用自带的Windows命令查杀病毒

　　计算机病毒指编制者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机正常使用并且能够自我复制的一组计算机指令或程序代码。下面为大家带来用自带的Windows命令查杀病毒，快来看看吧。

　　用自带的Windows命令查杀病毒

　　上网最恐怖的事莫过于新病毒出来的时候，尽管电脑上我们都装有各种强大的杀毒软件，也配置了定时自动更新病毒库，但病毒总是要先于病毒库的更新的，所以中招的每次都不会是少数，这里列举一些通用的杀毒方法，自己亲自动手来用系统自带的工具绞杀病毒：

　　一、自己动手前，切记有备无患——用TaskList备份系统进程

　　新型病毒都学会了用进程来隐藏自己，所以我们最好在系统正常的时候，备份一下电脑的进程列表，当然最好在刚进入Windows时不要运行任何程序的情况下备份，样以后感觉电脑异常的时候可以通过比较进程列表，找出可能是病毒的进程。

　　在命令提示符下输入：

　　TaskList/fo:csv>g:zc.csv

　　上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中，g:为你要保存到的盘，可以用Excel打开该文件.

　　二、自己动手时，必须火眼金睛——用FC比较进程列表文件

　　如果感觉电脑异常，或者知道最近有流行病毒，那么就有必要检查一下。

　　进入命令提示符下，输入下列命令：

　　TaskList /fo:csv>g:yc.csv

　　生成一个当前进程的yc.csv文件列表，然后输入：

　　FC g:zccsv g:yc.csy

　　回车后就可以看到前后列表文件的不同了，通过比较发现，电脑多了一个名为“Winion0n.exe”(这里以这个进程为例)不是“Winionon.exe”的异常进程。

　　三、进行判断时，切记证据确凿——用Netstat查看开放端口

　　对这样的可疑进程，如何判断它是否是病毒呢?根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒，可以查看一下端口占有情况。

　　在命令提示符下输入：

　　Netstat-a-n-o

　　参数含义如下：

　　a:显示所有与该主机建立连接的端口信息

　　n:显示打开端口进程PID代码

　　o：以数字格式显示地址端口信息

　　回车后就可以看到所有开放端口和外部连接进程，这里一个PID为1756(以此为例)的进程最为可疑，它的状态是“ESTABLISHED”，通过任务管理器可以知道这个进程就是“Winion0n.exe”，通过查看本机运行网络程序，可以判断这是一个非法连接!

　　连接参数含义如下：

　　LISTENINC：表示处于侦听状态，就是说该端口是开放的，等待连接，但还没有被连接，只有TCP协议的服务端口才能处于LISTENINC状态。

　　ESTABLISHED的意思是建立连接。

　　表示两台机器正在通信。

　　TIME-WAIT意思是结束了这次连接。

　　说明端口曾经有过访问，但访问结束了，用于判断是否有外部电脑连接到本机。

　　四：下手杀毒时，一定要心狠手辣——用NTSD终止进程

　　虽然知道“Winion0n.exe”是个非法进程，但是很多病毒的进程无法通过任务管理器终止，怎么办?

　　在命令提示符下输入下列命令：

　　ntsd–cq-p1756

　　回车后可以顺利结束病毒进程。

　　提示：“1756”为进程PID值，如果不知道进程的ID，打开任务管理器，单击“查看→选择列→勾上PID(进程标识符)即可。

　　NTSD可以强行终止除Sytem,SMSS.EXE,CSRSS.EXE外的所有进程。

　　五、断定病毒后，定要斩草除根——搜出病毒原文件

　　对于已经判断是病毒文件的“Winion0n.exe”文件，通过搜索本地所有分区”、“搜索系统文件夹和隐藏的文件和文件夹”，找到该文件的`藏身之所，将它删除。

　　不过这样删除的只是病毒主文件，通过查看它的属性，依据它的文件创建曰期、大小再次进行搜索，找出它的同伙并删除。

　　如果你不确定还有那些文件是它的亲戚，通过网络搜索查找病毒信息获得帮助。六、清除病毒后一定要打扫战场

　　手动修复注册表虽然把病毒文件删除了，但病毒都会在注册表留下垃圾键值，还需要把这些垃圾清除干净。

　　Windows登录类型

　　登录类型2：交互式登录(Interactive)

　　这应该是你最先想到的登录方式吧，所谓交互式登录就是指用户在计算机的控制台上进行的登录，也就是在本地键盘上进行的登录，但不要忘记通过KVM登录仍然属于交互式登录，虽然它是基于网络的。

　　登录类型3：网络(Network)

　　当你从网络的上访问一台计算机时在大多数情况下Windows记为类型3，最常见的情况就是连接到共享文件夹或者共享打印机时。另外大多数情况下通过网络登录IIS时也被记为这种类型，但基本验证方式的IIS登录是个例外，它将被记为类型8，下面将讲述。

　　登录类型4：批处理(Batch)

　　当Windows运行一个计划任务时，“计划任务服务”将为这个任务首先创建一个新的登录会话以便它能在此计划任务所配置的用户账户下运行，当这种登录出现时，Windows在日志中记为类型4，对于其它类型的工作任务系统，依赖于它的设计，也可以在开始工作时产生类型4的登录事件，类型4登录通常表明某计划任务启动，但也可能是一个恶意用户通过计划任务来猜测用户密码，这种尝试将产生一个类型4的登录失败事件，但是这种失败登录也可能是由于计划任务的用户密码没能同步更改造成的，比如用户密码更改了，而忘记了在计划任务中进行更改。

　　登录类型5：服务(Service)

　　与计划任务类似，每种服务都被配置在某个特定的用户账户下运行，当一个服务开始时，Windows首先为这个特定的用户创建一个登录会话，这将被记为类型5，失败的类型5通常表明用户的密码已变而这里没得到更新，当然这也可能是由恶意用户的密码猜测引起的，但是这种可能性比较小，因为创建一个新的服务或编辑一个已存在的服务默认情况下都要求是管理员或serversoperators身份，而这种身份的恶意用户，已经有足够的能力来干他的坏事了，已经用不着费力来猜测服务密码了。

　　登录类型7：解锁(Unlock)

　　你可能希望当一个用户离开他的计算机时相应的工作站自动开始一个密码保护的屏保，当一个用户回来解锁时，Windows就把这种解锁操作认为是一个类型7的登录，失败的类型7登录表明有人输入了错误的密码或者有人在尝试解锁计算机。

　　登录类型8：网络明文(NetworkCleartext)

　　这种登录表明这是一个像类型3一样的网络登录，但是这种登录的密码在网络上是通过明文传输的，WindowsServer服务是不允许通过明文验证连接到共享文件夹或打印机的，据我所知只有当从一个使用Advapi的ASP脚本登录或者一个用户使用基本验证方式登录IIS才会是这种登录类型。“登录过程”栏都将列出Advapi.

　　登录类型9：新凭证(NewCredentials)

　　当你使用带/Netonly参数的RUNAS命令运行一个程序时，RUNAS以本地当前登录用户运行它，但如果这个程序需要连接到网络上的其它计算机时，这时就将以RUNAS命令中指定的用户进行连接，同时Windows将把这种登录记为类型9，如果RUNAS命令没带/Netonly参数，那么这个程序就将以指定的用户运行，但日志中的登录类型是2.

　　登录类型10：远程交互(RemoteInteractive)

　　当你通过终端服务、远程桌面或远程协助访问计算机时，Windows将记为类型10，以便与真正的控制台登录相区别，注意XP之前的版本不支持这种登录类型，比如Windows2000仍然会把终端服务登录记为类型2.

　　登录类型11：缓存交互(CachedInteractive)

　　Windows支持一种称为缓存登录的功能，这种功能对移动用户尤其有利，比如你在自己网络之外以域用户登录而无法登录域控制器时就将使用这种功能，默认情况下，Windows缓存了最近10次交互式域登录的凭证HASH，如果以后当你以一个域用户登录而又没有域控制器可用时，Windows将使用这些HASH来验证你的身份。