Feb 3

【转】ntsd命令手工清除病毒   不指定

felix021 @ 2006-2-3 00:07 [IT » 病毒] 评论(1) , 引用(0) , 阅读(9120) | Via 本站原创 | |
【转】ntsd命令手工清除病毒  
应该有人知道windows 中ntsd 命令的应用,它是一个进程调试程序,我今天要讲的是它的很小一个应用——配合del命令手工对付顽固病毒文件。
  
我已经碰到过好几个这样的病毒:杀毒软件不能运行,病毒程序进程结束后马上又运行了,因为病毒程序还在,可能有其它的进程监视着它,每隔几秒检测进程,没有发现它就立刻运行这个病毒程序(这是理想的情况)或创建并运行它(这个就麻烦了),我下面会介绍一般情况下的解决方法。  

关于ntsd的强制结束进程的命令这里简单提一下:  
ntsd -c q -p pid  (pid 为进程标识号,在任务管理器中可以调出这一属性列)  
或  
ntsd -c q -pn ***.exe (***.exe 为进程名,exe不能省)  

对于只有一个病毒进程的,找到病毒文件(看你的眼睛够不够亮了,可以通过它在注册表run中创建的键值判断它的位置,也可以通过longhorn 的任务管理器找到它的位置)。  
然后我们要做的就是建立一个.bat或.cmd文件_它们都是可以直接在win32下运行的批处理文件,用notepad(记事本)建好了,输入内容:  

ntsd -c q -p 病毒程序的pid  
del 病毒程序的完整路径  

例如:已确认c:\windows下的services.exe为病毒程序,并且进程号pid为2233(推荐使用PID结束进程,因为有的病毒名和系统进程名相同,用ntsd -c q -pn会出错),应输入内容为:  

ntsd -c q -p 2233  
del /a/f c:\windows\services.exe  

保存文本为.bat或.cmd文件,双击运行即可。  
一般情况下病毒文件都是隐藏属性的,所以del要加/a,有的还有只读属性所以加/f.  

因为是批处理文件,后面可以追加类似命令(如果有多个病毒文件的话):
ntsd -c q -p 病毒程序的pid1  
del 病毒程序的完整路径1
ntsd -c q -p 病毒程序的pid 2
del 病毒程序的完整路径2  
..
..
..  

一般可以解决问题,但还是要用更新病毒库后的杀毒软件复查(如果这个时候查毒软件可用了的话),否则只能把硬盘挂到别人的机子上查杀或DOS下查杀或——重装了。  



转载请注明出自 ,如是转载文则注明原出处,谢谢:)
RSS订阅地址: http://www.felix021.com/blog/feed.php
Yawn
2007-12-24 20:40
你的电脑是不是没装杀毒软件?
病毒都自己杀的吗?
felix021 回复于 2007-12-24 21:18
一般情况下是这样的。。但是遇到文件感染型的可能会用杀毒软件。不过更多的是直接ghost,省事。变懒了。
分页: 1/1 第一页 1 最后页
发表评论
表情
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
emotemotemotemotemot
打开HTML
打开UBB
打开表情
隐藏
记住我
昵称   密码   *非必须
网址   电邮   [注册]