completa todo el proceso manual de detección de virus y antivirus mediante el descubrimiento de virus, la eliminación de virus y la reparación del registro.