按图索骥查杀顽固病毒

有那么多的杀毒软件，为什么还要手工查杀呢？其实杀毒软件一直非常被动，总是等新病毒出现（甚至出现很久）之后，它才能想办法

>> 按图索骥 还我权利,按图索骥 “按图索骥”轻松教学 按图索骥处理劳动纠纷 按图索骥克敌制胜 想像创新：“按图索骥”新编 按图索骥探真知 智慧管网可“按图索骥” 按图索骥再现美 教育，应该按图索骥吗 按图索骥　微软“触控”硬件未来 元数据检索按图索骥 足疗不能按图索骥 按图索骥轻松买对葡萄酒 按图索骥，七步成单 按图索骥 有的放矢 按图索骥：何为摇滚？何为先锋？ 数形结合 按图索骥李昭平 生活本不是一场按图索骥 按图索骥：图解环境问题湘教版 常见问题解答 当前所在位置：）可以看到所有文件。

举个例子，每个盘符下都有RECYCLED（回收站）这个文件夹。当你右键清空后，里面什么文件也没了。但是打开WinRAR再看看这个文件夹，就有可能找到病毒文件，比如我在自己的电脑中，通过WinRAR在回收站中发现了INFO2和desktop.ini这两个病毒文件。还有一个特殊的文件夹“D:\WINDOWS\Downloaded Program Files\”，这个文件夹常被病毒利用。你用Windows资源管理器和用WinRAR分别打开看看，比较一下内容是不是有所不同？

第3步 强制终止病毒进程

确认病毒文件确实存在了，接下来就是想办法删除它。如果病毒文件正被恶意进程调用，用普通方法是无法删除的，这时先要终止病毒进程。终止进程最简单的方法就是使用Windows的任务管理器，按Ctrl+Alt+Del组合键即可调出它，再点选“进程”选项卡，选中相应进程再单击“结束进程”即可。

不过大多数病毒进程针对Windows任务管理器做过处理，通过上面的方法可能无法终止它，这时可借助第三方工具来完成，比如瑞星卡卡的进程管理，Windows杀毒助手、冰刃IceSword和SYSCHECK等。其中的冰刃IceSword（下载地址：/soft/4523.htm）和SYSCHECK（下载地址：/cfan/200715/syscheck.rar）具有禁止进程创建功能，可以防止病毒进程和服务在终止后重新加载，这里强烈推荐。

如果能够进入安全模式我们就省事多了。安全模式下病毒的常规启动项和服务项不会加载，我们就可以顺利删除病毒文件并修复注册表，这是个理想的境界。比较顽固的病毒发作后会破坏系统进入安全模式的相关注册表项，导致不能进入安全模式，比如3448和最近很流行的AV终结者等。还有一些驱动级的病毒、木马、流氓软件，即使安全模式也会加载并保护病毒文件和注册表项不被删除。所以不能完全依赖安全模式。

火速链接：

本刊今年第6期《病毒，看你往哪里跑！》一文中，有更多关于查找隐含病毒进程的方法，大家可以找来参考一下。

第4步 使用费尔强制删除工具

如果上一步中没能成功删除病毒，这时可借助其他强力删除工具来完成，我推荐大家试试费尔强制删除工具。这款工具小巧玲珑，使用方便，可批量输入要删除的病毒文件的路径，即使隐藏文件不可显示也能删之，并可抑制文件再生。

首先从.cn/soft/down/feier%202.0.rar下载费尔木马强力清除助手。使用这个工具时，可以在输入框中直接输入文件路径，也可以点击右侧“...”浏览按钮查找，选中找到的病毒文件，点选“清除”或“清除，并抑制文件再次生成”项，再单击“开始”就可以了（见图1）。对有些病毒文件，可能会提示在重启后删除。

图1

第5步 第6步 马来杀马，毒来杀毒的Unlocker

对Unlocker这款软件，我们已多有介绍，这里只简单说一下它的使用。Unlocker安装后会自动集成到右键菜单中，在资源管理器中直接右击要删除的病毒文件，选择“Unlocker”打开一个简单的对话框，在左侧下拉菜单中选择“删除”，确定即可。有些文件的删除，会要求重新启动才能最终完成。

火速链接：

关于Unlocker的使用方法，本刊今年第8期《擒毒要擒“王”》一文也有介绍，大家可找来参考。

第7步 第8步 断绝病毒后路再删除

现在的病毒比较“智能”，当删除某个病毒文件后，它又会自动创建进程再生新的病毒文件。为了断绝病毒再生的后路，可启动IceSword，执行“文件设置”（FileSetting），选中“禁止所有进/线程创建”（Forbid all process/thread creating）项，确定即可。然后，继续使用Unlocker删除。

第9步 金蝉脱壳彻底杀病毒

如果按以上步骤操作后还是失败了，可考虑进入另外的操作系统再进行删除。如果安装了双系统，直接进入另一个系统即可，如果没有安装双系统，可如本刊第14期中所介绍的方法，制作WinPE光盘启动电脑。

第10步 给系统打一剂“免疫针”

通过上面的方法成功杀掉病毒文件后，为了避免病毒“死而复活”，可在资源管理器同一目录下，建立和病毒文件同名（包括扩展名，如果有的话）的文件夹，这样可达到免疫功能，然后再继续删除其他病毒文件。

注意：等病毒完全清除后，这些免疫文件夹可以删除。虽然可以永久保留这些免疫文件夹，但这样有可能会被360安全卫士等软件识别为流氓软件残留。

小知识:为何WinRAR看到而Windows却看不到

大家可能奇怪，为什么一些隐藏的病毒文件，使用Windows资源管理器（即使打开了显示所有文件的选项）看不到，而使用IceSword，甚至使用WinRAR和Total Command等软件时却能看到。原来Windows资源管理器在查看文件信息时，调用的是一些标准API函数，如：GetFileTitle（返回文件名）、GetFullPathName（返回文件的路径名）、GetFileInformationByHandle（返回文件信息）等，病毒可以通过钩子程序截获这些函数中传递的信息，一旦发现其中包含了病毒文件自身的信息，就会偷偷将它清除，等于说资源管理器中的文件信息已被病毒先“过滤”了一遍。但是IceSword、WinRAR、Total Command等获取文件信息的方法有些特殊（非标准API调用），病毒无法过滤，所以才会原形毕露了。

小知识:什么是进程？

每调用一个程序，比如启动Word，Windows就会为它创建一个进程。但进程并不等于程序，它更像是个大容器，把程序代码，以及运行程序所需要的东西（如各种DLL文件等）都统统装到进程里，它实际是程序运行的一个环境或场地。

Windows中的每个应用程序都必然有一个进程，病毒程序也同样如此。不过病毒程序可以截获Windows任务管理器所调用的函数并进行篡改，使得我们用正常方法可能无法查看到病毒进程，但是IceSword等第三方软件会采用特殊方法，比如直接内存块数据读取的方法来显示进程，病毒进程就不容易隐藏了。

小提示:偷梁换柱杀病毒

因为冰刃IceSword的名声太大了，最近有很多病毒在发作后，把冰刃和其他杀软都作为攻击目标，导致带“冰刃”、“IceSword”这个名字的文件都不能下载，更不能打开。这时可采用偷梁换柱的方法，下载使用现在还不太有名的SYSCHECK来替代IceSword，以应一时之急。

小提示:借用杀毒软件找出元凶

有些病毒虽然杀毒软件杀不掉，但是却能够侦测出病毒文件的位置、文件名甚至进程等信息，而这些信息正是使用本文介绍的工具的基础。

小提示:查找病毒文件的另类方法

建立与病毒同名的文件夹，这一方法可起到免疫功能，还可以附带检查出隐藏的病毒文件来。假设你已经知道了某流行病毒的常驻目录及其文件名称，可进入该目录，在空白处右击，选择“新建文件夹”，以病毒文件名（带扩展名）建立文件夹，这时如果提示：“重命名文件或文件夹时出错，指定的文件与现有文件重名....”，那就可以肯定病毒文件是存在的了。