怎样在命令行下检测和清除恶意软件

来源：pcdog 作者：佚名出处：巧巧读书 2008-02-03 进入讨论组

假设用户在此时发现自己的机器有异常，比如网络连接活动异常，或是反病毒软件/防火墙频繁报警，用户可以按照以下步骤检查一下：

　　1、先退出所有的浏览器、应用程序、即时聊天工具，检查网络连接，然后在开始菜单里的“运行”输入cmd，进入命令行状态，如下图

　　图3

Netstat是系统自带的网络状态检查工具，可以发现一般木马的网络活动，但无法发现一些使用Rootkit技术的恶意软件，用户可以使用Microsoft的免费工具TCPview来加强检测的效果。上图能看出Netstat和TCPview的区别，Netstat显示正常，但TCPview显示有一个由svchost.exe发起，到192.168.4.134的异常TCP连接。

　　2、检查完网络连接之后，接下去要检查系统中是否有异常进程，在这里我们使用系统自带的命令Tasklist：

　　图4

上图是使用Tasklist/svc的显示结果，/svc参数是显示进程和服务的对应关系。红框内的svchost.exe就是可疑进程，它启动了一个名为zzxrubbr的服务。顺便说一句，如果发信目标恶意软件不是安装成服务，而是独立的一个进程，用户可以使用taskkilltarget/force命令从内存中杀掉恶意软件的进程。

巧巧读书:http://www.qqread.com/meetwindows/e395864.html