系統自帶不起眼但很強殺毒工具

Windows系統內建了無數的工具，它們各司其職，滿足使用者不同的應用需求。其實這些工具“多才多藝”，如果你有足夠的想象力并且善于挖掘，你會發現它們除了本行之外還可以幫我們殺毒。

一、任務管理器給病毒背後一刀

Windows任務管理器是大家對程序進行管理的主要工具，在它的“程序”頁籤中能檢視目前系統程序資訊。在預設設定下，一般隻能看到映像名稱、使用者名、CPU占用、記憶體使用等幾項，而更多如I/O讀寫、虛拟記憶體大小等資訊卻被隐藏了起來。可别小看了這些被隐藏的資訊，當系統出現莫名其妙的故障時，沒準就能從它們中間找出突破口。

1.清除會自動消失的雙程序木馬

前段時間朋友的電腦中了某木馬，通過任務管理器查出該木馬程序為 “system.exe”，終止它後再重新整理，它又會複活。進入安全模式把c：＼windows＼system32＼system.exe删除，重新開機後它又會重新加載，怎麼也無法徹底清除它。從此現象來看，朋友中的應該是雙程序木馬。這種木馬有監護程序，會定時進行掃描，一旦發現被監護的程序遭到清除就會複活它。而且現在很多雙程序木馬互為監視，互相複活。是以清除的關鍵是找到這“互相依靠”的兩個木馬檔案。借助任務管理器的PID辨別可以找到木馬程序。

調出Windows任務管理器，首先在“檢視→選擇列”中勾選“PID（程序辨別符）”，這樣傳回任務管理器視窗後可以看到每一個程序的PID辨別。這樣當我們終止一個程序，它再生後通過PID辨別就可以找到再生它的父程序。啟動指令提示符視窗，執行“taskkill /im system.exe /f”指令。重新整理一下電腦後重新輸入上述指令如圖1，可以看到這次終止的system.exe程序的PID為1536，它屬于PID為676的某個程序。也就是說PID為1536的system.exe程序是由PID為676的程序建立的。傳回任務管理器，通過查詢程序PID得知它就是 “internet.exe”程序程序。（如圖）

圖1 查詢PID程序

找到了元兇就好辦了，現在重新啟動系統進入安全模式，使用搜尋功能找到木馬檔案c：＼ windows＼internet.exe ，然後将它們删除即可。前面無法删除system.exe，主要是由于沒有找到internet.exe（且沒有删除其啟動鍵值），導緻重新進入系統後 internet.exe複活木馬。

2.揪出狂寫硬碟的P2P程式

機關一電腦一開機上網就發現硬碟燈一直閃個不停，硬碟狂旋轉。顯然是本機有什麼程式正在進行資料的讀取，但是反複殺毒也沒發現病毒、木馬等惡意程式。

打開該電腦并上網，按Ctrl+Alt+Del鍵啟動了任務管理器，切換到“程序” 頁籤，點選菜單指令“檢視→選擇列”，同時勾選上“I/O寫入”和“I/O寫入位元組”兩項。确定後傳回任務管理器，發現一個陌生的程序 hidel.exe，雖然它占用的CPU和記憶體并不是特别大，但是I/O的寫入量卻大得驚人，看來就是它在搗鬼了，趕緊右擊它并選擇“結束程序”終止，果然硬碟讀寫恢複正常了。

二、系統備份工具殺毒于無形

筆者曾遭遇一個無法删除的病毒“C：＼Program Files＼Common Files＼PCSuite＼rasdf.exe”，同時也無法複制這個檔案，如何清除它。筆者通過系統備份工具清除了該病毒，操作過程如下：

第一步：單擊“開始→所有程式→附件→系統工具→備份”，打開備份或還原向導視窗，備份項目選擇“讓我選擇要備份的内容”，定位到“C：＼Program Files＼Common Files＼PCSuite”。

第二步：繼續執行備份向導操作，将備份檔案儲存為“g：＼virus.bkf”，備份選項勾選“使用卷陰影複制”，剩餘操作按預設設定完成備份。

第三步：輕按兩下“g：＼virus.bak”，打開備份或還原向導，把備份還原到“g：＼ virus”。接着打開“g：＼virus”，使用記事本打開病毒檔案“rasdf.exe”，然後随便删除其中幾行代碼并儲存，這樣病毒就被我們使用記事本破壞了（它再也無法運作）。

第四步：操作同上，重新制作“k：＼virus”的備份為“k：＼ virus1.bkf”。然後啟動還原向導，還原位置選擇“C：＼Program Files＼Common Files＼PCSuite＼”，還原選項選擇“替換現有檔案”。這樣，雖然目前病毒正在運作，但備份元件仍然可以使用壞的病毒檔案替換目前病毒。還原完成後，系統提示重新啟動，重新開機後病毒就不會啟動了（因為它已被記事本破壞）。

三、記事本借刀殺人

1.雙程序木馬的清除

現在，越來越多的木馬采用雙程序守護技術保護自己，就是兩個擁有同樣功能的代碼程式，不斷地檢測對方是否已經被别人終止，如果發現對方已經被終止了，那麼又開始建立對方，這給我們的清除帶來很大的困難。不過，此類木馬也有“軟肋”，它隻通過程序清單程序名稱來判斷被守護程序是否存在。這樣，我們隻要用記事本程式來替代木馬程序，就可以達到“欺騙” 守護程序的目的。

下面以某變種木馬的清除為例。中招該木馬後，木馬的 “internet.exe”和“systemtray.exe”兩個程序會互相監視。當然，我們中招的時候大多不知道木馬具體的監護程序。不過，通過程序名稱可以知道，“systemtray.exe”是異常的程序，因為系統正常程序中沒有該程序。下面使用替換方法來清除該木馬。

第一步：單擊“開始→運作”，輸入“Msinfo32”打開系統資訊視窗，展開“系統摘要→軟體環境→正在運作任務”，這裡可以看到“systemtray.exe”路徑在“C：＼Windows＼System32”下。

第二步：打開“C：＼Windows＼System32”，複制記事本程式“notepad.exe”到“D：＼” ，同時重命名為“systemtray.exe”。

第三步：打開記事本程式，輸入下列代碼，儲存為“shadu.bat”，放置在桌面（括号為注釋，無須輸入）：

@echo off

Taskkill /f /im systemtray.exe （使用taskkill指令強行終止“systemtray.exe”程序）

Delete C：＼Windows＼System32＼systemtray.exe （删除病毒檔案）

      Copy d：＼systemtray.exe C：＼Windows＼System32＼（替換病毒檔案）

第四步：現在隻要在桌面運作“shadu.bat”，系統會将“systemtray.exe”程序終止并删除，同時把改名的記事本程式複制到系統目錄。這樣，守護程序會“誤以為”被守護程序還存在，它會立刻啟動一個記事本程式。

第五步：接下來我們隻要找出監視程序并删除即可，在指令提示符輸入：

“taskkill /f /im systemtray.exe ”，将守護程序再生的“systemtray.exe”終止，可以看到“systemtray.exe”程序是由“PID 3288的程序”建立的，打開任務管理器可以看到“PID 3288的程序”為“internet.exe”，這就是再生程序的“元兇”。

第六步：按照第一步方式，打開系統資訊視窗可以看到“internet.exe”也位于系統目錄，終止“internet.exe”程序并進入系統目錄把上述兩個檔案删除即可。

2.使病毒失效并删除

大家知道，檔案都是由編碼組成的，記事本程式理論上可以打開任意檔案（隻不過有些會顯示為亂碼）。我們可以将病毒打開方式關聯到記事本，使之啟動後變成由記事本打開，失去作惡的功能。比如，一些頑固病毒常常會在系統資料庫的 “HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Run”等啟動位置生成難以删除的鍵值，達到惡意啟動的目的。下面使用記事本來“廢”掉病毒的生命力。

第一步：啟動指令提示符，輸入“ftype exefile=notepad.exe %1”，把所有EXE程式打開方式關聯到記事本程式，重新開機系統後我們會發現桌面自動啟動好幾個程式，這裡包括系統正常的程式如輸入法、音量調整程式等，當然也包括惡意啟動的流氓程式，不過現在都被記事本打開了。

第二步：根據記事本視窗标題找到病毒程式，比如上例的systemtray.exe 程式，找到這個記事本視窗後，單擊“檔案→另存為”，我們就可以看到病毒具體路徑在“C：＼Windows＼System32”下。現在關掉記事本視窗，按上述路徑提示進入系統目錄删除病毒即可。

第三步：删除病毒後就可以删除病毒啟動鍵值了，接着重新開機電腦，按住F8，然後在安全模式菜單選擇“帶指令提示的安全模式”，進入系統後會自動打開指令提示符。輸入“ftype exefile="%1"%*”恢複exe檔案打開方式即可。

四、系統資料庫映像劫持讓病毒沒脾氣

現在病毒都會采用IFO的技術，通俗的講法是映像劫持，利用的是系統資料庫中的如下鍵值

HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼ Windows NT＼CurrentVersion＼Image File Execution Options位置來改變程式調用的，而病毒卻利用此處将正常的防毒軟體給偷換成病毒程式。恰恰相反，讓我們自己可以利用此處欺瞞病毒木馬，讓它實效。可謂，瞞天過海，還治其人。

下面我們以屏蔽某未知病毒KAVSVC.EXE為例，操作方法如下：

第一步：先建立以下一文本檔案，輸入以下内容，另存為1.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KAVSVC.EXE]

"Debugger"="d：//1.exe"

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/KAVSVC.EXE]

"Debugger"="d：//1.exe"

      （注：第一行代碼下有空行。）

第二步：輕按兩下導入該reg檔案後，确定。

第三步：點“開始→運作”後，輸入KAVSVC.EXE。

提示：1.exe可以是任意無用的檔案，是我們随意建立一個文本檔案後将字尾名.txt改為.exe的，

總結：當我們飽受病毒木馬的折磨，在防毒軟體無能為力或者感覺“殺雞焉用宰牛刀”時，不妨運用系統工具進行病毒木馬的清除，說不定會起到意想不到的效果。