怎样在命令行模式下清除恶意软件

            自从恶意软件背后的内幕公诸于众之后，越来越多的安详厂商插手围剿恶意软件的沙场，但恶意软件同时也在不绝进化，很多新技能应用到恶意软件的开拓中，恶意软件对查杀的抵挡性越来越强。固然在图形界面下有很多反病毒软件或恶意软件整理器材可以选择，但用户常会碰着用这类器材无法查杀恶意软件，反被恶意软件删除或禁用的环境，而在体系呼吁行下举办恶意软件检测和破除事变则没有以上弱点，用户相识一下详细的步调黑白常有须要的。笔者将通过实例向用户先容一下体系呼吁行下举办恶意软件检测和破除的步调、常用的体系自带的呼吁和第三方器材。

测试情形是运行在假造机中的英文版WindowsXPSP2，补丁一切，恶意软件样本则选择了一个互联网上较量常见的木马，如下图：



执行后木马措施消散：



假设用户在此时发明本身的呆板有非常，好比收集毗连勾当非常，或是反病毒软件/防火墙频仍报警，用户可以凭证以下步调搜查一下：

1、先退出全部的赏识器、应用措施、即时谈天器材，搜查收集毗连，然后在开始菜单里的“运行”输入cmd，进入呼吁行状态，如下图



Netstat是体系自带的收集状态搜查器材，可以发明一样平常木马的收集勾当，但无法发明一些行使Rootkit技能的恶意软件，用户可以行使Microsoft的免费器材TCPview来增强检测的结果。上图能看出Netstat和TCPview的区别，Netstat表现正常，但TCPview表现有一个由svchost.exe提倡，到192.168.4.134的非常TCP毗连。

2、搜查完收集毗连之后，接下去要搜查体系中是否有非常历程，在这里我们行使体系自带的呼吁Tasklist：



上图是行使Tasklist/svc的表现功效，/svc参数是表现历程和处事的对应相关。红框内的svchost.exe就是可疑历程，它启动了一个名为zzxrubbr的处事。趁便说一句，假如发信方针恶意软件不是安装成处事，而是独立的一个历程，用户可以行使taskkilltarget/force呼吁从内存中杀掉恶意软件的历程。

3、行使Microsoft的免费器材psservice来查察该可疑处事的信息，psservice可以从PSTools器材包里找到，下图是行使psservice查察zzxrubbr的功效：

4、按照处事名和可执行文件名字一样平常是沟通的和绝大部门的处事措施或其他要害文件都放在system32下这一原则，先行使体系自带的dir呼吁查找该可疑处事的文件：

由上图可见dir呼吁找不到文件，dir的/a参数指表现全部属性的文件，包罗潜匿和体系题目，/s参数是搜刮的范畴包罗当前目次的全部子目次。
 

从这个木马措施会潜匿收集毗连和自身文件的特征来看，可以确定样本行使了Rootkit技能，常用的恶意软件器材不必然能破除它。接下去笔者将继承给各人演示如安在呼吁行下破除该木马措施：

1、由于木马措施安装之后天生一个自启动处事，起主要做的就是遏制并禁用该处事，依然行使Psservice：

 

Psservicestopzzxrubbr遏制可疑处事

Psserviceconfigzzxrubbrdisabled禁用可疑处事

行使psservice的甜头是纵然恶意软件禁用了微软节制台mmc，用户依然可以通过呼吁行下的操纵节制处事，同时对一些不支持用户交互操纵的处事（大部门恶意软件的处事属于此类）也可以打点

2、从头启动体系之后，我们可以用dir来再次确承认疑处事的可执行文件是否存在：

可以看到3个和可疑处事同名的文件，但扩展名差异的文件。

3、好了，木马的文件已经所有找到，有三种要领可以破除：

1）删除法，得当于恶意措施在内存中的历程已经遏制的场所，行使体系自带的删除呼吁del：

 

2）重定名法，合用于方针恶意软件无法删除、或内存中无法破除恶意软件历程的场所，偶然必要和辖档晚外一个呼吁attrib(呼吁行：attrib–h–s–rtarget)共同行使，更名之后必要重启。重启后方针恶意软件由于文件名已经改变而无法启动，然后用户手动删除恶意软件的可执行文件即可：

 

3）修改权限法，是恶意软件破除操纵中最后也是最有用的一招，多用于无法删除和重定名方针恶意软件的场所，行使修改权限法，还可以对方针恶意软件举办免疫。重启后，方针恶意软件由于没有执行权限无法启动，到达破除目标：

 

Cacls呼吁是Windows自带的呼吁行下文件权限打点器材，/d参数为拒绝指定用户对指定文件的会见，在恶意软件破除操纵中，凡是拒绝掉system和administrators用户即可。

颠末以上步调，一个带Rootkit成果的恶意软件样本已经被检测并破除。其他范例的恶意软件破除的步调也大同小异，用户必要相识的是常见恶意软件的可执行文件存放的所在，尚有提议用户在安详模式下举办破除。举其它的例子，好比常见的行使Autorun.inf的病毒，在体系呼吁行下杀掉病毒历程之后，并在各个分区根目次下删掉autorun.inf和病毒可执行文件、再整理体系目次即可破除。总之，呼吁行下举办恶意软件的检测和破除并不伟大，用户在图形界面下假如赶上破除不了的顽固恶意软件，可以实行行使本文先容的要领举办破除。

（编辑：河北网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!