Windows系統(tǒng)集成了很多工具,它們各司其職,滿足用戶不同的應(yīng)用需求。其實(shí)這些工具“多才多藝”,如果你有足夠的想象力并且善于挖掘,你會發(fā)現(xiàn)它們除了本行之外還可以幫我們殺毒。
一、任務(wù)管理器給病毒背后一刀
Windows任務(wù)管理器是大家對進(jìn)程進(jìn)行管理的主要工具,在它的“進(jìn)程”選項(xiàng)卡中能查看當(dāng)前系統(tǒng)進(jìn)程信息。在默認(rèn)設(shè)置下,一般只能看到映像名稱、用戶名、CPU占用、內(nèi)存使用等幾項(xiàng),而更多如I/O讀寫、虛擬內(nèi)存大小等信息卻被隱藏了起來。可別小看了這些被隱藏的信息,當(dāng)系統(tǒng)出現(xiàn)莫名其妙的故障時(shí),沒準(zhǔn)就能從它們中間找出突破口。
1.查殺會自動消失的雙進(jìn)程木馬
前段時(shí)間朋友的電腦中了某木馬,通過任務(wù)管理器查出該木馬進(jìn)程為“system.exe”,終止它后再刷新,它又會復(fù)活。進(jìn)入安全模式把c:\windows\system32\system.exe刪除,重啟后它又會重新加載,怎么也無法徹底清除它。從此現(xiàn)象來看,朋友中的應(yīng)該是雙進(jìn)程木馬。這種木馬有監(jiān)護(hù)進(jìn)程,會定時(shí)進(jìn)行掃描,一旦發(fā)現(xiàn)被監(jiān)護(hù)的進(jìn)程遭到查殺就會復(fù)活它。而且現(xiàn)在很多雙進(jìn)程木馬互為監(jiān)視,互相復(fù)活。因此查殺的關(guān)鍵是找到這“互相依靠”的兩個(gè)木馬文件。借助任務(wù)管理器的PID標(biāo)識可以找到木馬進(jìn)程。
調(diào)出Windows任務(wù)管理器,首先在“查看→選擇列”中勾選“PID(進(jìn)程標(biāo)識符)”,這樣返回任務(wù)管理器窗口后可以看到每一個(gè)進(jìn)程的PID標(biāo)識。這樣當(dāng)我們終止一個(gè)進(jìn)程,它再生后通過PID標(biāo)識就可以找到再生它的父進(jìn)程。啟動命令提示符窗口,執(zhí)行“taskkill /im system.exe /f”命令。刷新一下電腦后重新輸入上述命令如圖1,可以看到這次終止的system.exe進(jìn)程的PID為1536,它屬于PID為676的某個(gè)進(jìn)程。也就是說PID為1536的system.exe進(jìn)程是由PID為676的進(jìn)程創(chuàng)建的。返回任務(wù)管理器,通過查詢進(jìn)程PID得知它就是“internet.exe”進(jìn)程進(jìn)程。(如圖)圖1 查詢PID進(jìn)程
找到了元兇就好辦了,現(xiàn)在重新啟動系統(tǒng)進(jìn)入安全模式,使用搜索功能找到木馬文件c:\windows\internet.exe ,然后將它們刪除即可。前面無法刪除system.exe,主要是由于沒有找到internet.exe(且沒有刪除其啟動鍵值),導(dǎo)致重新進(jìn)入系統(tǒng)后internet.exe復(fù)活木馬。
2.揪出狂寫硬盤的P2P程序
單位一電腦一開機(jī)上網(wǎng)就發(fā)現(xiàn)硬盤燈一直閃個(gè)不停,硬盤狂旋轉(zhuǎn)。顯然是本機(jī)有什么程序正在進(jìn)行數(shù)據(jù)的讀取,但是反復(fù)殺毒也沒發(fā)現(xiàn)病毒、木馬等惡意程序。
打開該電腦并上網(wǎng),按Ctrl+Alt+Del鍵啟動了任務(wù)管理器,切換到“進(jìn)程”選項(xiàng)卡,點(diǎn)擊菜單命令“查看→選擇列”,同時(shí)勾選上“I/O寫入”和“I/O寫入字節(jié)”兩項(xiàng)。確定后返回任務(wù)管理器,發(fā)現(xiàn)一個(gè)陌生的進(jìn)程hidel.exe,雖然它占用的CPU和內(nèi)存并不是特別大,但是I/O的寫入量卻大得驚人,看來就是它在搗鬼了,趕緊右擊它并選擇“結(jié)束進(jìn)程”終止,果然硬盤讀寫恢復(fù)正常了。
二、系統(tǒng)備份工具殺毒于無形
筆者曾遭遇一個(gè)無法刪除的病毒“C:\Program Files\Common Files\PCSuite\rasdf.exe”,同時(shí)也無法復(fù)制這個(gè)文件,如何清除它。筆者通過系統(tǒng)備份工具清除了該病毒,操作過程如下:
第一步:單擊“開始→所有程序→附件→系統(tǒng)工具→備份”,打開備份或還原向?qū)Т翱?,備份?xiàng)目選擇“讓我選擇要備份的內(nèi)容”,定位到“C:\Program Files\Common Files\PCSuite”。
第二步:繼續(xù)執(zhí)行備份向?qū)Р僮?,將備份文件保存?ldquo;g:\virus.bkf”,備份選項(xiàng)勾選“使用卷陰影復(fù)制”,剩余操作按默認(rèn)設(shè)置完成備份。
第三步:雙擊“g:\virus.bak”,打開備份或還原向?qū)В褌浞葸€原到“g:\virus”。接著打開“g:\virus”,使用記事本打開病毒文件“rasdf.exe”,然后隨便刪除其中幾行代碼并保存,這樣病毒就被我們使用記事本破壞了(它再也無法運(yùn)行)。
第四步:操作同上,重新制作“k:\virus”的備份為“k:\virus1.bkf”。然后啟動還原向?qū)?,還原位置選擇“C:\Program Files\Common Files\PCSuite\&;,還原選項(xiàng)選擇“替換現(xiàn)有文件”。這樣,雖然當(dāng)前病毒正在運(yùn)行,但備份組件仍然可以使用壞的病毒文件替換當(dāng)前病毒。還原完成后,系統(tǒng)提示重新啟動,重啟后病毒就不會啟動了(因?yàn)樗驯挥浭卤酒茐?。
上一頁12 下一頁 閱讀全文