如何手工清除雙進(jìn)程病毒
有一種特殊的病毒擁有雙進(jìn)程,進(jìn)程之間相互守護(hù),如何清除這種高級(jí)病毒呢?
用“冰刃”來(lái)終止病毒的進(jìn)程這種方法殺傷力強(qiáng),但對(duì)一種特殊的病毒沒(méi)有效果,那就是雙進(jìn)程病毒。對(duì)于這種特殊的病毒我們不是終止一個(gè)病毒進(jìn)程就可以搞定的,而要把兩個(gè)病毒進(jìn)程都終止。
上期我們也說(shuō)了,很多讀者朋友根本分不清什么進(jìn)程有問(wèn)題什么進(jìn)程無(wú)問(wèn)題,通過(guò)工具的幫助能找到一個(gè)病毒進(jìn)程就不錯(cuò)了,兩個(gè)病毒進(jìn)程怎么識(shí)別?會(huì)不會(huì)非常難?大家不用擔(dān)心,我們教授的方法簡(jiǎn)單易學(xué),很容易找出并終止雙進(jìn)程,剩下的掃尾工作就交給殺毒軟件吧。
雙進(jìn)程為何難清除
雙進(jìn)程病毒,是騷擾你私人領(lǐng)地(電腦)的精英怪物之一,這種怪物很像雙頭龍,擁有兩個(gè)頭或者說(shuō)擁有兩條命——擁有兩個(gè)病毒進(jìn)程。所以雙進(jìn)程病毒的生存力非常強(qiáng),在和領(lǐng)地門(mén)神殺毒軟件的戰(zhàn)斗中,時(shí)常取勝。
雙進(jìn)程病毒取勝的“奧秘”就在進(jìn)程上,兩個(gè)進(jìn)程相互守護(hù),其中一個(gè)進(jìn)程判斷另一個(gè)進(jìn)程被結(jié)束后,就將被結(jié)束的進(jìn)程立即恢復(fù)。也就是說(shuō),如果無(wú)法同時(shí)終止兩個(gè)進(jìn)程,它們就會(huì)無(wú)限復(fù)活(圖1)。
雙進(jìn)程這種病毒技術(shù),到底什么病毒用得多呢?就目前而言,下載者類(lèi)的病毒用得最多。這類(lèi)病毒的作用就是殺入你的領(lǐng)地內(nèi),然后挖一條專(zhuān)用的地道,讓病毒軍團(tuán)源源不斷地涌入,侵占你的領(lǐng)地指揮所、領(lǐng)地議事廳。
判斷病毒的雙進(jìn)程
如果利用上期介紹的方法無(wú)法徹底清除病毒,那么就要考慮是不是中了雙進(jìn)程病毒。判斷雙進(jìn)程病毒,重要的就是判斷出哪兩個(gè)進(jìn)程是相互守護(hù)的,這可是一個(gè)技術(shù)活,方法有很多種。
最簡(jiǎn)單的一種就是利用系統(tǒng)自帶命令。例如,你通過(guò)工具已經(jīng)確認(rèn)了混入議事廳里面的“奸細(xì)”就是system.exe,在任務(wù)管理器最上方的“查看”下拉菜單中選擇“選擇列”項(xiàng),在彈出窗口中勾選“PID(進(jìn)程標(biāo)志符)”(圖2)。
現(xiàn)在你就可以在任務(wù)管理器中直接查看進(jìn)程的PID了(圖3)。
看到這里,你會(huì)問(wèn):PID是什么?為什么我要看到它?PID是進(jìn)程的身份標(biāo)志(PID=進(jìn)程ID),相當(dāng)于進(jìn)程的身份證號(hào)碼。通過(guò)PID,我們可以很快找到有血緣關(guān)系的進(jìn)程。打開(kāi)CMD窗口,輸入“taskkill /im system.exe /t”命令。
命令生效后,system.exe這個(gè)病毒進(jìn)程就被終止,隨后系統(tǒng)會(huì)返回這個(gè)病毒的守護(hù)進(jìn)程的PID號(hào)碼(圖4),根據(jù)返回的PID號(hào)碼可以找到守護(hù)進(jìn)程??吹竭@里,大家是不是覺(jué)得手工殺毒并不難?
殺掉雙進(jìn)程病毒
Windows自帶的任務(wù)管理器是無(wú)法同時(shí)結(jié)束兩個(gè)進(jìn)程的,所以我們還是要用工具來(lái)清除雙進(jìn)程病毒,用的工具還是《冰刃》。先確定一個(gè)病毒進(jìn)程,然后用上述方法找到守護(hù)進(jìn)程的PID。
打開(kāi)《冰刃》,點(diǎn)擊“進(jìn)程”,通過(guò)“進(jìn)程ID”列找到兩個(gè)病毒進(jìn)程(圖5),然后結(jié)束這兩個(gè)進(jìn)程即可。這時(shí)殺毒軟件應(yīng)該可以成功運(yùn)行,剩下的病毒殘留物的清除工作就可以交給殺毒軟件來(lái)完成。
小知識(shí):如果你意猶未盡,也可以不用殺毒軟件,自己手動(dòng)清除病毒的殘留物。下載一款文件粉碎工具,運(yùn)行后點(diǎn)擊“瀏覽”按鈕,然后定位到病毒文件所在的文件夾,載入病毒文件,點(diǎn)擊“粉碎”按鈕,這樣就刪除了病毒文件