划时代杀毒法：一个个命令让一切病毒木马瘫痪

hackersea

大家好，我为大家说一个独创的新式杀毒方法.

目录


第一部分  背景知识
第二部分  简介
第三部分  实战
第四部分  文档+下载
第五部分  后记





第一部分  背景知识

阅读本文需要有以下基础知识：

1. windows下面使用cmd（命令提示符）的方法

在桌面上依次点击“开始→运行”，然后在弹出的窗口中输入“CMD”并确认即可进入命令提示符状态。
另外一种启动命令提示符窗口的方法是，在Windows XP桌面上用鼠标左键依次点击“开始→所有程序→附件→命令提示符”就可以进入命令提示符窗口了。

2. assoc命令的使用

显示或修改文件扩展名关联。如果在没有参数的情况下使用，则 assoc 将显示所有当前文件扩展名关联的列表。

语法
assoc [.ext[=[FileType]]]

参数
.ext

指定文件扩展名。

FileType

指定要与指定的文件扩展名相关联的文件类型。

/?

在命令提示符下显示帮助。

注释
要为一个文件扩展名删除文件类型关联，请通过按空格键在等号之后创建一个空白区域。

要查看已定义了打开命令字符串的当前文件类型，请使用 ftype 命令。

要将 assoc 的输出重定向到文本文件，请使用 > 重定向操作符。


示例
要查看文件扩展名为 .txt 的当前文件类型关联，请键入：

assoc .txt


3. ftype命令的使用

在Windows中，Ftype命令用来显示及修改不同扩展名文件所关联的打开程序。相当于在注册表编辑器中修改“HKEY_CLASSES_ROOT”项下的部分内容一样。

　　Ftype的基本使用格式为：Ftype [文件类型[=[打开方式/程序]]]

　　ftype exefile=%1 %*则表示所有EXE文件本身直接运行(EXE 可以直接运行，所以用表示程序本身的%1即可)，后面的%*则表示程序命令后带的所有参数(这就是为什么EXE文件可以带参数运行的原因)。

4. taskill命令的使用

功能：结束一个或多个任务或进程。可以根据进程 ID 号或进程名来结束进程。

语法：     Taskkill [/s Computer] [/u DomainUserName [/p Password]] {/fi FilterName [{/pid ProcessID | /im ImageName}] | /pid ProcessID | /im ImageName} [/f] [/t]
　　参数：/s、/u、/p的意义与 tasklist相同。
　　/fi FilterName——指定将要终止或不终止的进程的类型；
　　/pid ProcessID——指定将终止的进程的ID号；
　　/im ImageName——指定将终止的进程名称，可使用通配符 (？和 )；
　　/f——指定将强制终止的进程。对于远程进程可忽略此参数，所有远程进程都将被强制终止。
示例:   
   强制杀死记事本进程
   taskkill  /f /im   notepad.exe

5. cmd下面的复制和粘贴

在cmd下面，用鼠标右键进行“标记”，"标记"就和“选择”等价，当右键点"标记"后，再用左键在文字上拖动进行选择.然后鼠标右键单击表示“复制”，再一次点击鼠标右键在空白区，则表示粘贴。

6. copy命令的使用

copy  c:\1.txt  d:\2.txt  /y  

命令意思： 把c盘的1.txt复制到d盘，新文件名为2.txt. /y 表示复制后，如果出现同名文件，则无提示覆盖。


第二部分  简介


现在中病毒是几乎每台windows系统经常遇到的事情了。




中病毒了，中木马了，第一步干啥？？

上网找专杀？开启杀软杀毒？到别的电脑下载，然后U盘传过来？这些杀毒方法，有一个致命的缺点，就是电脑中病毒已经运行了。

病毒有啥功能？？对抗杀软，劫持“病毒”“专杀”有关字眼，破坏专杀，U盘感染。我们要想在病毒运行的过程中杀掉病毒，困难非常大。另外，现在的病毒利用驱动技术过滤进程、文件、注册表、端口，想想都可怕。那么怎么样杀毒才最有效？

在病毒没有运行的时候，杀毒！

病毒再厉害，也需要运行后才发挥作用，我们中毒后第一件事情就是停止病毒的运行。那么怎么停止病毒的运行呢？杀病毒进程？不行，进程已经被过滤了，而且驱动在不停的监控进程。最好的方法就是在病毒被windows装载前就禁止掉。几乎所有病毒是靠后缀名来运行的，windows运行一个普通的可执行文件的时候是靠后缀名关联来运行的，{system csrss lsass smss 等系统核心进程则不是这样}

如果我们更改了病毒的后缀名关联，病毒将在重启系统后不能加载！



常见的文件关联：[CMD下操作结果]

C:\Documents and Settings\Administrator>ftype exefile
exefile="%1" %*

C:\Documents and Settings\Administrator>ftype batfile
batfile="%1" %*

C:\Documents and Settings\Administrator>ftype scrfile
scrfile="%1" /S

C:\Documents and Settings\Administrator>ftype comfile
comfile="%1" %*

C:\Documents and Settings\Administrator>ftype cmdfile
cmdfile="%1" %*

C:\Documents and Settings\Administrator>ftype vbsfile
vbsfile=%SystemRoot%\System32\WScript.exe "%1" %*

C:\Documents and Settings\Administrator>ftype jsfile
jsfile=%SystemRoot%\System32\WScript.exe "%1" %*

C:\Documents and Settings\Administrator>ftype htafile
htafile=C:\WINDOWS\system32\mshta.exe "%1" %*

C:\Documents and Settings\Administrator>ftype txtfile
txtfile=%SystemRoot%\system32\NOTEPAD.EXE %1

现在我们的思路就是，中毒的时候，首先新建立一个可执行文件类型，比如.xxx，
看下面的命令：{首先，点击开始，运行，输入cmd，回车打开！}

assoc .xxx=xxxfile
ftype xxxfile="%1" %*
copy %systemroot%\system32\cmd.exe %systemroot%\system32\cmd.xxx /y

如图:


好了，现在在开始->运行里面输入cmd.xxx,然后回车，发现了cmd运行了！


CMD运行了，我们的天空就灿烂了，现在就可以让一切病毒木马瘫痪了，木马病毒就完蛋了！

继续运行下面的命令:

assoc .exe=txtfile
assoc .com=txtfile
assoc .scr=txtfile
assoc .cmd=txtfile
assoc .bat=txtfile
assoc .vbs=txtfile
assoc .js=txtfile
assoc .hta=txtfile

我们重新启动电脑吧！exe/com/scr/cmd/bat/vbs/js/hta文件都运行不成拉！包括病毒在内，包括杀毒软件在内，重启后都运行不成拉！
这就达到了我们的目的：在病毒没有运行的时候，杀毒！

然后呢，我们怎样来运行杀毒软件呢？就是使用CMD.xxx.或者你把杀毒软件后缀名改成.xxx。不过还是建议直接用CMD.xxx。

具体方法：
点击开始->运行，输入cmd.xxx,然后进入杀毒软件的文件夹，把杀毒软件的主程序用鼠标拖到cmd窗口上，再按回车键，杀毒软件就打开拉！
如图:


现在你可以扫描系统了，现在是病毒没有运行呢。现在你可以到同学的电脑上面下载专杀了，再次强调下，
运行杀软或者专杀之前需要把杀软或者专杀的主程序拖到cmd的窗口上面，然后回车键运行！

等你确定电脑无病毒了，然后再运行下面的命令恢复后缀名关联：

assoc .exe=exefile
assoc .com=comfile
assoc .scr=scrfile
assoc .cmd=cmdfile
assoc .bat=batfile
assoc .vbs=vbsfile
assoc .js=jsfile
assoc .hta=htafile

现在你确定没有病毒了，如果有病毒的话，那么说明你的专杀拉，还有杀软拉都是废品！！！为啥呢？自己想想呗，病毒都没有运行，你们还干不掉他们？


第三部分 实战





上面的粗略介绍了原理，下面是具体的按时间顺序的实战操作步骤：【假如你已经中毒了】


首先，把命令做成一个批处理，中毒后首先运行这个批处理

assoc .xxx=xxxfile
ftype xxxfile="%%1" %%*
copy %systemroot%\system32\cmd.exe %systemroot%\system32\cmd.xxx  /y
assoc .exe=txtfile
assoc .com=txtfile
assoc .scr=txtfile
assoc .cmd=txtfile
assoc .bat=txtfile
assoc .vbs=txtfile
assoc .js=txtfile
assoc .hta=txtfile

提示：运行批处理的时候，两个百分号%%代表一个百分号%,单独在CMD里面打入命令只用一个百分号%！

然后重启电脑，重启后，很多病毒都被记事本打开了，正常的自启动文件也会被记事本打开的，不过不要怕，千万不要动那些记事本。

点击开始->运行，输入cmd.xxx,在cmd.xxx下面用这个命令就可以关闭所有的记事本拉，

taskkill.exe  /f /im notepad.exe

【可能你会问，为啥在cmd.xxx里面运行exe就可以啊，这个就要问微软了！这个就是系统的秘密咯！】

然后用杀毒软件和专杀杀毒，就是把主程序拖到cmd.xxx窗口上面然后回车运行，一定要把病毒杀的干干净净！

最后一步，重要！等病毒被杀光后，再把这个命令复制到cmd.xxx里面回车运行

assoc .exe=exefile&assoc .com=comfile&assoc .scr=scrfile&assoc .cmd=cmdfile&assoc .bat=batfile&assoc .vbs=vbsfile&assoc .js=jsfile&assoc .hta=htafile

然后呢，你的电脑就恢复到中毒前的无毒状态了，当然被病毒破坏的地方不算，这些留给杀软和辅助软件修复或者手工修复。



收尾+论功行赏：

现在我们列出立了大功的windows的自带工具

cmd.exe  以及内置的assoc命令和ftype命令

不要忘了我们自定义的.xxx和xxxfile！其实.xxx可以换成任何一个你喜欢的东西，比如.xxxx，5个x都可以。
也可以换成.123也可以.xyz随你便，只要不要被病毒知道把你的.xxx删掉就好拉！！
然后这个.xxx的文件关联呢，你想删除么？？如果下次中毒了，还可以用上哪，所以就不用删除了。

想删除的话，用这个命令就可以拉.

ftype xxxfile= & assoc .xxx=

第四部分 文档+下载

本文实用性很强，到底怎么用呢，我自制了一个压缩包，里面有我这个文章的程序，有详细的使用说明
我称之为“独创杀毒五个宝”。

文件: 独创杀毒五个宝.rar 大小: 108KB 下载: 下载

里面的具体内容我就贴上来吧：


第一个文件：![重要]使用说明.txt

注意：
如果只想测试的话，不用重启电脑，直接运行第一步，第三步，第五步(不是必须的)，第六步即可
第一步.双击“杀毒后运行.bat”

第二步.重启电脑后进入第三步
第三步.开始->运行，输入cmd.xxx，回车后就打开了CMD.xxx窗口.
或者直接双击我提供的cmd.xxx

第四步.打开"关闭notepad.txt",照里面的说明做
第五步.等那些记事本窗口关闭后，你可以把专杀或者杀软的主程序拖到CMD.xxx窗口上面运行就可以扫描病毒了,这一步是最重要的拉，一定要把最好的专杀拿上来杀毒，或者手工删除一个个病毒都可以，这个时候病毒没有运行，我们就可以轻松把病毒搞个魂飞魄散拉！
第六步.杀毒完毕后，打开"杀毒后运行.txt"，照里面的说明做
补充说明:

第六步后，系统中留下了.xxx的文件关联，你只需运行下面的命令就可以删除这个关联了。
ftype xxxfile= & assoc .xxx=

完毕！

第二个文件：杀毒前运行.bat

assoc .xxx=xxxfile
ftype xxxfile="%%1" %%*
copy %systemroot%\system32\cmd.exe %systemroot%\system32\cmd.xxx /y
assoc .exe=txtfile
assoc .com=txtfile
assoc .scr=txtfile
assoc .cmd=txtfile
assoc .bat=txtfile
assoc .vbs=txtfile
assoc .js=txtfile
assoc .hta=txtfile

第三个文件：关闭notepad.txt

把下面的东西复制然后在cmd.xxx窗口上按鼠标右键粘贴然后按回车键运行就可以关闭notepad了
taskkill.exe /f /im notepad.exe

第四个文件:杀毒后运行.txt

把下面的复制然后在cmd.xxx里面按按鼠标右键粘贴然后按回车键运行就可以拉
assoc .exe=exefile&assoc .com=comfile&assoc .scr=scrfile&assoc .cmd=cmdfile&assoc .bat=batfile&assoc .vbs=vbsfile&assoc .js=jsfile&assoc .hta=htafile

第五个文件:cmd.xxx

这个cmd.xxx就是cmd.exe改名的，呵呵，就不必贴上来了.难道要贴二进制？嘿嘿.


第五部分  后记



本文经过鄙人在windows xp上面测试过多次，可以正常使用。

不保证在vista系统的可行性，因为vista有uac，另外鄙人没有研究过vista。




本文参考了以前网络上的“记事本杀毒法”，在原文的基础更加的深入，减少了让系统瘫痪的可能性。


另外本文已经修改过很多次了，目的是让这篇文章精确、易懂、有可操作性，可以成为中毒后手工杀毒的一个思路。如果有什么问题，最好以评论的形式提出，谢谢！

记事本杀毒法原文：


=========================================================================================================

用Ftype命令让病毒白白运行遇到专杀都干不掉的病毒怎么办，这种事情经常发生，所以网友有必要学习一下手工清除方法，本文介绍了使用系统命令删除病毒的办法。

朋友电脑中了病毒，去看了一下，是个QQ病毒，由于挺长时间没有上网搜集病毒方面消息了，对这些病毒的特性也不甚了解。先打开“进程管理器”，将几个不太熟悉的程序关闭掉，但刚关掉一个，再去关闭另外一个时，刚才关闭的那个马上又运行了。没办法，决定从注册表里先把启动项删除后，再重启试试，结果，刚把那些启动项删除，然后刷新一下注册表，那些启动项又还原了，看来一般的方法是行不通了，上网下载专杀工具后，仍然不能杀掉。知道这是因为病毒正在运行，所以无法删除。

　　由于这台电脑只有一个操作系统，也没办法在另一个系统下删除这些病毒，这时怎么办呢？如果大家也遇到这种情况时，向大家推荐一种方法。

　　第一步：在“开始→运行”中输入CMD，打开“命令提示符”窗口。

　　第二步：输入ftype exefile=notepad.exe %1，这句话的意思是将所有的EXE文件用“记事本”打开。这样原来的病毒就无法启动了。

　　第三步：重启电脑，你会看见打开了许多“记事本”。当然，这其中不仅有病毒文件，还有一些原来的系统文件，比如：输入法程序。

　　第四步：右击任何文件，选择“打开方式”，然后点击“浏览”，转到Windows\System32下，选择cmd.exe，这样就可以再次打开“命令提示符”窗口。 [这个步骤新手容易看错]

　　第五步：运行ftype exefile=%1 %*，将所有的EXE文件关联还原。现在运行杀毒软件或直接改回注册表，就可以杀掉病毒了。

　　第六步：在每一个“记事本”中，点击菜单中的“文件→另存为”，就可看到了路径以及文件名了。找到病毒文件，手动删除即可，但得小心，必须确定那是病毒才能删除。建议将这些文件改名并记下，重启后，如果没有病毒作怪，也没有系统问题，再进行删除，

　　◆最后介绍一下Ftype的用法

　　在Windows中，Ftype命令用来显示及修改不同扩展名文件所关联的打开程序。相当于在注册表编辑器中修改“HKEY_CLASSES_ROOT”项下的部分内容一样。

　　Ftype的基本使用格式为：Ftype [文件类型[=[打开方式/程序]]]

　　比如：像上例中的ftype exefile=notepad.exe %1，表示将所有文件类型为EXE(exefile表示为EXE类型文件)的文件都通过“记事本”程序打开，后面的%1表示要打开的程序本身(就是双击时的那个程序)。

　　ftype exefile=%1 %*则表示所有EXE文件本身直接运行(EXE 可以直接运行，所以用表示程序本身的%1即可)，后面的%*则表示程序命令后带的所有参数(这就是为什么EXE文件可以带参数运行的原因)。
========================================================================================




欲讨论一些杀毒方面的奇技淫巧，欢迎您联系鄙人.  



QQ  501648051

[ 本帖最后由 hackersea 于 2008-11-1 10:24 编辑 ]

月光下的忍者

`刚看标题的时候，以为这个命令是：Format  C:……

hackersea

  当然不会损害系统半点皮毛了

丢三落四

楼主真是强大，这都行。太猛了。

abcoooo

看了半天，还是没看太明白。

老人家

太麻烦了 还是重装快

k53941

曾经试过了，发现开机自动运行的毒还是一样在运行，只是在开机完全登陆后双击病毒文件是用记事本打开的

skoonya

原帖由 phantom00 于 2008-10-27 22:14 发表
太麻烦了 还是重装快

ghost更快

angelzm

收下了。

z4y4

对其他文件没影响吗