Các lệnh diệt Virus bằng tay!

Các lệnh diệt Virus bằng tay

Tổng hợp được mấy lệnh trong CMD hỗ trợ để diệt virus bằng tay. Các bạn tham khảo mấy Kungfu dòng lệnh
vi dụ cụ thể luôn:

1-TASKLIST

- Hiển thị các tiến trình có PID lớn hơn 2000(tùy chọn PID) và in ra định dạng csv: hiển thị bao gồm "Image Name","PID","Session Name","Session#","Mem Usage","Status","User Name","CPU Time","Window Title"

Tasklist /v /fi "pid gt 2000" /fo csv

In ra một file cho dễ nhìn: Tasklist /v /fi "pid gt 2000" /fo csv >hell.txt

-Để hiển thị các tiến trình với trạng thái đang chạy với các username mặc định với các username: system, network service, local service, administrator. Còn nếu bạn đang chạy trong user nào thì hiện thị với tên user đó

Tasklist /fi "USERNAME eq NT AUTHORITY\SYSTEM” /fi "STATUS eq running"
Tasklist /fi "USERNAME eq SYSTEM" /fi "STATUS eq running" <--rút gọn
Tasklist /fi “username eq ten_user_dang_dung” /fi “status eq running”
Tasklist /fi “username ne system” /f “status eq running” <--lệnh này hiển thị trạng thái đang chạy với username ko phải là system

Tasklist /v /fi "STATUS eq running" xem chỉ những tiến trình đang chạy
-Hiển thị các file DLL chạy cùng tiến trình

Tasklist /m
Tasklist /fi “modules eq ntdll*” lệnh này chỉ lọc các file dll với đầu ngữ ntdll
Tasklist /fi “modules eq dnsq.dll” chỉ hiện tiến trình chạy có dnsq.dll (con dashfer)

2-TASKKILL

-Tắt tiến trình cùng lúc với nhiều PID, name

Taskkill /f /pid id1 /pid id2 /pid id3

Vidu với các id như 1234, 243, 879: taskkill /f /pid 1234 /pid 243 /pid 879

Taskkill /f /im explorer.exe /im system.exe /im userinit.exe

-Bắt ép tắt tiến trình nào đó đang chạy với username system (vd như notepad.exe)
Taskkill /f /fi “username eq system” /im notepad.exe

-Tắt tiến trình theo dạng cây với số ID là 1234 nhưng chỉ với username nào đó (administrator chẳng hạn)
Taskkill /pid 1234 /t fi “username eq administrator”

-Tắt tiến trình với PID lớn hơn 2000 mà ko quan tâm đến tên của nó
Taskkill /f /fi “pid ge 2000” /im * <--lưu ý dấu * chỉ áp dụng lọc cho tùy chọn /im

3-TSKILL

Lệnh này cũng để tắt tiến trình nhưng với ít tính năng lọc hơn
Tskill pid
Tskill name (vi dụ: tskill explorer) <--lưu ý là ko có đuôi .exe

4-WMIC

-Hển thị tiến trình
wmic process list
wmic process list brief
wmic process list full
wmic process list brief /every:10 <-- cứ 10s lại cập nhật 1 lần (CTRL+C to end)
wmic process list brief | find "cmd.exe" <-- chỉ tìm với cmd.exe
wmic PROCESS WHERE "NOT ExecutablePath LIKE '%Windows%'" GET ExecutablePath
hiển thị các tiến trình ko nằm trong %windows%

-Hiển thị các chương trình khi khởi động
Wmic startup list brief
Wmic startup list full

-Hiển thị tên, danh sách các user
wmic USERACCOUNT WHERE "Disabled=0 AND LocalAccount=1" GET Name

-Tắt tiến trình với PID và name
Wmic process [pid] delete
Wmic process where name=’cmd.exe’ delete lưu ý: dấu ‘’ hay dấu “” đều được cả
Wmic process where name=”cmd.exe” call terminate

-Tắt một lúc nhiều tiến trình theo tên, pid
Wmic process where (name like OR name like “explorer.exe” OR name “iexplore.exe”) call terminate
Tắt 2 tiến trình có pid là 3288 và 4556
wmic process where (processid=3288 OR Processid=4556) call terminate

5-SC

Lệnh này dùng cho các services
-Truy vấn, xem các services, drivers
SC query type= services
SC query type= drivers
Hoặc xem tất cả: SC query type= all

-Tắt các dịch vụ đang chạy
SC stop schedule tắt schedule
SC stop srservice tắt system restore

- Disabled một dịch vụ nào đó
SC config schedule start= disabled
SC config srservice start= disabled
Với tên các services ở khóa HKLM\SYSTEM\CurrentControlSet\Services

6-NTSD

Theo mình biết thì lệnh này dùng để debug
Cũng ko biết nhiều về lệnh này có 2 lệnh sau dạng như tắt một tiến trình
NTSD –c q –p PID
NTSD –c q –pn name
Vd: ntsd –c q –pn explorer.exe

Chúc thành công!!!!!!!!!!

Theo: vnbb