紀(jì)元

如果刪除某個(gè)文件或文件夾，系統(tǒng)出現(xiàn)了目標(biāo)文件或文件夾已被其他程序占用的提示，而事實(shí)上用戶沒有運(yùn)行任何程序時(shí)，很可能是該頑固文件被計(jì)算機(jī)后臺(tái)的某些進(jìn)程偷偷占用。要擒拿這些頑固占用文件，首先可以嘗試?yán)肳indows系統(tǒng)自身的能力來解決，這是應(yīng)對(duì)頑固“分子”無法刪除的近道。

也許用戶經(jīng)常會(huì)碰到這樣的奇怪現(xiàn)象，當(dāng)嘗試對(duì)某個(gè)文件或文件夾執(zhí)行刪除操作時(shí)，Windows系統(tǒng)就會(huì)彈出提示，告訴用戶無法執(zhí)行刪除操作，或者即使能夠成功刪除文件，但重新啟動(dòng)系統(tǒng)后被刪文件又“卷土重來”了。對(duì)于這類頑固“分子”，我們?cè)撊绾螌⑵淝苣?，成功將它們從系統(tǒng)中刪除干凈呢？

擒拿頑固占用文件

如果刪除某個(gè)文件或文件夾，系統(tǒng)出現(xiàn)了目標(biāo)文件或文件夾已被其他程序占用的提示，而事實(shí)上用戶沒有運(yùn)行任何程序時(shí)，很可能是該頑固文件被計(jì)算機(jī)后臺(tái)的某些進(jìn)程偷偷占用。要擒拿這些頑固占用文件，首先可以嘗試?yán)肳indows系統(tǒng)自身的能力來解決，這是應(yīng)對(duì)頑固“分子”無法刪除的近道。

以Windows 7系統(tǒng)為例，在擒拿頑固占用文件時(shí)，可以先使用“Ctrl+Shift+Del”快捷功能鍵，調(diào)用系統(tǒng)任務(wù)管理器窗口。選擇該窗口中的“性能”標(biāo)簽，在對(duì)應(yīng)標(biāo)簽頁面底部區(qū)域按下“打開資源監(jiān)視器”按鈕，切換到資源監(jiān)視器管理界面。點(diǎn)擊“CPU”標(biāo)簽，在該標(biāo)簽頁面“關(guān)聯(lián)的句柄”位置處，輸入處于占用狀態(tài)的文件名稱，過一會(huì)兒系統(tǒng)將會(huì)把所有與該文件相關(guān)的句柄名稱顯示出來。選中偷偷占用目標(biāo)文件的進(jìn)程選項(xiàng)，打開它的右鍵菜單，點(diǎn)擊“結(jié)束進(jìn)程”命令，就能取消幕后進(jìn)程偷偷占用目標(biāo)文件的行為。這時(shí)，再嘗試對(duì)目標(biāo)文件執(zhí)行刪除操作時(shí)，就不會(huì)出現(xiàn)操作失敗的錯(cuò)誤了。

在低版本操作系統(tǒng)中遇到頑固占用文件時(shí)，利用Windows系統(tǒng)自身的功能，往往無法直接將頑固“分子”擒拿住，這時(shí)不妨通過外力工具“PowerTool”來幫忙解決。從網(wǎng)上下載安裝好該工具，開啟它的運(yùn)行狀態(tài)，點(diǎn)擊主操作界面中的“進(jìn)程管理”標(biāo)簽，從對(duì)應(yīng)標(biāo)簽頁面中選中偷偷占用特定文件的進(jìn)程選項(xiàng)，打開它的右鍵菜單，點(diǎn)擊“結(jié)束進(jìn)程”命令，就能解除頑固占用文件的鎖定狀態(tài)了。這時(shí)，就能成功擒拿住頑固占用文件了。

當(dāng)然，如果手頭沒有專業(yè)工具可以利用，也能嘗試通過重啟Explorer進(jìn)程的方法，來擒拿頑固占用文件，因?yàn)樵谥匦聠?dòng)Explorer進(jìn)程的過程中，一切幕后程序都會(huì)被強(qiáng)行關(guān)閉掉。在進(jìn)行這類操作時(shí)，首先打開Windows系統(tǒng)任務(wù)管理器窗口，選擇“進(jìn)程”標(biāo)簽，彈出如圖1所示的標(biāo)簽設(shè)置頁面，將Explorer進(jìn)程選中，按下“結(jié)束進(jìn)程”按鈕。之后切換到“應(yīng)用程序”標(biāo)簽設(shè)置頁面中，逐一點(diǎn)選“文件”、“新建任務(wù)”選項(xiàng)，在其后彈出的文本對(duì)話框中輸入“Explorer.exe”命令，確認(rèn)后Windows系統(tǒng)又能正常工作了。這個(gè)時(shí)候，再嘗試刪除頑固占用文件，或許就能操作成功了。

擒拿頑固圖標(biāo)文件

在上網(wǎng)訪問過程中，如果不小心點(diǎn)擊到了惡意網(wǎng)站，計(jì)算機(jī)系統(tǒng)桌面上可能會(huì)同時(shí)顯示有兩個(gè)或多個(gè)IE圖標(biāo)，用鼠標(biāo)雙擊其中一個(gè)IE圖標(biāo)時(shí)，IE瀏覽器窗口頻繁彈出廣告網(wǎng)頁。嘗試用普通方法刪除該IE圖標(biāo)時(shí)，Windows系統(tǒng)總是無動(dòng)于衷。

那為什么系統(tǒng)桌面上的IE圖標(biāo)如此頑固呢？出現(xiàn)這種不正?，F(xiàn)象，很可能是IE瀏覽器遭遇到了惡意程序的襲擊。此時(shí)，嘗試用鼠標(biāo)右鍵單擊該圖標(biāo)時(shí)，右鍵菜單中只簡(jiǎn)單顯示有“打開主頁”、“屬性”、“創(chuàng)建快捷方式”等幾個(gè)命令選項(xiàng)，而不包含如圖2所示正常的右鍵菜單命令，所以我們自然就無法使用“刪除”命令直接擒拿住IE圖標(biāo)了。

用鼠標(biāo)雙擊該頑固IE圖標(biāo)時(shí)，IE瀏覽器窗口一般會(huì)打開惡意程序指定的站點(diǎn)頁面，例如筆者曾經(jīng)遇到的頑固IE圖標(biāo)，雙擊時(shí)IE瀏覽器自動(dòng)訪問“http：//www.wz155.com/？ie”網(wǎng)頁內(nèi)容。要想擒拿住這類頑固IE圖標(biāo)時(shí)，先從網(wǎng)上下載安裝專業(yè)殺毒軟件，之后啟用運(yùn)行它的清理插件和木馬查殺功能，對(duì)計(jì)算機(jī)系統(tǒng)的所有位置進(jìn)行全面、深度掃描，看看殺毒軟件能否將潛藏在暗處的惡意程序清除干凈。

如果這一招不奏效，可以依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行文本框，輸入“regedit”命令，開啟系統(tǒng)注冊(cè)表編輯器運(yùn)行狀態(tài)，逐一單擊注冊(cè)表編輯界面中的“編輯”、“查找”命令，在查找對(duì)話框的“查找目標(biāo)”文本框中，輸入頑固IE圖標(biāo)所指向的主頁面地址，例如這里輸入“www.wz155.com/？ie”關(guān)鍵字，同時(shí)將查找對(duì)話框中的“項(xiàng)”、“值”、“數(shù)據(jù)”等項(xiàng)目全部選中，按“查找下一個(gè)”按鈕，找到與關(guān)鍵字相匹配的鍵值，假設(shè)這里Windows系統(tǒng)在注冊(cè)表節(jié)點(diǎn)HKEY_LOCAL_MACHINE＼SOFTWARE＼Classes＼CLSID＼{1f4de370-d627-11d1-ba4f-00a0c91eedba}下發(fā)現(xiàn)到了“www.wz155.com/？ie”關(guān)鍵字。接著從目標(biāo)節(jié)點(diǎn)下選中“Defaulticon”子項(xiàng)，打開它的右鍵菜單，點(diǎn)擊“刪除”命令，將“Defaulticon”子項(xiàng)從系統(tǒng)注冊(cè)表中清除出去，之后重啟Windows系統(tǒng)讓上述操作生效。等系統(tǒng)重新啟動(dòng)成功后，再用普通方法刪除頑固的IE圖標(biāo)，基本上就能保證操作成功了。

當(dāng)然，有時(shí)系統(tǒng)注冊(cè)表不讓刪除有關(guān)鍵值或子項(xiàng)，這可能是因?yàn)閻阂獬绦驅(qū)ζ涮砑恿酥蛔x權(quán)限——這也是Windows系統(tǒng)桌面上的頑固IE圖標(biāo)不支持直接“刪除”操作的原因。這個(gè)時(shí)候，不妨用鼠標(biāo)右鍵單擊特定的注冊(cè)表節(jié)點(diǎn)選項(xiàng)，單擊右鍵菜單中的“權(quán)限”命令，在其后彈出的權(quán)限編輯對(duì)話框中全勾允許，同時(shí)按下“高級(jí)”按鈕，取消高級(jí)設(shè)置框中的“從父項(xiàng)繼承……”選中狀態(tài)，確認(rèn)后獲取注冊(cè)表特定節(jié)點(diǎn)刪除操作權(quán)限，之后就能按照常規(guī)方法刪除注冊(cè)表中的特定節(jié)點(diǎn)或鍵值了。

擒拿頑固病毒文件

俗話說“常在河邊走，哪有不濕手”，經(jīng)常上網(wǎng)的計(jì)算機(jī)系統(tǒng)，總會(huì)不可避免地感染網(wǎng)絡(luò)病毒。一般的網(wǎng)絡(luò)病毒，使用專業(yè)的殺毒軟件能輕松地將其清除干凈，但也有一些頑固的病毒文件，殺毒軟件無法直接刪除它們，或者即使能夠刪除它們，但在計(jì)算機(jī)系統(tǒng)重新啟動(dòng)后，它們又卷土重來了。那么這類頑固病毒文件為什么會(huì)無法刪除呢，我們又該怎樣將它們有效擒拿住呢？

頑固病毒之所以無法被輕易擒拿住，多半是它們使用了自我變形、EXE注入、DLL注入等多種自我保護(hù)技術(shù)措施。比方說，自我保護(hù)型網(wǎng)絡(luò)病毒為了防止被輕易查殺，常常會(huì)利用DLL注入手段將一個(gè)DLL文件注入到Windows系統(tǒng)的普通進(jìn)程中，同時(shí)還會(huì)生成其他進(jìn)程對(duì)其進(jìn)行悄悄保護(hù)。當(dāng)殺毒工具刪除掉其中一個(gè)病毒進(jìn)程文件后，其他與之關(guān)聯(lián)的病毒進(jìn)程在計(jì)算機(jī)系統(tǒng)重新啟動(dòng)時(shí)，又會(huì)自動(dòng)啟動(dòng)運(yùn)行，這樣之前已被刪除的病毒文件又會(huì)重新創(chuàng)建成功了，而且自動(dòng)創(chuàng)建的病毒在文件名稱上還會(huì)隨機(jī)變化，這給殺毒工具的進(jìn)一步查殺帶來了更大的難度。

要想擒拿住相互保護(hù)的頑固病毒文件，可以嘗試“請(qǐng)”Wsyscheck這款專業(yè)工具幫忙。在進(jìn)行具體擒拿操作時(shí)，先從網(wǎng)上下載安裝好Wsyscheck程序，打開該程序的主操作界面，選擇“進(jìn)程管理”標(biāo)簽，切換到如圖3所示的標(biāo)簽設(shè)置頁面，在這里能看到Windows系統(tǒng)中的所有進(jìn)程，其中非微軟進(jìn)程都以紅色字符顯示，使用了有非微軟模塊的進(jìn)程都以紫紅色字符顯示，所以那些紅色、紫紅色進(jìn)程或許會(huì)對(duì)計(jì)算機(jī)系統(tǒng)的運(yùn)行安全帶來潛在的威脅。在這里，筆者看到一個(gè)rundll32.exe進(jìn)程以紫紅色字符顯示，這個(gè)進(jìn)程就是頑固網(wǎng)絡(luò)病毒插入的進(jìn)程，檢查它的模塊路徑信息時(shí)，看到它使用DLL注入手段將genproj.dll文件注入到計(jì)算機(jī)的系統(tǒng)進(jìn)程rundll32.exe中了。再借助“PPid”，看到與該進(jìn)程關(guān)聯(lián)的還有兩個(gè)紅色字符顯示的病毒進(jìn)程，它們或許為網(wǎng)絡(luò)病毒提供自我保護(hù)的。為了將這類頑固病毒擒拿住，筆者選中了所有相關(guān)的紅色、紫紅色進(jìn)程，打開了它們的右鍵菜單，點(diǎn)擊“結(jié)束這個(gè)進(jìn)程”命令，強(qiáng)行終止掉頑固病毒進(jìn)程。

接著進(jìn)入“服務(wù)管理”標(biāo)簽設(shè)置頁面，在這里看到的以紅色、紫紅色字符顯示的系統(tǒng)服務(wù)，都是與頑固病毒相關(guān)聯(lián)的服務(wù)，將它們?nèi)窟x中，打開右鍵菜單并點(diǎn)擊“刪除選中的服務(wù)和文件”命令，強(qiáng)制刪除頑固病毒的主要文件。之后，分別進(jìn)入“安全檢查”頁面和“活動(dòng)文件”頁面，選中所有紅色、紫紅色啟動(dòng)項(xiàng)，通過右鍵菜單中的“修復(fù)所選項(xiàng)”命令，強(qiáng)制修復(fù)這些處于危險(xiǎn)狀態(tài)的啟動(dòng)項(xiàng)。修復(fù)操作結(jié)束后，進(jìn)入“重啟刪除文件”頁面，按下“添加待刪文件”按鈕，導(dǎo)入之前探測(cè)到的genproj.dll病毒文件，再點(diǎn)“執(zhí)行重啟刪除”按鈕，這時(shí)Wsyscheck工具會(huì)強(qiáng)行啟動(dòng)計(jì)算機(jī)系統(tǒng)，在啟動(dòng)過程中所有已被加載到系統(tǒng)內(nèi)存中的病毒文件將會(huì)被自動(dòng)刪除掉，這樣我們就能將頑固病毒文件從系統(tǒng)中徹底刪除掉了。

擒拿頑固媒體文件

在Windows 7系統(tǒng)中欣賞某個(gè)媒體文件時(shí)，有時(shí)會(huì)發(fā)生媒體文件無法被播放或打開的現(xiàn)象，這個(gè)時(shí)候使用普通方法嘗試刪除它時(shí)，系統(tǒng)又提示操作失敗，即使重新啟動(dòng)計(jì)算機(jī)系統(tǒng)，這種現(xiàn)象仍然存在。遇到類似這樣的頑固媒體文件時(shí)，我們究竟該如何才能擒拿住它呢？

很多媒體文件之所以不能被正確刪除，很可能是因?yàn)閃indows 7系統(tǒng)內(nèi)置的媒體預(yù)覽功能在暗中“搗亂”。在擒拿由這類因素引起的頑固媒體文件時(shí)，不妨先嘗試啟動(dòng)運(yùn)行之前播放或打開過頑固媒體文件的應(yīng)用程序，逐一點(diǎn)選“文件”、“打開”命令，在彈出的文件選擇對(duì)話框中，打開另外一個(gè)媒體文件，在播放或打開操作開始時(shí)，再用常規(guī)方法刪除頑固媒體文件，或許就能操作成功了。

要是這種方法還無法解決問題，不妨直接停用掉Windows系統(tǒng)內(nèi)置的媒體預(yù)覽功能。在進(jìn)行該操作時(shí)，依次單擊“開始”、“運(yùn)行”命令，打開系統(tǒng)運(yùn)行文本框，輸入“cmd”命令并回車，進(jìn)入DOS命令行窗口。在該窗口命令提示符狀態(tài)下，輸入字符串命令“regsvr32 /u shmedia.dll”（如圖4所示），單擊回車鍵后，媒體預(yù)覽功能就被正確停用掉了。此時(shí)，重新刪除頑固媒體文件時(shí)，操作就能成功了。以后，使用“regsvr32 shmedia.dll”命令，還能快速恢復(fù)媒體預(yù)覽功能的運(yùn)行狀態(tài)。

擒拿頑固可疑進(jìn)程

為了確保系統(tǒng)運(yùn)行安全，用戶應(yīng)該養(yǎng)成定期打開任務(wù)管理器，查看進(jìn)程頁面中是否有可疑進(jìn)程的習(xí)慣，這對(duì)預(yù)防惡意程序攻擊非常有好處！不過，有的可疑病毒木馬進(jìn)程，在任務(wù)管理器窗口中卻無法手工殺掉，這該如何是好呢？幸好Windows系統(tǒng)為用戶提供了用戶動(dòng)態(tài)調(diào)試命令Ntsd，使用該命令用戶能手工殺掉大部分頑固病毒進(jìn)程。在使用Ntsd命令擒拿頑固進(jìn)程時(shí)，可以進(jìn)行如下操作：使用“Ctrl+Alt+Delete”快捷鍵，調(diào)用系統(tǒng)任務(wù)管理器窗口，進(jìn)入進(jìn)程列表頁面，找到無法關(guān)閉的頑固進(jìn)程，記錄下該進(jìn)程的PID號(hào)碼，假設(shè)某頑固病毒進(jìn)程的PID為“3152”。接著依次單擊“開始”、“運(yùn)行”命令，彈出系統(tǒng)運(yùn)行對(duì)話框，輸入“cmd”命令，展開MS-DOS命令行窗口，執(zhí)行“ntsd -c q -p 3152”命令（如圖5所示），對(duì)應(yīng)PID為“3152”的可疑進(jìn)程就能被強(qiáng)行殺掉了，此時(shí)再打開任務(wù)管理器窗口的進(jìn)程頁面，將能看到特定頑固可疑進(jìn)程已經(jīng)消失了。

當(dāng)然，要是認(rèn)為使用DOS命令比較麻煩時(shí)，不妨從網(wǎng)上下載一些專業(yè)工具，來擒拿任務(wù)管理器窗口中殺不掉的頑固可疑進(jìn)程。目前，這方面的專業(yè)工具很多，比方說進(jìn)程殺手、IceSword、柳葉擦眼、系統(tǒng)查看大師等。一些特殊的惡意程序在發(fā)作運(yùn)行時(shí)，用戶往往不能從任務(wù)管理器窗口中發(fā)現(xiàn)惡意進(jìn)程“身影”，此時(shí)不妨通過IceSword工具，借助它的新穎內(nèi)核技術(shù)，掃描出特殊病毒的隱藏進(jìn)程，之后打開它的右鍵菜單，點(diǎn)擊“結(jié)束進(jìn)程”命令，就能將隱藏的頑固進(jìn)程終止掉了。