1.当出现XX波类似的自动关机指令时,可以先在命令行下输入 shutdown /a
2. XP下的无敌替换命令:
例如我们要删除c:/windows/system32/rundl132.exe 这个文件我们的步骤是:
(1)创建文件 C:/rundl132.exe
(2)在命令行输入命令 replace C:/rundl132.exe c:/windows/system32
3.关闭同一病毒的两个不同进程
建立*.bat 文件,内容为: ntsd -c q -p svohost.exe pid1
ntsd -c q -p rundl132.exe pid2
......
(进程名因病毒不同而有不同)
格式及说明如下:
REPLACE [drive1:][path1]filename [drive2:][path2] [/A] [/P] [/R] [/W]
REPLACE [drive1:][path1]filename [drive2:][path2] [/P] [/R] [/S] [/W]
[drive1:][path1]filename 指定源文件。
[drive2:][path2] 指定要替换文件的目录。
格式
REPLACE [drive1:][path1]filename [drive2:][path2] [/A] [/P] [/R] [/W]
REPLACE [drive1:][path1]filename [drive2:][path2] [/P] [/R] [/S] [/W]
[drive1:][path1]filename 指定源文件。
[drive2:][path2] 指定要替换文件的目录。
/A 把新文件加入目标目录。不能和/S 或 /U 命令行开关搭配使用。
/P 替换文件或加入源文件之前会先提示您进行确认。
/R 替换只读文件以及未受保护的文件。
/S 替换目标目录中所有子目录的文件。不能与 /A 命令选项 搭配使用。
/W 等您插入磁盘以后再运行。
/U 只会替换或更新比源文件日期早的文件。不能与 /A 命令行开关搭配使用
4.在组策略下禁止某个程序运行
gpedit.msc进入主策略 用户配置 管理模版 系统 不要运行指定的windows应用程序 已启用 添加logo_1.exe,logo1_.exe......
5.删除注册表下的自启动位置 msconfig 下看不到的在下面可能可以找到
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices
HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows下的run和load
6.系统正常进程
taskmgr.exe rundll32.exe Csrss.exeLsass.exeExplorer.exeSmss.exeServices.exesystemSystem Idle ProcessSpoolsv.exeSvchost.exewinlogon.exe
*.dll型的嵌入式病毒或木马可能隐藏于 svchost.exe explorer.exe 在任务管理器是看不到的.
在命令行下面输入
(1)tasklist/svc
(2)Tasklist /FI "PID eq 进程ID" 以察看进程详细信息
进程包含的注册表信息在如下位置
HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Svchost
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services
7.期待开源杀软的到来
