利用Windows PE来检查和清除计算机病毒和流氓软件

当今的网络社会，计算机病毒、木马和流氓软件是狼狈为奸，对计算机系统的安全性、运行的稳定性构成很大威胁。如何有效检测和清除我们计算机中的病毒、木马和流氓软件，一直都是杀毒领域里面的重要话题。
一般的查毒和杀毒方法都是依赖于专业的病毒检测和清除软件。这些检测和清除软件因为有专业的病毒领域的专家和开发者作为支持，对流行的绝大部分计算机病毒都有一定的效果。很多人在使用杀毒软件的时候，看到满屏幕的计算机病毒列表，都会对计算机杀毒软件充满感激之情。
但是，杀毒软件当真万能吗？杀毒软件的宣传广告中不遗余力地宣传他们的产品，并提醒要每天升级他们的病毒库。做到这些，你的计算机就真的安全了吗？
可以说，目前没有哪一款杀毒软件真的能保证这些。每天几乎都有新的病毒。有很多病毒甚至都没有被列入杀毒软件的病毒库。有很多种方法可以将一个病毒进行微小的更改，然后让杀毒软件不再认为是病毒。也有一些病毒和流氓软件非常赖皮，杀毒软件能够发现病毒，但是却无法清除。这个往往是因为病毒运行的时候锁定了这个文件，导致杀毒软件无法对它进行更改。因此，万万不能完全依赖杀毒软件。
何况，现在的很多杀毒软件，本身的行为就很类似病毒，占用系统的很多运行资源，收集你的计算机资料并发送到他们的技术中心。很多杀毒软件的实时监控一打开之后，运行漫如蜗牛。
因此，有必要寻找一些更有效的病毒检测和防范措施。以下手段是我在实践中经常使用，而且我认为具有一定效果的病毒检测和清除手段。这些手段在你的杀毒软件束手无策的时候，往往回有奇效。

Windows PE

Windows PE的名字叫Windows Preinstall Enviroment（Windows 预安装环境）。原来是微软向大客户提供的Windows 批量部署工具。但一些人发现这个工具非常适合进行Windows 系统的维护和恢复，因此现在有很多类似于Windows PE的维护工具。
Windows PE有几个特点：首先，它使用的是Windows XP/2003的系统内核，天然支持FAT/NTFS/CDFS等文件系统。其次，他无须安装，可以直接从光盘上进行引导并运行。这样，启动了Windows PE，就相当于有了一个微型的Windows 系统。虽然说这个系统有每隔24小时就自动重启的特性，但这个对于计算机维护基本没有影响。
因为Windows PE启动过程中，不需要使用硬盘上的可执行文件，因此，即使硬盘上感染了计算机病毒，对Windows PE也没有任何影响，使用Windows PE启动的系统是干净没有病毒的。

假如可以在Windows PE系统上安装杀毒软件并运行的话，可能就比较完美了。可惜，现在的杀毒软件几乎都不能在windows PE上安装运行。不过，还是有个好消息：mcafee定期发布的病毒升级库中(Super DAT)，都会附带一个可以进行查毒和杀毒的命令行工具。利用这个工具，你可以完全享受mcafee的杀毒能力。因此，你可以在启动Windows PE之后，使用这个命令行工具对你的硬盘进行查毒和杀毒。这个工具完全免费，也没有正版盗版之分，简直就是天上掉下来的免费午餐。

要使用这个免费的工具，你首先将mcafee的超级病毒库（文件名为 sdatxxxx.exe，其中xxxx为数字编号）下载，保存与硬盘上。然后，使用Windows PE启动计算机。打开命令行提示符，转到病毒库所在的文件夹内。输入以下命令：
sdatxxxx  -e
这个命令将病毒库中的查毒程序和病毒库都解压出来。等大约20秒钟之后，解压就可以完成。你可以查看到这个文件夹下有 scan.exe 这个程序。
接下来就可以运行这个程序进行查毒和杀毒。
查毒的命令是
scan  c: 
查杀的命令是
scan  c:  /clear

 借用Windows  PE检查是否存在Rootkit木马和病毒

目前，有部分病毒应用了Rootkit技术，这些技术能够让你在正常情况下不能看到病毒文件。即使你把“查看系统文件”、“查看隐藏文件”的选项全部加入，也无法察看。对这部分的病毒，其实有个非常简单的方法可以轻易检测出来。这个方法是在一个微软技术员那里看到的，我在这里向大家介绍。这个方法关键就是一个 dir命令。
首先，你不使用Windows PE启动计算机，然后打开命令提示符，转入可疑文件夹。比如c:/windows
然后，输入 dir  *.* /a /s  > d:/list1.txt
这个命令将把c:/windows 内所有文件的文件名、文件长度都保存到 d:/list1.txt 文件中。
接着，使用Windows PE启动计算机，在重复上述过程，不过这次将输出的文件名改为 d:/list2.txt中。
最后，你可以利用一个文本文件比较工具，对生成的以上两个文件进行比较。一般说来，如果你发现有哪个带 .exe, .dll, .ocx, .scr等可执行文件明的文件在 list2.txt中出现，但是在 list1.txt 文件中没有出现，则几乎可以肯定这个是个有问题的文件，可以利用Windows PE的文件管理器进行直接删除，或者移动到其他安全的地方。
这个方法，其实就是利用了 Rootkit木马的特性。使用一般的方法你无法查看到这个文件，但是在Windows PE启动的环境中，不受Rootkit的影响。

利用 dir 命令还有一个用途。很多病毒和木马都把自己复制到 c:/windows 或者 c:/windows/system32中，并且给他系统文件和隐藏文件的属性。这时，你只要启动到Windows PE中，然后，在命令提示符下下一个命令：
 dir  /a:hs  /s  c:/windows
注：将 c:/windows 替换为你的windows 安装文件夹，不要照抄

如果你能够看到一些扩展名是 dll, 或者exe 的话，基本上也是木马和病毒。当然，木马和病毒不仅仅藏身与这些地方。我还看到有病毒藏于 temp文件夹中的。

 这个命令可以列出在这个文件夹内所有具有隐藏或者系统文件属性的文件。因为这个文件夹内的正常文件一般不会去设置这个属性，而大部分病毒和木马会这么做，这个命令就把这样的病毒和木马找出来了。

另外，有些使用Rootkit技术的木马（如灰鸽子）在使用这个命令的时候，查看不到这个文件的存在。但是，在最后的文件数目中会计算进去。如果你实际查看到的文件数目与命令后面列出的文件数目不一致，很大可能也是中了这一类的木马和病毒。