如何删除一个“顽固”木马病毒？

1.重新启动Windows操作系统后，再按常规方式删除文件。

2.在DOS（或命令提示符）界面中用Del、Deltree之类的命令删除。

3.利用非Windows资源管理器的第三方工具删除，例如具有浏览文件夹功能的Total Commander、ACDSee、FlashFXP、Nero等软件。

4.如果你安装了两个以上的操作系统，那么就可以在当前系统中删除其它操作系统的文件。

5.在启动时按F8键选择进入安全模式执行删除操作。

下面，我们将针对具体问题做具体分析，为大家介绍因各种原因不能删除文件时应采取的非常规方法。

二、删除“其它程序正在使用”的文件

问题表现：

Windows XP系统中，准备删除一个大容量的AVI格式文件，但系统却总是提示无法执行删除操作，有别的程序在使用，即使刚开机进入Windows系统时也是如此。

问题解决：

方法1：打开记事本，点击菜单栏“文件”→“另存为”，命名文件和你想删除的那个文件名一致（包括扩展名），而后进行替换，会发现容量变为0 KB了。此时，执行删除命令即可。

方法2：在那个AVI文件同目录中新建一个文件夹，然后重新启动。现在，不要选那个AVI文件，先选择适才新建的文件夹，然后再同时按Ctrl键+那个AVI文件，执行删除操作。

方法3：把AVI文件的扩展名改为其它任意无效的文件类型，再执行删除操作。

方法4：有一个一劳永逸的方法就是禁用Windows XP的媒体预览功能，点击“开始”→“运行”，输入：“CMD”后回车。然后在“命令提示符”窗口下输入：regsvr32 /u shmedia.dll

回车确认操作后将卸载视频文件的预览功能。以后在需要恢复视频文件预览功能时，在“命令提示符”中输入：regsvr32 shmedia.dll命令即可。

方法5：启动曾播放过那个AVI文件的媒体播放器，打开另一个文件。此后，再尝试删除即可。

方法6：可用WinRAR程序删除，用鼠标右键单击那个AVI文件，在弹出菜单中选择“添加到压缩文件”，而后在弹出窗口的“常规”标签页中选择“压缩后删除源文件”复选框。确认操作后，执行压缩操作。最后再删除该压缩文件。

方法7：调出“Windows任务管理器”，在其中选择结束Explorer进程，但此时不要关闭该窗口。这时候，会出现像死机一样的状况。我们切换到“应用程序”标签页，点击“新任务”按钮，输入Explorer.exe 并确认操作。此后，桌面又恢复正常了，再执行删除操作即可。

三、巧妙删除“非空文件夹”或“坏文件”

问题表现：

在Windows XP系统下（NTFS分区格式），无论是在资源管理器还是用第三方工具都删除不了指定文件，例如用Total Commander删除，先提示文件夹非空，确认后没任何反应。即使用DOS盘启动，加载ntfs for dos pro可读写版本，也删除不了，提示说是“坏的文件名”，但是可以看到该文件夹。

问题解决：

这种情况下的文件无法删除很有可能是由于在NTFS格式下长文件名造成的。我们可以使用8.3格式缩小长度或更改路径中部分目录名以减少路径的长度。例如可以暂时把路径中某些目录改名字，或在命令行模式下使用8.3格式。例如，“Linux Faq”的目录变成8.3就是“LINUXF~1”了，通过“Linuxf~1”就能进入目录了，此后就可以使用Del命令删除指定文件了。如果需要删除目录，则使用Rd命令。

四、巧妙删除“指定程序或文件正在使用”的文件

问题表现：

在执行删除文件操作时，系统在弹出对话框中提示指定程序或文件正在使用，无法删除之类的警告信息。

问题解决：

方法1：对于此类情况，我们可通过结束预删除文件的相关进程来解决问题。那么，如何能获知指定文件与哪些进程相关联呢？可以使用WhoLockMe这款小工具一探究竟。我们运行“Install.exe”先安装该程序。

下面，进入预删除文件所在目录，用鼠标右键单击该文件，在弹出菜单中选择“Who Lock Me?”。

这时会弹出“Lockers”窗口，在其中我们可以获知当前所有调用该文件的进程。

选定其中的进程名称后，点击“Kill Process”按钮，弹出“Kill-Confirmation”对话框，在此点击“是”按钮确认结束进程操作即可。结束所有相应进程后，就可以通过正常途径删除指定文件了。

小提示：其实这种方法尤其适用于删除木马服务器，这种极有威胁性的小东东只有封杀了与其相关的所有进程后才能删除。

方法2：如果指定程序或文件所调用的DLL动态链接库文件还在内存中未释放，删除时也会提示文件正在使用。这种情况下，我们在DOS环境中删除系统的页面文件即可，Windows 9X系统中是“WIN386.SWP”文件（位于系统盘的Windows目录中），Windows 2000/XP系统中是“pagefile.sys”文件（位于系统盘根目录下）。

方法3：如果系统中常驻病毒防火墙，而它在扫描查毒时正在检查你准备删除的文件，那么系统也会提示文件正在使用。此时，我们只需要暂停实时监控操作即可。

五、巧妙删除其它类别的怪文件

1.用户权限问题导致无法删除文件

如果当前的Windows用户登录身份不具有删除指定文件/文件夹的权限（针对Windows NT/2000/XP/2003操作系统），只要重新以管理员身份登录即可。

2.非法字符导致文件或文件夹无法删除

如果是由于非法字符导致文件或文件夹无法删除，可以在“命令提示符”界面中进入要删除文件的目录，输入“dirdel.bat”，利用DOS的管道命令把当前目录的文件列表自动输入到批处理命令文件“del.bat”中，然后修改该批命令文件，仅保留文件或目录名，并在文件或者目录名称前增加“del ”或者“rd”，然后运行批处理命令即可删除。

3.无法删除系统中的任何文件

查看系统中是否安装了具有反删除功能的防护软件，如果是则将其删除即可。

电脑清理垃圾运行命令代码

开始--运行--%temp%--确定---打开的文件夹里面的所有东东都能删除，不会有问题，个别删除不了的别管。

cmd.exe病毒的木马清除

杀毒软件直接杀毒不就得了么

安装个电脑管家到电脑上

然后使用病毒查杀，对着你的电脑杀毒就行了

如何用CMD查杀电脑中的病毒

最好的方法你安装360杀毒2.0版查杀，然后打开360安全卫士软件——点击系统修复，扫描后点击右下角的“一键修复”——点击清理插件，如有恶评插件点击右下角的“立即清理”——再点击查杀木马，使用全盘扫描功能，如发现有威胁的程序，请点击右下角的“立即处理”

怎样清理木马病毒

根据进程名查杀

这种方法是通过WinXP系统下的taskkill命令来实现的，在使用该方法之前，首先需要打开系统的进程列表界面，找到病毒进程所对应的具体进程名。

接着依次单击“开始→运行”命令，在弹出的系统运行框中，运行“cmd”命令;再在DOS命令行中输入“taskkill/imaaa”格式的字符串命令，单击回车键后，顽固的病毒进程“aaa”就被强行杀死了。比方说，要强行杀死“conime。exe”病毒进程，只要在命令提示符下执行“taskkill/imconime。exe”命令，要不了多久，系统就会自动返回结果。

根据进程号查杀

上面的方法，只对部分病毒进程有效，遇到一些更“顽固”的病毒进程，可能就无济于事了。此时你可以通过Win2000以上系统的内置命令——ntsd，来强行杀死一切病毒进程，因为该命令除System进程、SMSS。EXE进程、CSRSS。EXE进程不能“对付”外，基本可以对付其它一切进程。但是在使用该命令杀死病毒进程之前，需要先查找到对应病毒进程的具体进程号。

考虑到系统进程列表界面在默认状态下，是不显示具体进程号的，因此你可以首先打开系统任务管理器窗口，再单击“查看”菜单项下面的“选择列”命令，在弹出的设置框中，将“PID(进程标志符)”选项选中，单击“确定”按钮。返回到系统进程列表页面中后，你就能查看到对应病毒进程的具体PID了。

接着打开系统运行对话框，在其中运行“cmd”命令，在命令提示符状态下输入“ntsd-cq-pPID”命令，就可以强行将指定PID的病毒进程杀死了。例如，发现某个病毒进程的PID为“444”，那么可以执行“ntsd-cq-p444”命令，来杀死这个病毒进程。

cmd杀毒命令

您好，

CMD是基于DOS演化的一个界面，可以运行一些批处理命令

但是里面没有杀毒命令的

你要是系统中毒的话，可以安装一个电脑管家

使用电脑管家的杀毒功能查杀清除

电脑管家杀毒部分采用了4+1引擎，拥有管家第二代反病毒引擎鹰眼，采用新的机器智能技术，拥有自学习自进化的能力，查杀率非常的高，可以清除各种木马病毒

如果以后有其它问题，欢迎再来电脑管家企业平台咨询

怎么使用cmd命令查u盘毒

点击开始---运行---输入CMD 并确定，

假设你的系统在C盘，输入以下命令：

cd \ 回到主目录根键

dir /s /ah *.exe

dir /s /ah *.dll

dir /s /ah *.sys

注释：/s:显示指定目录和所有子目录中的文件 /ah:显示具有指定属性的隐藏文件

第一条的CD\表示进入C盘根目录，后面的每条命令都要按回车键，表示分别查询整个C盘下的所有隐藏的EXE文件、DLL文件、SYS文件，只要发现有这些隐藏的文件，而且所处的位置和文件名有异常，100%有问题。

比如我的系统，一般是一个上述扩展名的隐藏文件找不到的，找到了，99.99%是病毒或木马。一个EXE文件是不是你自己亲自隐藏的，你自己应该知道的。

如何清除木马病毒？

目前网络上最猖獗的病毒估计非木马程序莫数了，特别是在过去的2004年木马程序的攻击性也有了很大的加强，在进程隐藏方面，做了较大的改动，不再采用独立的EXE可执行文件形式，而是改为内核嵌入方式、远程线程插入技术、挂接PSAPI等，这些木马也是目前最难对付的。本期就教你查找和清除线程插入式木马。

操作步骤：

1.通过自动运行机制查木马

一说到查找木马，许多人马上就会想到通过木马的启动项来寻找“蛛丝马迹”，具体的地方一般有以下几处：

1）注册表启动项：

在“开始/运行”中输入“regedit.exe”打开注册表编辑器，依次展开[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\]和[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\]，查看下面所有以"Run"开头的项，其下是否有新增的和可疑的键值，也可以通过键值所指向的文件路径来判断，是新安装的软件还是木马程序。

另外[HKEY LOCAL MACHINE\Software\classes\exefile\shell\open\command\]键值也可能用来加载木马，比如把键值修改为“X:\windows\system\ABC.exe "%1"%”。

2）系统服务

有些木马是通过添加服务项来实现自启动的，大家可以打开注册表编辑器，在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]下查找可疑键值，并在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\]下查看的可疑主键。

然后禁用或删除木马添加的服务项：在“运行”中输入“Services.msc”打开服务设置窗口，里面显示了系统中所有的服务项及其状态、启动类型和登录性质等信息。找到木马所启动的服务，双击打开它，把启动类型改为“已禁用”，确定后退出。也可以通过注册表进行修改，依次展开“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\服务显示名称”键，在右边窗格中找到二进制值“Start”，修改它的数值数，“2”表示自动，“3”表示手动，而“4”表示已禁用。当然最好直接删除整个主键，平时可以通过注册表导出功能，备份这些键值以便随时对照。

3）开始菜单启动组

现在的木马大多不再通过启动菜单进行随机启动，但是也不可掉以轻心。如果发现在“开始/程序/启动”中有新增的项，可以右击它选择“查找目标”到文件的目录下查看一下，如果文件路径为系统目录就要多加小心了。也可以在注册表中直接查看，它的位置为[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]，键名为Startup。

4）系统INI文件Win.ini和System.ini

系统INI文件Win.ini和System.ini里也是木马喜欢隐蔽的场所。选择“开始/运行”，输入“msconfig”调出系统配置实用程序，检查Win.ini的[Windows]小节下的load和run字段后面有没有什么可疑程序，一般情况下“＝”后面是空白的；还有在System.ini的[boot]小节中的Shell=Explorer.exe后面也要进行检查。

5）批处理文件

如果你使用的是WIN 9X系统，C盘根目录下“AUTOEXEC.BAT”和WINDOWS目录下的“WinStart.bat”两个批处理文件也要看一下，里面的命令一般由安装的软件自动生成，在系统默认会将它们自动加载。在批处理文件语句前加上“echo off”，启动时就只显示命令的执行结果，而不显示命令的本身；如果再在前面加一个“@”字符就不会出现任何提示，以前的很多木马都通过此方法运行。

2.通过文件对比查木马

最近新出现的一种木马。它的主程序成功加载后，会将自身做为线程插入到系统进程SPOOLSV.EXE中，然后删除系统目录中的病毒文件和病毒在注册表中的启动项，以使反病毒软件和用户难以查觉，然后它会监视用户是否在进行关机和重启等操作，如果有，它就在系统关闭之前重新创建病毒文件和注册表启动项。下面的几招可以让它现出原形（下面均以Win XP系统为例）：

1）对照备份的常用进程

大家平时可以先备份一份进程列表，以便随时进行对比查找可疑进程。方法如下：开机后在进行其他操作之前即开始备份，这样可以防止其他程序加载进程。在运行中输入“cmd”，然后输入“tasklist /svc X:\processlist.txt”（提示：不包括引号，参数前要留空格，后面为文件保存路径）回车。这个命令可以显示应用程序和本地或远程系统上运行的相关任务/进程的列表。输入“tasklist /？”可以显示该命令的其它参数。

2）对照备份的系统DLL文件列表

对于没有独立进程的DLL木马怎么办吗？既然木马打的是DLL文件的主意，我们可以从这些文件下手，一般系统DLL文件都保存在system32文件夹下，我们可以对该目录下的DLL文件名等信息作一个列表，打开命令行窗口，利用CD命令进入system32目录，然后输入“dir *.dllX:\listdll.txt”敲回车，这样所有的DLL文件名都被记录到listdll.txt文件中。日后如果怀疑有木马侵入，可以再利用上面的方法备份一份文件列表“listdll2.txt”，然后利用“UltraEdit”等文本编辑工具进行对比；或者在命令行窗口进入文件保存目录，输入“fc listdll.txt listdll2.txt”，这样就可以轻松发现那些发生更改和新增的DLL文件，进而判断是否为木马文件。

3）对照已加载模块

频繁安装软件会使system32目录中的文件发生较大变化，这时可以利用对照已加载模块的方法来缩小查找范围。在“开始/运行”中输入“msinfo32.exe”打开 “系统信息”，展开“软件环境/加载的模块”，然后选择“文件/导出”把它备份成文本文件，需要时再备份一个进行对比即可。

4）查看可疑端口

所有的木马只要进行连接，接收/发送数据则必然会打开端口，DLL木马也不例外，这里我们使用netstat命令查看开启的端口。我们在命令行窗口中输入“netstat -an”显示出显示所有的连接和侦听端口。Proto是指连接使用的协议名称，Local Address是本地计算机的IP地址和连接正在使用的端口号，Foreign Address是连接该端口的远程计算机的IP地址和端口号，State则是表明TCP连接的状态。Windows XP所带的netstat命令比以前的版本多了一个-O参数，使用这个参数就可以把端口与进程对应起来。输入“netstat /？”可以显示该命令的其它参数。

接着我们可以通过分析所打开的端口，将范围缩小到具体的进程上，然后使用进程分析软件，例如《WINDOWS优化大师》目录下的WinProcess.exe程序，来查找嵌入其中的木马程序。有些木马会通过端口劫持或者端口重用的方法来进行通信的，一般它们会选择139、80等常用端口，所以大家分析时要多加注意。也可以利用网络嗅探软件（如：Commview）来了解打开的端口到底在传输些什么数据.