Các lệnh diệt Virus bằng tay

Cái nì BKL thấy hay hay nên chôm về cho anh em xem ... http://security.vnbb.com

Tổng hợp được mấy lệnh trong CMD hỗ trợ để diệt virus bằng tay. Các bạn tham khảo mấy Kungfu dòng lệnh
vi dụ cụ thể luôn:

1-TASKLIST

- Hiển thị các tiến trình có PID lớn hơn 2000(tùy chọn PID) và in ra định dạng csv: hiển thị bao gồm "Image Name","PID","Session Name","Session#","Mem Usage","Status","User Name","CPU Time","Window Title"

Tasklist /v /fi "pid gt 2000" /fo csv

In ra một file cho dễ nhìn: Tasklist /v /fi "pid gt 2000" /fo csv >hell.txt

-Để hiển thị các tiến trình với trạng thái đang chạy với các username mặc định với các username: system, network service, local service, administrator. Còn nếu bạn đang chạy trong user nào thì hiện thị với tên user đó

Tasklist /fi "USERNAME eq NT AUTHORITY\SYSTEM” /fi "STATUS eq running"
Tasklist /fi "USERNAME eq SYSTEM" /fi "STATUS eq running" <--rút gọn
Tasklist /fi “username eq ten_user_dang_dung” /fi “status eq running”
Tasklist /fi “username ne system” /f “status eq running” <--lệnh này hiển thị trạng thái đang chạy với username ko phải là system

Tasklist /v /fi "STATUS eq running" xem chỉ những tiến trình đang chạy
-Hiển thị các file DLL chạy cùng tiến trình

Tasklist /m
Tasklist /fi “modules eq ntdll*” lệnh này chỉ lọc các file dll với đầu ngữ ntdll
Tasklist /fi “modules eq dnsq.dll” chỉ hiện tiến trình chạy có dnsq.dll (con dashfer)

2-TASKKILL

-Tắt tiến trình cùng lúc với nhiều PID, name

Taskkill /f /pid id1 /pid id2 /pid id3

Vidu với các id như 1234, 243, 879: taskkill /f /pid 1234 /pid 243 /pid 879

Taskkill /f /im explorer.exe /im system.exe /im userinit.exe

-Bắt ép tắt tiến trình nào đó đang chạy với username system (vd như notepad.exe)
Taskkill /f /fi “username eq system” /im notepad.exe

-Tắt tiến trình theo dạng cây với số ID là 1234 nhưng chỉ với username nào đó (administrator chẳng hạn)
Taskkill /pid 1234 /t fi “username eq administrator”

-Tắt tiến trình với PID lớn hơn 2000 mà ko quan tâm đến tên của nó
Taskkill /f /fi “pid ge 2000” /im * <--lưu ý dấu * chỉ áp dụng lọc cho tùy chọn /im

3-TSKILL

Lệnh này cũng để tắt tiến trình nhưng với ít tính năng lọc hơn
Tskill pid
Tskill name (vi dụ: tskill explorer) <--lưu ý là ko có đuôi .exe

4-WMIC

-Hển thị tiến trình
wmic process list
wmic process list brief
wmic process list full
wmic process list brief /every:10 <-- cứ 10s lại cập nhật 1 lần (CTRL+C to end)
wmic process list brief | find "cmd.exe" <-- chỉ tìm với cmd.exe
wmic PROCESS WHERE "NOT ExecutablePath LIKE '%Windows%'" GET ExecutablePath
hiển thị các tiến trình ko nằm trong %windows%

-Hiển thị các chương trình khi khởi động
Wmic startup list brief
Wmic startup list full

-Hiển thị tên, danh sách các user
wmic USERACCOUNT WHERE "Disabled=0 AND LocalAccount=1" GET Name

-Tắt tiến trình với PID và name
Wmic process [pid] delete
Wmic process where name=’cmd.exe’ delete lưu ý: dấu ‘’ hay dấu “” đều được cả
Wmic process where name=”cmd.exe” call terminate

-Tắt một lúc nhiều tiến trình theo tên, pid
Wmic process where (name like OR name like “explorer.exe” OR name “iexplore.exe”) call terminate
Tắt 2 tiến trình có pid là 3288 và 4556
wmic process where (processid=3288 OR Processid=4556) call terminate

5-SC

Lệnh này dùng cho các services
-Truy vấn, xem các services, drivers
SC query type= services
SC query type= drivers
Hoặc xem tất cả: SC query type= all

-Tắt các dịch vụ đang chạy
SC stop schedule tắt schedule
SC stop srservice tắt system restore

- Disabled một dịch vụ nào đó
SC config schedule start= disabled
SC config srservice start= disabled
Với tên các services ở khóa HKLM\SYSTEM\CurrentControlSet\Services

6-NTSD

Theo mình biết thì lệnh này dùng để debug
Cũng ko biết nhiều về lệnh này có 2 lệnh sau dạng như tắt một tiến trình
NTSD –c q –p PID
NTSD –c q –pn name
Vd: ntsd –c q –pn explorer.exe

Chúc thành công!!!!!!!!!!
Nguồn: CEH