Windows PE离线查杀是应对顽固病毒最有效的应急手段,包含网络PE在线查杀、离线命令行批量扫描、专用PE工具箱一键查杀、手动清除顽固病毒及误杀恢复五大方法。
当系统因顽固病毒无法正常启动、安全模式失效或常规杀毒软件无法清除感染时,使用Windows PE环境进行离线查杀是最有效的应急手段。PE运行于内存中,不加载原系统驱动与服务,可绕过病毒自保护机制直接扫描磁盘文件。以下是多种可行的PE病毒查杀方法:
一、使用网络PE+在线急救箱查杀
该方法依赖PE内置网络功能,可实时调用云端病毒库,对新型、变种及Rootkit类病毒识别率高。需确保PE已正确配置网卡驱动并能访问互联网。
1、重启电脑,在开机自检画面出现时反复按F12(或F2/ESC,依主板而定)进入启动设备选择菜单。
2、从列表中选择以“USB”或“UEFI:”开头的U盘启动项,回车进入PE系统。
3、在PE桌面双击“浏览器”图标,访问腾讯电脑管家官网或IT天空论坛下载WinPE版“360系统急救箱”或“火绒安全工具箱”。
4、下载完成后解压至桌面,右键以管理员身份运行“360SystemRepair.exe”或“HuorongPETool.exe”。
5、勾选“全盘扫描”与“深度扫描引导区及MBR”,点击“开始急救”。
6、扫描结束后,若提示存在威胁,点击“立即处理”并确认重启。
二、使用离线命令行工具批量扫描
适用于无网络环境或需自动化执行的场景。ClamWin Portable为开源免安装工具,支持递归扫描、日志记录与自动重启,无需交互即可完成基础查杀流程。
1、提前将ClamWin Portable绿色版完整解压至U盘根目录K:\sd\下,并确保病毒库已更新至最新。
2、在PE中打开记事本,输入以下命令并保存为D:\shadu.bat:
K:\sd\App\clamwin\bin\clamscan.exe --database="K:\sd\Data\db" --recursive --log=K:\scan.txt C:\ D:\ E:\
wpeutil reboot
3、使用“BAT转EXE工具”将shadu.bat编译为D:\aa.exe,确保其为合法PE可执行格式。
4、编辑PE镜像中的J:\win8\Windows\System32\Winpeshl.ini,写入:
[LaunchApp]
AppPath = d:\aa.exe
5、挂载boot.wim镜像,写入该配置文件后保存并卸载镜像,下次从该U盘启动即自动执行扫描与重启。
三、使用专用PE集成工具箱查杀
深山红叶PE、优启通等成熟PE系统已预装多款离线杀毒模块,支持一键闪电查杀、文件隔离、MBR修复与启动项清理,操作门槛低且兼容性强。
1、制作含深山红叶PE或优启通的U盘启动盘,插入目标中毒电脑。
2、开机按快捷键(常见为F12/F9/F10)调出启动菜单,选择对应U盘项进入PE。
3、桌面找到“闪电查杀”图标,点击右上角倒三角按钮,选择“全盘查杀+引导区扫描”。
4、等待扫描完成,界面弹出威胁列表后,勾选全部条目,点击“隔离并删除”。
5、查杀完毕,点击桌面“重建MBR”工具,选择系统盘(通常为Disk 0),执行写入操作。
四、手动定位并删除顽固病毒文件
针对伪装成系统文件、隐藏属性强、或已被加壳加密的病毒样本,可在PE中通过资源管理器与命令行结合方式强制定位与清除,避开运行时锁定。
1、在PE中打开“此电脑”,右键点击系统盘(如C:),选择“属性→常规→取消勾选‘隐藏受保护的操作系统文件’”,再点击“查看→显示隐藏的文件、文件夹和驱动器”。
2、进入C:\Windows\System32\,按修改日期排序,查找名称类似“svchosts.exe”“lsasss.dll”“wbemcons.exe”的异常文件。
3、打开PE内置CMD,执行:attrib -s -h -r C:\Windows\System32\svchosts.exe解除隐藏、只读与系统属性。
4、执行:del /f /q C:\Windows\System32\svchosts.exe强制删除。
5、检查C:\Users\Default\AppData\Local\Temp\及C:\ProgramData\下是否存在随机命名的.exe或.vbs文件,一并解除属性后删除。
五、恢复误杀文件与系统引导
部分杀毒工具在激进模式下可能将正常DLL或驱动误判为恶意文件并移入隔离区,需及时还原以避免系统无法启动;同时MBR或BCD损坏亦会导致黑屏或“Operating System not found”错误。
1、在PE中运行原查杀软件(如360急救箱),点击界面左下角“文件隔离区”入口。
2、在隔离列表中筛选时间范围(建议限定为本次查杀时间段),勾选确认为正常文件的条目。
3、点击“恢复选中项”,指定原始路径(如C:\Windows\System32\)后执行还原。
4、若重启后仍无法进入系统,返回PE,运行“DiskGenius”工具,选择系统盘→右键→“重建主引导记录(MBR)”→确认执行。
5、随后打开CMD,依次执行:bootrec /fixmbr、bootrec /fixboot、bootrec /rebuildbcd。
