Felix021

【转】ntsd命令手工清除病毒  
应该有人知道windows 中ntsd 命令的应用，它是一个进程调试程序，我今天要讲的是它的很小一个应用——配合del命令手工对付顽固病毒文件。
  
我已经碰到过好几个这样的病毒：杀毒软件不能运行，病毒程序进程结束后马上又运行了，因为病毒程序还在，可能有其它的进程监视着它，每隔几秒检测进程，没有发现它就立刻运行这个病毒程序（这是理想的情况）或创建并运行它（这个就麻烦了），我下面会介绍一般情况下的解决方法。  

关于ntsd的强制结束进程的命令这里简单提一下：  
ntsd -c q -p pid  (pid 为进程标识号，在任务管理器中可以调出这一属性列)  
或  
ntsd -c q -pn ***.exe (***.exe 为进程名,exe不能省)  

对于只有一个病毒进程的，找到病毒文件（看你的眼睛够不够亮了，可以通过它在注册表run中创建的键值判断它的位置，也可以通过longhorn 的任务管理器找到它的位置）。  
然后我们要做的就是建立一个.bat或.cmd文件_它们都是可以直接在win32下运行的批处理文件，用notepad（记事本）建好了，输入内容：  

ntsd -c q -p 病毒程序的pid  
del 病毒程序的完整路径  

例如：已确认c:\windows下的services.exe为病毒程序，并且进程号pid为2233（推荐使用PID结束进程，因为有的病毒名和系统进程名相同，用ntsd -c q -pn会出错）,应输入内容为：  

ntsd -c q -p 2233  
del /a/f c:\windows\services.exe  

保存文本为.bat或.cmd文件，双击运行即可。  
一般情况下病毒文件都是隐藏属性的，所以del要加/a，有的还有只读属性所以加/f.  

因为是批处理文件，后面可以追加类似命令（如果有多个病毒文件的话）：
ntsd -c q -p 病毒程序的pid1  
del 病毒程序的完整路径1
ntsd -c q -p 病毒程序的pid 2
del 病毒程序的完整路径2  
..
..
..  

一般可以解决问题，但还是要用更新病毒库后的杀毒软件复查（如果这个时候查毒软件可用了的话），否则只能把硬盘挂到别人的机子上查杀或DOS下查杀或——重装了。  

---

欢迎扫码关注：

转载请注明出自 ，如是转载文则注明原出处，谢谢:)
RSS订阅地址: https://www.felix021.com/blog/feed.php 。