如何用系统命令结束顽固病毒进程病毒防治

下面是小编收集整理的如何用系统命令结束顽固病毒进程病毒防治，本文共9篇，供大家参考借鉴，希望可以帮助到有需要的朋友。

篇1：如何用系统命令结束顽固病毒进程病毒防治

杀毒的时候我们会遇到这种情况，有些病毒怎么杀也杀不掉，杀毒软件告诉我们重启后才能清除，结果重启后病毒依然如故。那么，怎么对付这种病毒呢？笔者在这里为大家提供两则小技巧，以便帮你强行杀死这种“顽固不化”的病毒进程。

根据进程名查杀

这种方法是通过WinXP系统下的taskkill命令来实现的，在使用该方法之前，首先需要打开系统的进程列表界面，找到病毒进程所对应的具体进程名。

接着依次单击“开始→运行”命令，在弹出的系统运行框中，运行“cmd”命令；再在DOS命令行中输入“taskkill /im aaa”格式的字符串命令，单击回车键后，顽固的病毒进程“aaa”就被强行杀死了。比方说，要强行杀死“conime.exe”病毒进程，只要在命令提示符下执行“taskkill /im conime.exe”命令，要不了多久，系统就会自动返回结果。

根据进程号查杀

上面的方法，只对部分病毒进程有效，遇到一些更“顽固”的病毒进程，可能就无济于事了。此时你可以通过Win以上系统的内置命令――ntsd，来强行杀死一切病毒进程，因为该命令除System进程、SMSS.EXE进程、CSRSS.EXE进程不能“对付”外，基本可以对付其它一切进程，

但是在使用该命令杀死病毒进程之前，需要先查找到对应病毒进程的具体进程号。

考虑到系统进程列表界面在默认状态下，是不显示具体进程号的，因此你可以首先打开系统任务管理器窗口，再单击“查看”菜单项下面的“选择列”命令，在弹出的设置框中，将“PID（进程标志符）”选项选中，单击“确定”按钮。返回到系统进程列表页面中后，你就能查看到对应病毒进程的具体PID了。

接着打开系统运行对话框，在其中运行“cmd”命令，在命令提示符状态下输入“ntsd -c q -p PID”命令，就可以强行将指定PID的病毒进程杀死了。例如，发现某个病毒进程的PID为“444”，那么可以执行“ntsd -c q -p 444”命令，来杀死这个病毒进程。

关 键 字：病毒防治

篇2：解读SVCHOST.EXE 病毒or系统进程？

大家对windows操作系统一定不陌生，但你是否注意到系 统中“svchost.exe”这个文件呢？细心的朋友会发现windows 中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器， 这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱，

一、初步了解

在基于nt内核的windows操作系统家族中，不同版本的 windows系统，存在不同数量的“svchost”进程，用户使用“ 任务管理器”可查看其进程数目。一般来说，win2000有两个 svchost进程，winxp中则有四个或四个以上的svchost进程，而 win server中则更多。这些svchost进程提供很多系统服务，如： rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务 （dhcp client）等。

如果要了解每个svchost进程到底提供了多少系统服务， 可以在win2000的命令提示符窗口中输入“tlist -s”命令来查 看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令 。

二、深入研究

windows系统进程分为独立进程和共享进程两种， “svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不 断增多，为了节省系统资源，微软把很多服务做成共享方式， 交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并 不能实现任何服务功能，那这些服务是如何实现的呢？

八哥网（www.it8g）专家介绍，这些系统服务是以动态链接库（dll）形式实现的 ，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。 那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？ 这是通过系统服务在注册表中设置的参数来实现。

三、实例应用

以windows xp为例，点击“开始”/“运行”，输入 “services.msc”命令，弹出服务对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执行文件的路径为 “c:windowssystem32svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数 来实现的，而参数的内容则是存放在系统注册表中的，

在运行对话框中输入“regedit.exe”后回车，打开注 册表编辑器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项，找到类型为 “reg_expand_sz”的键“magepath”，其键值为“% systemroot%system32svchost -k rpcss”（这就是在服务窗口中看到的服务启动命令），另 外在“parameters”子项中有个名为“servicedll”的键，其值为“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是 rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息，就能启动该 服务了。

四、解惑疑点

因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm” ）。但windows系统存在多个svchost进程是很正常的，在受感 染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存 在于“c:windowssystem32”目录下，八哥网（www.it8g）专家介绍发现该文件出现在其 他目录下就要小心了。“w32.welchia.worm”病毒存在于 “c:windowssystem32wins”目录中，因此使用进程管理器查看 svchost进程的执行文件路径就很容易发现系统是否感染了病毒 。

系统自带的任务管理器不能够查看进程的路径，可以使 用第三方进程管理软件，如“windows优化大师”进程管理器， 通过这些工具就可很容易地查看到所有的svchost进程的执行文 件路径，一旦发现其执行路径为不平常的位置就应该马上进行 检测和处理。

热门推荐：Svchost.exe为何要访问网络Nmap网络扫描使用手册

点击阅读更多学院相关文章>>

分享到

篇3：病毒定义病毒防治

病毒定义

计算机病毒是一个程序，一段可执行码，就像生物病毒一样，计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延，又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时，它们就随同文件一起蔓延开来。

除复制能力外，某些计算机病毒还有其它一些共同特性：

一个被污染的程序能够传送病毒载体。当你看到病毒载体似乎仅仅表现在文字和图象上时，它们可能也已毁坏了文件、再格式化了你的硬盘驱动或引发了其它类型的灾害。若是病毒并不寄生于一个污染程序，它仍然能通过占据存贮空间给你带来麻烦，并降低你的计算机的全部性能。

可以从不同角度给出计算机病毒的定义。一种定义是通过磁盘、磁带和网络等作为媒介传播扩散,能“传染” 其他程序的程序。另一种是能够实现自身复制且借助一定的载体存在的具有潜伏性、传染性和破坏性的程序，

还有的定义是一种人为制造的程序,它通过不同的途径潜伏或寄生在存储媒体（如磁盘、内存）或程序里。当某种条件或时机成熟时,它会自生复制并传播,使计算机的资源受到不同程序的破坏等等。这些说法在某种意义上借用了生物学病毒的概念,计算机病毒同生物病毒所相似之处是能够侵入计算机系统和网络,危害正常工作的“病原体”。它能够对计算机系统进行各种破坏,同时能够自我复制, 具有传染性。

所以, 计算机病毒就是能够通过某种途径潜伏在计算机存储介质（或程序）里, 当达到某种条件时即被激活的具有对计算机资源进行破坏作用的一组程序或指令集合。

关 键 字：病毒防治

篇4：企业防病毒系统面面观病毒防治

病毒就如与网络相伴而生的恶狼，群生群起，而网络应用的纵深发展更使病毒“得寸进尺”，其传播途径越来越多，传播速度也越来越快，我们陷入了一个与狼共舞的时代。

病毒问题是一个网络离散问题，即病毒的可控程度随着网络规模的变大而趋于无法控制的状态。整个互联网就像公海一样，连通全世界，传播能力强的病毒一旦进入了互联网，瞬间就会传遍世界的每个角落，给个人与企业带来威胁。只要我们分析清楚了整个网络面临的安全风险，就可以很好地对其进行管理。那么在这个与狼共舞的时代，我们应当如何防范呢？

防病毒就得面面俱到

病毒如洪水猛兽，因此要善于疏导与分流。实际上，经过病毒和防病毒技术的长期较量和病毒不断的变化，防病毒体系目前趋向于立体化，任何单一的防病毒产品技术、防火墙技术、入侵检测技术、物理隔离技术、vlan、访问控制技术以及新出现的防毒墙、入侵防护技术等都不能全面有效地对付病毒。防治病毒，需要各种技术综合利用，共同发力。企业网络的安全防护也要因此分为三个层次，才能做到面面俱到。

桌面安全是短板

桌面安全即企业网络中员工使用的安全，这是最基本的安全，也恰恰是企业网络最难控制的“神经末梢”。对于普通员工来说，他们可能不知道网段的概念，甚至不了解网络，但是他们每天至少有8个小时的时间都在使用电脑，一旦主机受到病毒的感染，轻则占用系统资源，影响工作，重则使用户电脑崩溃，无法工作。

另一方面，一旦企业网络中一台终端感染了病毒，就会形成链式反应，影响整个企业网。而事实上，一些上网条件比较好的企业，员工可以不受限制地上网，由于员工计算机操作水平的良莠不齐，对安全的重视程度也大相径庭，在这种情况下，员工的电脑是很容易感染上一些如qq病毒、msn病毒、木马、网络蠕虫等病毒，而员工的电脑也就成了整个企业网络安全中的那块短板。

服务器对应关键业务

一般企业要想维持网络的正常运转，都要配置不同的服务器，而且随着企业规模的增大，服务器的种类与数量也会不断增多。服务器是一组能够高强度执行单一功能的设备，负责整个网络的某一项事务的集中处理。比如邮件服务器，企业所有邮件的流出与流入都要经过邮件服务器的处理。一旦恶性邮件蠕虫病毒爆发，将会迅速耗尽邮件服务器的资源，使企业无法进行正常的邮件投递。而一旦这些邮件中的病毒被用户误运行，病毒就会在企业内部来回震荡，最终造成一场企业灾难。

网关把守企业门户

网关是每个企业网络的门户，是通往互联网的惟一途径，如果在网关处控制得不好，病毒就会任意长驱直入，很快就会在内部网络进行蔓延，最终导致整个网络瘫痪。

防病毒要对症下药

我们对安全问题进行了分层分析，那么只要分层部署，对症下药，就可以很好地提高整个网络的安全系数。

桌面防毒不留死角

对于桌面安全来说，目前只有杀毒软件这一种产品可以选择。杀毒软件是随着病毒一路走来的，随着病毒的发展也在不断完善，如今已经成为电脑安全防护的首选品牌。

不过，对于杀毒软件，用户也面临着选择，即选择单机版还是网络版。这两种版本使用的是一套反病毒引擎，因此病毒查杀能力是一样的，惟一的区别在于网络版集成一个网络管理模块，可以将整个网络的反病毒工作统一起来完成，这样的好处在于软件的安装、升级、维护都由被称为“控管中心”的模块统一完成，而这个控管中心只需要一个人在远程操作，就能够轻松完成全网所有节点的反病毒工作，确保整个网络内不留安全死角。所以，我们推荐使用网络版软件。

但是目前还是有许多中小企业选择单机版的软件来进行主机保护，这一方面是由于网络版的价格很高，是按照模块数收费的，而其中服务器模块与控管中心是必备模块，价格上又占了大头儿，

当一个企业内部电脑数量很少时，那么平均每台电脑分摊下来的成本将会很高，一般都会是单机软件的数倍

关 键 字：病毒防治

篇5：什么是系统病毒

系统病毒的前缀为：Win32、PE、Win95、W32、W95等，

什么是系统病毒

，

这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和*.dll 文件，并通过这些文件进行传播。如CIH病毒。

篇6：驱动级顽固病毒怎么清除

现如今，越来越多的病毒在对系统和数据进行破坏的同时，也在不断的加强自我保护，防止安全软件和工具对其进行操作，导致很多杀毒软件无法根除此类病毒，或者出现只能查，不能杀的局面。针对这类病毒，瑞星杀毒软件重点开发了虚拟机查杀技术和深度脱壳技术，针对性的对这些病毒进行分析并给出解决方案。

据瑞星病毒疫情监测网统计显示，全年每日新出现的病毒数量近千余个，几乎隔几天就会部分病毒采用了新型自我保护机制，导致杀毒软件无法在第一时间对其进行彻底查杀。遇到这种问题，用户可在第一时间拨打瑞星客户服务电话(010-82616666)求助，反病毒工程师会在最短时间内对病毒进行分析，提供杀毒软件的升级程序。同时也可尝试先用以下办法对查到的病毒文件尝试进行处理，以避免病毒对网络和系统造成进一步的危害。

病毒采取自我保护的方法有很多，大部分都是通过提高自身优先级，利用系统对其进行保护，导致反病毒软件或用户手动删除时遭到操作系统的“拒绝”，其中尤以驱动级的病毒最为顽固。它将自己伪装成驱动，并注入到system内核(安全模式下也可加载)，没有病毒的特征，只下载某些木马或者流氓软件。运行以后，释放出.sys文件到系统驱动目录内(C:WINDOWSsystem32drivers)，隐藏并注册为后台服务。实现服务与文件的双向保护：即后台服务保护病毒文件不被删除，病毒文件保护后台服务不被停止。

如果使用瑞星杀毒软件检测到病毒，提示“重新启动后删除文件”，可按照以下几种方法来删除病毒文件：

方法一：

使用瑞星杀毒软件光盘引导查杀(建议使用07光盘引导);

制作U盘引导查杀工具，配合最新版本的病毒库进行U盘引导查杀。

方法二：

鼠标右键单击我的电脑-管理-系统工具-设备管理器-查看(右键选择)-显示隐藏的设备。如下图：

此时可以看到设备管理器中隐藏的“非即插即用驱动程序”项，找到与病毒文件名同名的驱动程序，鼠标右击点属性把驱动停用，重启电脑后手工删除该驱动即可，

注：如果在“设备管理器”中卸载或者禁用驱动都提示重启，但是重启后问题依旧。

处理方法：

在“设备管理器”中双击对应的“非即插即用驱动程序”中的病毒程序，在“属性”-“驱动程序”中停止该设备，然后在注册表中删除对应的键值项，删除后回到“设备管理器”中卸载对应的设备重新启动即可。

方法三：修改权限，删除病毒文件。计算机系统是FAT分区，直接删除目标目录下的驱动(c:windowssystem32dirvers*.sys)文件。计算机系统是NTFS分区，可以直接修改驱动的权限(有些病毒一般会将自己权限设为不能删除，包括在administrators权限下)

操作步骤：

1.打开【我的电脑】――【工具】――【文件夹选项】取消勾选“使用简单文件共享”。 如下图：

2.打开注册表[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices]找到病毒sys对应的注册表键值(以abiosdsk为病毒驱动为例)，用鼠标右键单击该键值选择权限，并在权限中选择高级。如下图：

3.在弹出的界面取消勾选“从父项继承那些可以应用到……”，此时会弹出一对话框，在此框中选择复制――确定。(备注：如在弹出的窗口选择删除会导致注册表里面的当前驱动键值删除不了。)如下图：

4.用鼠标点自己当前登录的用户名(推荐使用管理员“administrator”权限登录)再将自己当前用户权限设为 “完全控制-允许”选择确定。如下图

然后可以直接手动删除当前驱动键值了，驱动文件也将随之被删除。

篇7：顽固病毒程序处理妙招

当电脑被病毒程序控制时，打开“进程管理器”，发现有些病毒程序的进程关闭掉后，等一下就又出来了，而从注册表里先把启动项删除后，再重启，然后刷新一下注册表，那些启动项又还原了，上网下载专杀工具后，仍然不能杀掉。这是因为病毒程序控制了你的电脑，一直有进程在运行，所以无法删除。

由于这台电脑只有一个操作系统（装多系统的可以在其它系统中进行处理），也没办法在另一个系统下删除这些病毒，这时怎么办呢？如果大家也遇到这种情况时，下面推荐一种顽固病毒程序处理妙招｜：

1：在“开始→运行”中输入CMD，打开“命令提示符”窗口。

2：输入ftype exefile=notepad.exe %1，这句话的意思是将所有的EXE文件用“记事本”打开，

这样原来的病毒就了。

3：重启电脑，你会看见打开了许多“记事本”。当然，这其中不仅有病毒文件，还有一些原来的系统文件，比如：输入法程序。

4：右击任何文件，选择“打开方式”，然后点击“浏览”，转到Windows\System32下，选择cmd.exe，这样就可以再次打开“命令提示符”窗口。

5：运行ftype exefile=%1 %*，将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表，就可以杀掉病毒了。

6：在每一个“记事本”中，点击菜单中的“文件→另存为”，就可看到了路径以及文件名了。找到病毒文件，手动删除即可，但得小心，必须确定那是病毒才能删除。建议将这些文件改名并记下，重启后，如果没有顽固病毒程序进程，系统也运行正常，就可以将另存为的文件放心的删除掉了。

你是否还在被顽固病毒程序困扰呢？试下这个顽固病毒程序处理妙招，我想对你会有帮助的。

篇8：用Windows自带的命令结束进程

一般的进程可通过Windows的任务管理器进行关闭，但如果在任务管理器中无法关闭某个可疑进程（尤其是病毒所调用的进程一般无法从任务管理器直接关闭，

在这种情况下，可以使用Windows自带的工具强行关闭，注意不要杀掉进程表中的系统核心进程：

1．对于Windows XP以上的系统，可以使用下列命令：

TASKKILL /PID PROCESSID /F /T

（注：参数/F表示“强制终止进程”，参数/T表示“终止指定的进程和由它启动的子进程”）

例如：要结束进程号为1100的进程，输入TASKKILL /PID 1100 /F /T即可，

2. 对于Windows以上的系统，可以使用下列命令：

NTSD -C Q -P PID

（注：参数-P表示后面跟随的是进程PID， -C Q表示执行退出Ntsd的调试命令)

因为Ntsd会自动获得Debug权限，因此Ntsd能杀掉大部分的进程（除了调用Ntsd命令自身需要的三个核心进程。）

例如：要结束进程号为1100的进程，输入NTSD -C Q -P 1100即可。

篇9：病毒的危害病毒防治

病毒的危害

计算机病毒会感染、传播，但这并不可怕，可怕的是病毒的破坏性，其主要危害有：

1、攻击硬盘主引导扇区、boot扇区、fat表、文件目录，使磁盘上的信息丢失。

2、删除软盘、硬盘或网络上的可执行文件或数据文件，使文件丢失。

3、占用磁盘空间。

4、修改或破坏文件中的数据，使内容发生变化。

5、抢占系统资源，使内存减少。

6、占用cpu运行时间，使运行效率降低。

7、对整个磁盘或扇区进行格式化。

8、破坏计算机主板上bios内容，使计算机无法工作，

9、破坏屏幕正常显示，干扰用户的操作。

10、破坏键盘输入程序，使用户的正常输入出现错误。

11、攻击喇叭，会使计算机的喇叭发出响声。有的病毒作者让病毒演奏旋律优美的世界名曲，在高雅的曲调中去杀戮人们的信息财富。有的病毒作者通过喇叭发出种种声音。

12.干扰打印机，假报警、间断性打印、更换字符。

关 键 字：病毒防治