杀毒技巧1

1.当出现XX波类似的自动关机指令时，可以先在命令行下输入 shutdown /a

2. XP下的无敌替换命令：

        例如我们要删除c:/windows/system32/rundl132.exe 这个文件我们的步骤是:

(1)创建文件 C:/rundl132.exe

(2)在命令行输入命令 replace C:/rundl132.exe c:/windows/system32

3.关闭同一病毒的两个不同进程

 建立*.bat 文件,内容为: ntsd -c q -p svohost.exe pid1

                                         ntsd -c q -p rundl132.exe pid2

                                      ......

(进程名因病毒不同而有不同)

格式及说明如下:

REPLACE [drive1:][path1]filename [drive2:][path2] [/A] [/P] [/R] [/W]

REPLACE [drive1:][path1]filename [drive2:][path2] [/P] [/R] [/S] [/W]

[drive1:][path1]filename 指定源文件。

[drive2:][path2] 指定要替换文件的目录。

格式

REPLACE [drive1:][path1]filename [drive2:][path2] [/A] [/P] [/R] [/W]

REPLACE [drive1:][path1]filename [drive2:][path2] [/P] [/R] [/S] [/W]

[drive1:][path1]filename 指定源文件。

[drive2:][path2] 指定要替换文件的目录。

/A 把新文件加入目标目录。不能和/S 或 /U 命令行开关搭配使用。

/P 替换文件或加入源文件之前会先提示您进行确认。

/R 替换只读文件以及未受保护的文件。

/S 替换目标目录中所有子目录的文件。不能与 /A 命令选项 搭配使用。

/W 等您插入磁盘以后再运行。

/U 只会替换或更新比源文件日期早的文件。不能与 /A 命令行开关搭配使用

4.在组策略下禁止某个程序运行

        gpedit.msc进入主策略 用户配置 管理模版 系统 不要运行指定的windows应用程序 已启用 添加logo_1.exe,logo1_.exe......

5.删除注册表下的自启动位置 msconfig 下看不到的在下面可能可以找到

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunOnce

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices

HKEY_CURRENT_USER/Software/Microsoft/Windows NT/CurrentVersion/Windows下的run和load

6.系统正常进程

taskmgr.exe
rundll32.exe
Csrss.exe
Lsass.exe
Explorer.exe
Smss.exe
Services.exe
system
System Idle Process
Spoolsv.exe
Svchost.exe
winlogon.exe

*.dll型的嵌入式病毒或木马可能隐藏于 svchost.exe explorer.exe 在任务管理器是看不到的.

在命令行下面输入

(1)tasklist/svc

(2)Tasklist /FI "PID eq 进程ID" 以察看进程详细信息

进程包含的注册表信息在如下位置

HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Svchost

HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services

7.期待开源杀软的到来