怎样在命令行下检测和清除恶意软件

核心提示： 2、检查完网络连接之后，接下去要检查系统中是否有异常进程，怎样在命令行下检测和清除恶意软件(2)，在这里我们使用系统自带的命令Tasklist：图4上图是使用Tasklist/svc的显示结果，/svc参数是显示进程和服务的对应关系，从这个木马程序会隐藏网络连接和自身文件的特性来看，可以确

2、检查完网络连接之后，接下去要检查系统中是否有异常进程，在这里我们使用系统自带的命令Tasklist：

图4

上图是使用Tasklist/svc的显示结果，/svc参数是显示进程和服务的对应关系。红框内的svchost.exe就是可疑进程，它启动了一个名为zzxrubbr的服务。顺便说一句，如果发信目标恶意软件不是安装成服务，而是独立的一个进程，用户可以使用taskkilltarget/force命令从内存中杀掉恶意软件的进程。

3、使用Microsoft的免费工具psservice来查看该可疑服务的信息，psservice可以从PSTools工具包里找到，下图是使用psservice查看zzxrubbr的结果：

图5

4、根据服务名和可执行文件名字一般是相同的和绝大部分的服务程序或其他关键文件都放在system32下这一原则，先使用系统自带的dir命令查找该可疑服务的文件：

图6

由上图可见dir命令找不到文件，dir的/a参数指显示所有属性的文件，包括隐藏和系统问题，/s参数是搜索的范围包括当前目录的所有子目录。

从这个木马程序会隐藏网络连接和自身文件的特性来看，可以确定样本使用了Rootkit技术，常用的恶意软件工具不一定能清除它。接下去笔者将继续给大家演示如何在命令行下清除该木马程序：