标题：【转】ntsd命令手工清除病毒  
出处：Felix021
时间：Fri, 03 Feb 2006 00:07:02 +0000
作者：felix021
地址：https://www.felix021.com/blog/read.php?181

内容：
【转】ntsd命令手工清除病毒  
 应该有人知道windows 中ntsd 命令的应用，它是一个进程调试程序，我今天要讲的是它的很小一个应用——配合del命令手工对付顽固病毒文件。 
  
我已经碰到过好几个这样的病毒：杀毒软件不能运行，病毒程序进程结束后马上又运行了，因为病毒程序还在，可能有其它的进程监视着它，每隔几秒检测进程，没有发现它就立刻运行这个病毒程序（这是理想的情况）或创建并运行它（这个就麻烦了），我下面会介绍一般情况下的解决方法。  

关于ntsd的强制结束进程的命令这里简单提一下：  
ntsd -c q -p pid  (pid 为进程标识号，在任务管理器中可以调出这一属性列)  
或  
ntsd -c q -pn ***.exe (***.exe 为进程名,exe不能省)  

对于只有一个病毒进程的，找到病毒文件（看你的眼睛够不够亮了，可以通过它在注册表run中创建的键值判断它的位置，也可以通过longhorn 的任务管理器找到它的位置）。  
然后我们要做的就是建立一个.bat或.cmd文件_它们都是可以直接在win32下运行的批处理文件，用notepad（记事本）建好了，输入内容：  

ntsd -c q -p 病毒程序的pid  
del 病毒程序的完整路径   

例如：已确认c:\windows下的services.exe为病毒程序，并且进程号pid为2233（推荐使用PID结束进程，因为有的病毒名和系统进程名相同，用ntsd -c q -pn会出错）,应输入内容为：  

ntsd -c q -p 2233  
del /a/f c:\windows\services.exe   

保存文本为.bat或.cmd文件，双击运行即可。  
一般情况下病毒文件都是隐藏属性的，所以del要加/a，有的还有只读属性所以加/f.  

因为是批处理文件，后面可以追加类似命令（如果有多个病毒文件的话）： 
ntsd -c q -p 病毒程序的pid1  
del 病毒程序的完整路径1 
ntsd -c q -p 病毒程序的pid 2 
del 病毒程序的完整路径2  
.. 
.. 
..  

一般可以解决问题，但还是要用更新病毒库后的杀毒软件复查（如果这个时候查毒软件可用了的话），否则只能把硬盘挂到别人的机子上查杀或DOS下查杀或——重装了。  
 



Generated by Bo-blog 2.1.0