1.當出現XX波類似的自動關機指令時,可以先在命令行下輸入 shutdown /a
2. XP下的無敵替換命令:
例如我們要刪除c:/windows/system32/rundl132.exe 這個文件我們的步驟是:
(1)創建文件 C:/rundl132.exe
(2)在命令行輸入命令 replace C:/rundl132.exe c:/windows/system32
3.關閉同一病毒的兩個不同進程
建立*.bat 文件,內容爲: ntsd -c q -p svohost.exe pid1
ntsd -c q -p rundl132.exe pid2
......
(進程名因病毒不同而有不同)
格式及說明如下:
REPLACE [drive1:][path1]filename [drive2:][path2] [/A] [/P] [/R] [/W]
REPLACE [drive1:][path1]filename [drive2:][path2] [/P] [/R] [/S] [/W]
[drive1:][path1]filename 指定源文件。
[drive2:][path2] 指定要替換文件的目錄。
格式
REPLACE [drive1:][path1]filename [drive2:][path2] [/A] [/P] [/R] [/W]
REPLACE [drive1:][path1]filename [drive2:][path2] [/P] [/R] [/S] [/W]
[drive1:][path1]filename 指定源文件。
[drive2:][path2] 指定要替換文件的目錄。
/A 把新文件加入目標目錄。不能和/S 或 /U 命令行開關搭配使用。
/P 替換文件或加入源文件之前會先提示您進行確認。
/R 替換隻讀文件以及未受保護的文件。
/S 替換目標目錄中所有子目錄的文件。不能與 /A 命令選項 搭配使用。
/W 等您插入磁盤以後再運行。
/U 只會替換或更新比源文件日期早的文件。不能與 /A 命令行開關搭配使用
4.在組策略下禁止某個程序運行
gpedit.msc進入主策略 用戶配置 管理模版 系統 不要運行指定的windows應用程序 已啓用 添加logo_1.exe,logo1_.exe......
5.刪除註冊表下的自啓動位置 msconfig 下看不到的在下面可能可以找到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows下的run和load
6.系統正常進程
taskmgr.exe
rundll32.exe
Csrss.exe
Lsass.exe
Explorer.exe
Smss.exe
Services.exe
system
System Idle Process
Spoolsv.exe
Svchost.exe
winlogon.exe
*.dll型的嵌入式病毒或木馬可能隱藏於 svchost.exe explorer.exe 在任務管理器是看不到的.
在命令行下面輸入
(1)tasklist/svc
(2)Tasklist /FI "PID eq 進程ID" 以察看進程詳細信息
進程包含的註冊表信息在如下位置
HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Svchost
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services
7.期待開源殺軟的到來