手動消滅新病毒

轉載自 ：http://zhigang0909.blog.163.com/blog/static/582896532007921142520/

 

手動消滅新病毒（1）
上網最恐怖的事莫過於新病毒出來的時候，儘管電腦上我們都裝有各種強大的殺毒軟體，也配置了定時自動更新病毒庫，但病毒總是要先於病毒庫的更新的，所以中招的每次都不會是少數，這裡列舉一些通用的殺毒方法，自己親自動手來用系統內建的工具絞殺病毒：
一、自己動手前，切記有備無患——用TaskList備份系統進程
新型病毒都學會了用進程來隱藏自己，所以我們最好在系統正常的時候，備份一下電腦的進程列表，當然最好在剛進入Windows時不要運行任何程式的情況下備份，樣以後感覺電腦異常的時候可以通過比較進程列表，找出可能是病毒的進程。
在命令提示字元下輸入：
TaskList /fo:csv>g:zc.csv
上述命令的作用是將當前進程列表以csv格式輸出到“zc.csv”檔案中，g:為你要儲存到的盤，可以用Excel開啟該檔案.

二、自己動手時，必須火眼金睛——用FC比較進程列表檔案 如果感覺電腦異常，或者知道最近有流行病毒，那麼就有必要檢查一下。
進入命令提示字元下，輸入下列命令：
TaskList /fo:csv>g:yc.csv
產生一個當前進程的yc.csv檔案清單，然後輸入：
FC g:＼zccsv g:＼yc.csy
斷行符號後就可以看到前後列表檔案的不同了，通過比較發現，電腦多了一個名為“Winion0n.exe”(這裡以這個進程為例)不是“Winionon.exe”的異常進程。

三、進行判斷時，切記證據確鑿——用Netstat查看開放連接埠 對這樣的可疑進程，如何判斷它是否是病毒呢？根據大部分病毒（特別是木馬）會通過連接埠進行對外串連來傳播病毒，可以查看一下連接埠佔有情況。
在命令提示字元下輸入：
Netstat -a-n-o
參數含義如下：
a：顯示所有與該主機建立串連的連接埠資訊
n：顯示開啟連接埠進程PID代碼
o：以數字格式顯示地址和連接埠資訊
斷行符號後就可以看到所有開放連接埠和外部串連進程，這裡一個PID為1756（以此為例）的進程最為可疑，它的狀態是“ESTABLISHED”，通過工作管理員可以知道這個進程就是“Winion0n.exe”，通過查看本機運行網路程式，可以判斷這是一個非法串連！
串連參數含義如下：
LISTENINC：表示處於偵聽狀態，就是說該連接埠是開放的，等待串連，但還沒有被串連，只有TCP協議的服務連接埠才能處於LISTENINC狀態。
ESTABLISHED的意思是建立串連。表示兩台機器正在通訊。TIME-WAIT意思是結束了這次串連。說明連接埠曾經有過訪問，但訪問結束了，用於判斷是否有外部電腦串連到本機。