xp系统一、本身动手前，切记有备无患——用TaskList备份系统进程

新型病毒都学会了用进程来隐藏本身，所以我们最好在系统正常的 时候，备份一下电脑的 进程列表，固然最好在刚进入Windows时不要运行任何措施的 情况下备份，样以后觉得电脑异常的 时候可以通过对照进程列表，找出可能是病毒的 进程。

在命令提示符下输入：

TaskList /fo:csv>g:zc.csv

上述命令的 感化是将当前进程列表以csv格局输出到“zc.csv”文件中，g:为你要生存到的 盘，可以用Excel打开该文件.

二、本身动手时，必需火眼金睛——用FC对照进程列表文件

如果觉得电脑异常，或者知道比来有风行病毒，那么就有须要查抄一下。

进入命令提示符下，输入下列命令：

TaskList /fo:csv>g:yc.csv

生成一个当前进程的 yc.csv文件列表，然后输入：

FC g:\zccsv g:\yc.csy

回车后就可以看到前后列表文件的 差别了，通过对照发明，电脑多了一个名为“Winion0n.exe”(这 里以这 个进程为例)不是“Winionon.exe”的 异常进程。

三、进行判断时，切记证据确凿——用Netstat检察开放端口

对这 样的 可疑进程，如何判断它是否是病毒呢？按照大部分病毒（出格是木马）会通过端口进行对外连接来流传病毒，可以检察一下端口占有情况。

在命令提示符下输入：

Netstat -a-n-o

参数含义如下：

a:显示所有与该主机成立连接的 端口信息

n:显示打初步口进程PID代码

o：以数字格局显示地点和端口信息

回车后就可以看到所有开放端口和外部连接进程，这 里一个PID为1756（以此为例）的 进程最为可疑，它的 状态是“ESTABLISHED”，通过任务打点器可以知道这 个进程就是“Winion0n.exe”，通过检察本机运行网络措施，可以判断这 是一个犯警连接！

连接参数含义如下：

LISTENINC：暗示处于侦听状态，就是说该端口是开放的 ，期待连接，但还没有被连接，只有TCP协议的 处事端口才华处于LISTENINC状态。

ESTABLISHED的 意思是成立连接。

暗示两台机器正在通信。

TIME-WAIT意思是结束了这 次连接。

说明端口曾经有过访谒，但访谒结束了，用于判断是否有外部电脑连接到本机。

四：下手杀毒时，必然要心狠手辣——用NTSD终止进程

虽然知道 “Winion0n.exe”是个犯警进程，但是很多病毒的 进程无法通过任务打点器终止，怎么办？

在命令提示符下输入下列命令：

ntsd –c q-p 1756

回车后可以顺利结束病毒进程。

提示：“1756”为进程PID值，如果不知道进程的 ID，打开任务打点器，单击“检察→选择列→勾上PID（进程标识符）即可。

NTSD可以强行终止除Sytem,SMSS.EXE,CSRSS.EXE外的 所有进程。

五、断定病毒后，定要斩草除根——搜出病毒原文件

对付已经判断是病毒文件的 “Winion0n.exe”文件，通过搜索“本地所有分区”、“搜索系统文件夹和隐藏的 文件和文件夹”，找到该文件的 存身之所，将它删除。

不过这 样删除的 只是病毒主文件，通过检察它的 属性，依据它的 文件创建曰期、巨细再次进行搜索，找出它的 同伙并删除。

如果你不确定还有那些文件是它的 亲戚，通过网络搜索查找病毒信息获得辅佐。

六、断根病毒后必然要拂拭战场

手动修复注册表虽然把病毒文件删除了，但病毒城市在注册表留下垃圾键值，还需要把这 些垃圾断根洁净。

1、用reg export备份自启动。

由于自启动键值很多，发明病毒时手动查找很未便利。

这 里用reg export+批措置惩罚惩罚命令来备份。

启动记事本输入下列命令：

reg export HKLM\software\Microsoft\Windows\

CurrentVersion\Run fo:\hklmrun.reg

reg export HKCU\Software\Microsoft\Windows\

CurrentVersion\Policies\Explorer\Run f:\hklcu.reg

reg export HKLM\SOFTWARE\Microsoft\Windows\

CurrentVersion\Policies\Explorer\Run hklml.reg

注：这 里只列举几个常见键值的 备份，其它键值请参照上述要领制作。

然后将它生存为ziqidong.bat在命令提示符下运行它，即可将所有自启动键值备份到相应的 reg文件中，接着再输入：

copy f:\*.reg ziqidong.txt

命令的 感化是将所有备份的 reg文件输出到“ziqidong.txt”中，这 样如果发明病毒新增自启动项，同上次导出自启动值，操作上面介绍的 FC命令对照前后两个txt文件，即可快速找出新增自启动项目。

2、用reg delete删除新增自启动键值。

好比：通过上面的 要领在[HKER_CURRENT_USER\SOFTWARE\Microsoft\

Windows\CurrentVersion\Run],找到一个“Logon”自启动项，启动措施为“c:\windows\winlogon.exe”,此刻输入下列命令即可删除病毒自启动键值：

reg delete HKLM\software\Microssoft\Windows\

CurrentVersion\Run /f

3、用reg import恢复注册表。

Reg de-lete删除是的 是整个RUN键值，此刻用备份好的 reg文件恢复即可，输入下列命令即可迅速还原注册表：reg import f:\hklmrun.reg

上面介绍手动杀毒的 几个系统命令，其实只要用好这 些命令，我们根基可以KILL失大部分的 病毒，固然平时就必然要做好备份事情。