系統自帶不起眼但很強殺毒工具

Windows系統集成了無數的工具，它們各司其職，知足用戶不一樣的應用需求。其實這些工具「多才多藝」，若是你有足夠的想象力而且善於挖掘，你會發現它們除了本行以外還能夠幫咱們殺毒。

1、任務管理器給病毒背後一刀

Windows任務管理器是你們對進程進行管理的主要工具，在它的「進程」選項卡中能查看當前系統進程信息。在默認設置下，通常只能看到映像名稱、用戶名、CPU佔用、內存使用等幾項，而更多如I/O讀寫、虛擬內存大小等信息卻被隱藏了起來。可別小看了這些被隱藏的信息，當系統出現莫名其妙的故障時，沒準就能從它們中間找出突破口。

1.查殺會自動消失的雙進程***

前段時間朋友的電腦中了某***，經過任務管理器查出該***進程爲「system.exe」，終止它後再刷新，它又會復活。進入安全模式把c：＼windows＼system32＼system.exe刪除，重啓後它又會從新加載，怎麼也沒法完全清除它。今後現象來看，朋友中的應該是雙進程***。這種***有監護進程，會定時進行掃描，一旦發現被監護的進程遭到查殺就會復活它。並且如今不少雙進程***互爲監視，互相復活。所以查殺的關鍵是找到這「互相依靠」的兩個***文件。藉助任務管理器的PID標識能夠找到***進程。

調出Windows任務管理器，首先在「查看→選擇列」中勾選「PID（進程標識符）」，這樣返回任務管理器窗口後能夠看到每個進程的PID標識。這樣當咱們終止一個進程，它再生後經過PID標識就能夠找到再生它的父進程。啓動命令提示符窗口，執行「taskkill /im system.exe /f」命令。刷新一下電腦後從新輸入上述命令如圖1，能夠看到此次終止的system.exe進程的PID爲1536，它屬於PID爲676的某個進程。也就是說PID爲1536的system.exe進程是由PID爲676的進程建立的。返回任務管理器，經過查詢進程PID得知它就是「internet.exe」進程進程。（如圖）

圖1 查詢PID進程

找到了元兇就好辦了，如今從新啓動系統進入安全模式，使用搜索功能找到***文件c：＼windows＼internet.exe ，而後將它們刪除便可。前面沒法刪除system.exe，主要是因爲沒有找到internet.exe（且沒有刪除其啓動鍵值），致使從新進入系統後internet.exe復活***。

2.揪出狂寫硬盤的P2P程序

單位一電腦一開機上網就發現硬盤燈一直閃個不停，硬盤狂旋轉。顯然是本機有什麼程序正在進行數據的讀取，可是反覆殺毒也沒發現病毒、***等惡意程序。

打開該電腦並上網，按Ctrl+Alt+Del鍵啓動了任務管理器，切換到「進程」選項卡，點擊菜單命令「查看→選擇列」，同時勾選上「I/O寫入」和「I/O寫入字節」兩項。肯定後返回任務管理器，發現一個陌生的進程hidel.exe，雖然它佔用的CPU和內存並非特別大，可是I/O的寫入量卻大得驚人，看來就是它在搗鬼了，趕忙右擊它並選擇「結束進程」終止，果真硬盤讀寫恢復正常了。

2、系統備份工具殺毒於無形

筆者曾遭遇一個沒法刪除的病毒「C：＼Program Files＼Common Files＼PCSuite＼rasdf.exe」，同時也沒法複製這個文件，如何清除它。筆者經過系統備份工具清除了該病毒，操做過程以下：

第一步：單擊「開始→全部程序→附件→系統工具→備份」，打開備份或還原嚮導窗口，備份項目選擇「讓我選擇要備份的內容」，定位到「C：＼Program Files＼Common Files＼PCSuite」。

第二步：繼續執行備份嚮導操做，將備份文件保存爲「g：＼virus.bkf」，備份選項勾選「使用卷陰影複製」，剩餘操做按默認設置完成備份。

第三步：雙擊「g：＼virus.bak」，打開備份或還原嚮導，把備份還原到「g：＼virus」。接着打開「g：＼virus」，使用記事本打開病毒文件「rasdf.exe」，而後隨便刪除其中幾行代碼並保存，這樣病毒就被咱們使用記事本破壞了（它再也沒法運行）。

第四步：操做同上，從新制做「k：＼virus」的備份爲「k：＼virus1.bkf」。而後啓動還原嚮導，還原位置選擇「C：＼Program Files＼Common Files＼PCSuite＼」，還原選項選擇「替換現有文件」。這樣，雖然當前病毒正在運行，但備份組件仍然可使用壞的病毒文件替換當前病毒。還原完成後，系統提示從新啓動，重啓後病毒就不會啓動了（由於它已被記事本破壞）。

3、記事本借刀殺人

1.雙進程***的查殺

如今，愈來愈多的***採用雙進程守護技術保護本身，就是兩個擁有一樣功能的代碼程序，不斷地檢測對方是否已經被別人終止，若是發現對方已經被終止了，那麼又開始建立對方，這給咱們的查殺帶來很大的困難。不過，此類***也有「軟肋」，它只經過進程列表進程名稱來判斷被守護進程是否存在。這樣，咱們只要用記事本程序來替代***進程，就能夠達到「欺騙」守護進程的目的。

下面以某變種***的查殺爲例。中招該***後，***的「internet.exe」和「systemtray.exe」兩個進程會互相監視。固然，咱們中招的時候大多不知道***具體的監護進程。不過，經過進程名稱能夠知道，「systemtray.exe」是異常的進程，由於系統正常進程中沒有該進程。下面使用替換方法來查殺該***。

第一步：單擊「開始→運行」，輸入「Msinfo32」打開系統信息窗口，展開「系統摘要→軟件環境→正在運行任務」，這裏能夠看到「systemtray.exe」路徑在「C：＼Windows＼System32」下。

第二步：打開「C：＼Windows＼System32」，複製記事本程序「notepad.exe」到「D：＼」 ，同時重命名爲「systemtray.exe」。

第三步：打開記事本程序，輸入下列代碼，保存爲「shadu.bat」，放置在桌面（括號爲註釋，無須輸入）：

@echo off Taskkill /f /im systemtray.exe （使用taskkill命令強行終止「systemtray.exe」進程） Delete C：＼Windows＼System32＼systemtray.exe （刪除病毒文件） Copy d：＼systemtray.exe C：＼Windows＼System32＼（替換病毒文件）

第四步：如今只要在桌面運行「shadu.bat」，系統會將「systemtray.exe」進程終止並刪除，同時把更名的記事本程序複製到系統目錄。這樣，守護進程會「誤覺得」被守護進程還存在，它會馬上啓動一個記事本程序。

第五步：接下來咱們只要找出監視進程並刪除便可，在命令提示符輸入：

「taskkill /f /im systemtray.exe 」，將守護進程再生的「systemtray.exe」終止，能夠看到「systemtray.exe」進程是由「PID 3288的進程」建立的，打開任務管理器能夠看到「PID 3288的進程」爲「internet.exe」，這就是再生進程的「元兇」。

第六步：按照第一步方式，打開系統信息窗口能夠看到「internet.exe」也位於系統目錄，終止「internet.exe」進程並進入系統目錄把上述兩個文件刪除便可。

2.使病毒失效並刪除

你們知道，文件都是由編碼組成的，記事本程序理論上能夠打開任意文件（只不過有些會顯示爲亂碼）。咱們能夠將病毒打開方式關聯到記事本，使之啓動後變成由記事本打開，失去做惡的功能。好比，一些頑固病毒經常會在註冊表的「HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run」等啓動位置生成難以刪除的鍵值，達到惡意啓動的目的。下面使用記事原本「廢」掉病毒的生命力。

第一步：啓動命令提示符，輸入「ftype exefile=notepad.exe %1」，把全部EXE程序打開方式關聯到記事本程序，重啓系統後咱們會發現桌面自動啓動好幾個程序，這裏包括系統正常的程序如輸入法、音量調整程序等，固然也包括惡意啓動的流氓程序，不過如今都被記事本打開了。

第二步：根據記事本窗口標題找到病毒程序，好比上例的systemtray.exe程序，找到這個記事本窗口後，單擊「文件→另存爲」，咱們就能夠看到病毒具體路徑在「C：＼Windows＼System32」下。如今關掉記事本窗口，按上述路徑提示進入系統目錄刪除病毒便可。

第三步：刪除病毒後就能夠刪除病毒啓動鍵值了，接着重啓電腦，按住F8，而後在安全模式菜單選擇「帶命令提示的安全模式」，進入系統後會自動打開命令提示符。輸入「ftype exefile="%1"%*」恢復exe文件打開方式便可。

4、註冊表映像劫持讓病毒沒脾氣

如今病毒都會採用IFO的技術，通俗的講法是映像劫持，利用的是註冊表中的以下鍵值

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼Image File Execution Options位置來改變程序調用的，而病毒卻利用此處將正常的殺毒軟件給偷換成病毒程序。偏偏相反，讓咱們本身能夠利用此處欺瞞病毒***，讓它實效。可謂，瞞天過海，還治其人。

下面咱們以屏蔽某未知病毒KAVSVC.EXE爲例，操做方法以下：

第一步：先創建如下一文本文件，輸入如下內容，另存爲1.reg

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼ Image File Execution Options＼KAVSVC.EXE] "Debugger"="d：＼＼1.exe" [HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows NT＼CurrentVersion＼ Image File Execution Options＼KAVSVC.EXE] "Debugger"="d：＼＼1.exe" （注：第一行代碼下有空行。）

第二步：雙擊導入該reg文件後，肯定。

第三步：點「開始→運行」後，輸入KAVSVC.EXE。

提示：1.exe能夠是任意無用的文件，是咱們隨意建立一個文本文件後將後綴名.txt改成.exe的，

總結：當咱們飽受病毒***的折磨，在殺毒軟件無能爲力或者感受「殺雞焉用宰牛刀」時，不妨運用系統工具進行病毒***的查殺，說不定會起到意想不到的效果。