使用Windows内置工具和使用第三方杀毒软件。
(图片来源网络,侵删)
使用Windows内置安全工具
Windows自带的Windows Defender(现在称为Microsoft Defender Antivirus)功能强大,并且提供了命令行接口,非常适合在紧急情况下使用。
方法1:使用 MpCmdRun.exe (Microsoft Defender的命令行扫描器)
MpCmdRun.exe 是Windows Defender的核心命令行工具,通常位于以下路径:
C:\Program Files\Windows Defender\MpCmdRun.exe
基本扫描命令:
-
快速扫描
(图片来源网络,侵删)- 作用:扫描常见的病毒和恶意软件入口点,如内存、启动项和已下载的程序。
- 命令:
"C:\Program Files\Windows Defender\MpCmdRun.exe" -Scan -ScanType 1
- 参数说明:
-Scan: 启动扫描。-ScanType 1: 指定扫描类型为“快速扫描”。
-
全面扫描
- 作用:扫描计算机上的所有文件和程序,耗时较长,但最彻底。
- 命令:
"C:\Program Files\Windows Defender\MpCmdRun.exe" -Scan -ScanType 2
- 参数说明:
-ScanType 2: 指定扫描类型为“全面扫描”。
-
自定义扫描
- 作用:扫描你指定的特定驱动器、文件夹或文件,这在怀疑某个U盘或某个文件夹有问题时非常有用。
- 命令:
"C:\Program Files\Windows Defender\MpCmdRun.exe" -Scan -ScanType 3 -File "D:\"
- 参数说明:
-ScanType 3: 指定扫描类型为“自定义扫描”。-File "D:\": 指定要扫描的路径,可以是驱动器(如C:\)、文件夹(如D:\Games)或单个文件(如C:\test.exe)。
-
移除威胁
- 作用:在扫描完成后,自动隔离或删除检测到的威胁。
- 命令:
"C:\Program Files\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -All
- 注意:这个命令通常用于更新病毒库,但结合
-Remediate参数可以实现清除,对于日常扫描,默认行为就是处理威胁,更常用的清除方式是:"C:\Program Files\Windows Defender\MpCmdRun.exe" -Scan -Remediate -FullScan
这会执行一次全面扫描并自动修复所有找到的项目。
(图片来源网络,侵删)
方法2:使用 PowerShell (更现代的方式)
从Windows 10/11开始,Microsoft Defender提供了更简洁的PowerShell cmdlet。
-
启动快速扫描
Start-MpScan -ScanType QuickScan
-
启动全面扫描
Start-MpScan -ScanType FullScan
-
启动自定义扫描
Start-MpScan -ScanType CustomScan -Path "C:\Users\YourUser\Downloads"
-
查看扫描历史记录
Get-MpThreat
-
查看并处理隔离项
# 查看隔离区中的项目 Get-MpThreatDetection | Where-Object {$_.ResolvedState -eq 'Quarantined'} # 恢复隔离项 Get-MpThreatDetection -ThreatID 'xxxx' | Restore-MpThreat
使用第三方杀毒软件的命令行
许多主流的第三方杀毒软件也支持命令行扫描,这对于制作批处理脚本或在服务器环境中自动化任务非常有用。
常见软件示例:
卡巴斯基
卡巴斯基的命令行扫描器通常是 avp.com。
# 扫描C盘 "C:\Program Files\Kaspersky Lab\Kaspersky Security Cloud\avp.com" scan C: # 扫描指定文件夹,并发现威胁时停止 "C:\Program Files\Kaspersky Lab\Kaspersky Security Cloud\avp.com" scan D:\mydata\ /i # 扫描并尝试清除所有威胁 "C:\Program Files\Kaspersky Lab\Kaspersky Security Cloud\avp.com" scan C:\ /ad / disinfect
ESET NOD32
ESET的命令行扫描器是 egui.exe 或 cmdscan.exe。
# 扫描C盘 "C:\Program Files\ESET\ESET Security\egui.exe" /scan /ad /inprocess # 扫描U盘 (E: 盘) "C:\Program Files\ESET\ESET Security\egui.exe" /scan E:\
McAfee (迈克菲)
McAfee的命令行工具通常是 mcscli.exe。
# 扫描所有本地驱动器 "C:\Program Files\McAfee\McAfee Scanner\mcscli.exe" /scan /all
Avast (阿维斯特)
Avast的命令行扫描器是 ashcmd.exe。
# 扫描C盘 "C:\Program Files\Avast\AvastUI\ashcmd.exe" /S=C:\ /R /Q
如何查找第三方软件的命令行工具?
- 查看官方文档:最准确的方法是访问杀毒软件的官方网站,查找其“命令行扫描”、“脚本”或“高级用户”相关的文档。
- 查看安装目录:在安装目录下寻找
.exe文件,通常会有cmd、cli、scan等字样。 - 使用 参数:大多数命令行工具都支持 或
-h参数来显示帮助信息。"C:\Program Files\YourAV\scanner.exe" /?
DOS命令与病毒清除(传统但需谨慎)
在非常老的Windows版本(如Windows 98/XP)或纯DOS环境中,用户会使用一些基础的DOS命令来处理病毒,这些方法在现代Windows中已不推荐,甚至可能无效或有害。
del/erase: 删除文件。- 警告:如果误删系统文件,会导致系统崩溃,病毒通常不是单个文件,而是潜伏在多个地方,仅删除文件无法根除。
attrib: 修改文件属性(如隐藏、只读)。- 用途:有时病毒会把自己设置为隐藏、只读或系统文件,导致无法删除,可以用
attrib -r -h -s virus.exe来解除属性,然后再del。 - 警告:修改系统文件属性同样有风险。
- 用途:有时病毒会把自己设置为隐藏、只读或系统文件,导致无法删除,可以用
format: 格式化磁盘。- 用途:当整个硬盘感染了难以清除的病毒时,终极手段是格式化后重装系统。
- 警告:会清除磁盘上所有数据,不可逆!
为什么现代不推荐这些方法?
- 病毒复杂化:现代病毒是“流氓软件”,会感染系统文件、修改注册表、注入进程,单纯的文件删除无法清除。
- 系统保护:Windows有文件保护、系统还原点等机制,随意修改可能导致系统不稳定。
- 安全风险:手动操作极易出错,导致系统损坏。
总结与最佳实践
| 场景 | 推荐方法 | 优点 | 缺点 |
|---|---|---|---|
| 日常电脑,怀疑有病毒 | 使用Windows Defender图形界面或PowerShell | 简单、安全、自动处理威胁 | 无 |
| 无法进入图形界面 | 在安全模式下运行 MpCmdRun.exe |
无需图形界面,可进行深度扫描 | 需要手动输入命令 |
| 怀疑特定文件/文件夹有问题 | 使用 MpCmdRun.exe -ScanType 3 或 PowerShell自定义扫描 |
精准、快速 | 需要手动指定路径 |
| 系统管理员/自动化脚本 | 使用PowerShell cmdlet 或 第三方AV的CLI工具 | 功能强大,可自动化 | 需要一定的技术知识 |
| 老旧系统或纯DOS环境 | 谨慎使用 del, attrib, format |
最后的救命稻草 | 极其危险,数据丢失风险高 |
核心建议:
- 首选Windows Defender:对于绝大多数Windows用户,Windows Defender已经足够强大,保持其更新,并定期运行全面扫描。
- 善用命令行作为辅助:当你需要在不影响用户操作的情况下进行后台扫描,或者需要精确控制扫描范围时,命令行工具是绝佳的补充。
- 预防胜于治疗:保持系统和软件更新,不下载不明来源的软件,使用强密码,开启防火墙,这些远比事后杀毒更重要。
