頑固“分子”擒拿有招

紀元

如果刪除某個文件或文件夾，系統出現了目標文件或文件夾已被其他程序占用的提示，而事實上用戶沒有運行任何程序時，很可能是該頑固文件被計算機后臺的某些進程偷偷占用。要擒拿這些頑固占用文件，首先可以嘗試利用Windows系統自身的能力來解決，這是應對頑固“分子”無法刪除的近道。

也許用戶經常會碰到這樣的奇怪現象，當嘗試對某個文件或文件夾執行刪除操作時，Windows系統就會彈出提示，告訴用戶無法執行刪除操作，或者即使能夠成功刪除文件，但重新啟動系統后被刪文件又“卷土重來”了。對于這類頑固“分子”，我們該如何將其擒拿，成功將它們從系統中刪除干凈呢？

擒拿頑固占用文件

如果刪除某個文件或文件夾，系統出現了目標文件或文件夾已被其他程序占用的提示，而事實上用戶沒有運行任何程序時，很可能是該頑固文件被計算機后臺的某些進程偷偷占用。要擒拿這些頑固占用文件，首先可以嘗試利用Windows系統自身的能力來解決，這是應對頑固“分子”無法刪除的近道。

以Windows 7系統為例，在擒拿頑固占用文件時，可以先使用“Ctrl+Shift+Del”快捷功能鍵，調用系統任務管理器窗口。選擇該窗口中的“性能”標簽，在對應標簽頁面底部區域按下“打開資源監視器”按鈕，切換到資源監視器管理界面。點擊“CPU”標簽，在該標簽頁面“關聯的句柄”位置處，輸入處于占用狀態的文件名稱，過一會兒系統將會把所有與該文件相關的句柄名稱顯示出來。選中偷偷占用目標文件的進程選項，打開它的右鍵菜單，點擊“結束進程”命令，就能取消幕后進程偷偷占用目標文件的行為。這時，再嘗試對目標文件執行刪除操作時，就不會出現操作失敗的錯誤了。

在低版本操作系統中遇到頑固占用文件時，利用Windows系統自身的功能，往往無法直接將頑固“分子”擒拿住，這時不妨通過外力工具“PowerTool”來幫忙解決。從網上下載安裝好該工具，開啟它的運行狀態，點擊主操作界面中的“進程管理”標簽，從對應標簽頁面中選中偷偷占用特定文件的進程選項，打開它的右鍵菜單，點擊“結束進程”命令，就能解除頑固占用文件的鎖定狀態了。這時，就能成功擒拿住頑固占用文件了。

當然，如果手頭沒有專業工具可以利用，也能嘗試通過重啟Explorer進程的方法，來擒拿頑固占用文件，因為在重新啟動Explorer進程的過程中，一切幕后程序都會被強行關閉掉。在進行這類操作時，首先打開Windows系統任務管理器窗口，選擇“進程”標簽，彈出如圖1所示的標簽設置頁面，將Explorer進程選中，按下“結束進程”按鈕。之后切換到“應用程序”標簽設置頁面中，逐一點選“文件”、“新建任務”選項，在其后彈出的文本對話框中輸入“Explorer.exe”命令，確認后Windows系統又能正常工作了。這個時候，再嘗試刪除頑固占用文件，或許就能操作成功了。

擒拿頑固圖標文件

在上網訪問過程中，如果不小心點擊到了惡意網站，計算機系統桌面上可能會同時顯示有兩個或多個IE圖標，用鼠標雙擊其中一個IE圖標時，IE瀏覽器窗口頻繁彈出廣告網頁。嘗試用普通方法刪除該IE圖標時，Windows系統總是無動于衷。

那為什么系統桌面上的IE圖標如此頑固呢？出現這種不正?，F象，很可能是IE瀏覽器遭遇到了惡意程序的襲擊。此時，嘗試用鼠標右鍵單擊該圖標時，右鍵菜單中只簡單顯示有“打開主頁”、“屬性”、“創建快捷方式”等幾個命令選項，而不包含如圖2所示正常的右鍵菜單命令，所以我們自然就無法使用“刪除”命令直接擒拿住IE圖標了。

用鼠標雙擊該頑固IE圖標時，IE瀏覽器窗口一般會打開惡意程序指定的站點頁面，例如筆者曾經遇到的頑固IE圖標，雙擊時IE瀏覽器自動訪問“http：//www.wz155.com/？ie”網頁內容。要想擒拿住這類頑固IE圖標時，先從網上下載安裝專業殺毒軟件，之后啟用運行它的清理插件和木馬查殺功能，對計算機系統的所有位置進行全面、深度掃描，看看殺毒軟件能否將潛藏在暗處的惡意程序清除干凈。

如果這一招不奏效，可以依次單擊“開始”、“運行”命令，彈出系統運行文本框，輸入“regedit”命令，開啟系統注冊表編輯器運行狀態，逐一單擊注冊表編輯界面中的“編輯”、“查找”命令，在查找對話框的“查找目標”文本框中，輸入頑固IE圖標所指向的主頁面地址，例如這里輸入“www.wz155.com/？ie”關鍵字，同時將查找對話框中的“項”、“值”、“數據”等項目全部選中，按“查找下一個”按鈕，找到與關鍵字相匹配的鍵值，假設這里Windows系統在注冊表節點HKEY_LOCAL_MACHINE＼SOFTWARE＼Classes＼CLSID＼{1f4de370-d627-11d1-ba4f-00a0c91eedba}下發現到了“www.wz155.com/？ie”關鍵字。接著從目標節點下選中“Defaulticon”子項，打開它的右鍵菜單，點擊“刪除”命令，將“Defaulticon”子項從系統注冊表中清除出去，之后重啟Windows系統讓上述操作生效。等系統重新啟動成功后，再用普通方法刪除頑固的IE圖標，基本上就能保證操作成功了。

當然，有時系統注冊表不讓刪除有關鍵值或子項，這可能是因為惡意程序對其添加了只讀權限——這也是Windows系統桌面上的頑固IE圖標不支持直接“刪除”操作的原因。這個時候，不妨用鼠標右鍵單擊特定的注冊表節點選項，單擊右鍵菜單中的“權限”命令，在其后彈出的權限編輯對話框中全勾允許，同時按下“高級”按鈕，取消高級設置框中的“從父項繼承……”選中狀態，確認后獲取注冊表特定節點刪除操作權限，之后就能按照常規方法刪除注冊表中的特定節點或鍵值了。

擒拿頑固病毒文件

俗話說“常在河邊走，哪有不濕手”，經常上網的計算機系統，總會不可避免地感染網絡病毒。一般的網絡病毒，使用專業的殺毒軟件能輕松地將其清除干凈，但也有一些頑固的病毒文件，殺毒軟件無法直接刪除它們，或者即使能夠刪除它們，但在計算機系統重新啟動后，它們又卷土重來了。那么這類頑固病毒文件為什么會無法刪除呢，我們又該怎樣將它們有效擒拿住呢？

頑固病毒之所以無法被輕易擒拿住，多半是它們使用了自我變形、EXE注入、DLL注入等多種自我保護技術措施。比方說，自我保護型網絡病毒為了防止被輕易查殺，常常會利用DLL注入手段將一個DLL文件注入到Windows系統的普通進程中，同時還會生成其他進程對其進行悄悄保護。當殺毒工具刪除掉其中一個病毒進程文件后，其他與之關聯的病毒進程在計算機系統重新啟動時，又會自動啟動運行，這樣之前已被刪除的病毒文件又會重新創建成功了，而且自動創建的病毒在文件名稱上還會隨機變化，這給殺毒工具的進一步查殺帶來了更大的難度。

要想擒拿住相互保護的頑固病毒文件，可以嘗試“請”Wsyscheck這款專業工具幫忙。在進行具體擒拿操作時，先從網上下載安裝好Wsyscheck程序，打開該程序的主操作界面，選擇“進程管理”標簽，切換到如圖3所示的標簽設置頁面，在這里能看到Windows系統中的所有進程，其中非微軟進程都以紅色字符顯示，使用了有非微軟模塊的進程都以紫紅色字符顯示，所以那些紅色、紫紅色進程或許會對計算機系統的運行安全帶來潛在的威脅。在這里，筆者看到一個rundll32.exe進程以紫紅色字符顯示，這個進程就是頑固網絡病毒插入的進程，檢查它的模塊路徑信息時，看到它使用DLL注入手段將genproj.dll文件注入到計算機的系統進程rundll32.exe中了。再借助“PPid”，看到與該進程關聯的還有兩個紅色字符顯示的病毒進程，它們或許為網絡病毒提供自我保護的。為了將這類頑固病毒擒拿住，筆者選中了所有相關的紅色、紫紅色進程，打開了它們的右鍵菜單，點擊“結束這個進程”命令，強行終止掉頑固病毒進程。

接著進入“服務管理”標簽設置頁面，在這里看到的以紅色、紫紅色字符顯示的系統服務，都是與頑固病毒相關聯的服務，將它們全部選中，打開右鍵菜單并點擊“刪除選中的服務和文件”命令，強制刪除頑固病毒的主要文件。之后，分別進入“安全檢查”頁面和“活動文件”頁面，選中所有紅色、紫紅色啟動項，通過右鍵菜單中的“修復所選項”命令，強制修復這些處于危險狀態的啟動項。修復操作結束后，進入“重啟刪除文件”頁面，按下“添加待刪文件”按鈕，導入之前探測到的genproj.dll病毒文件，再點“執行重啟刪除”按鈕，這時Wsyscheck工具會強行啟動計算機系統，在啟動過程中所有已被加載到系統內存中的病毒文件將會被自動刪除掉，這樣我們就能將頑固病毒文件從系統中徹底刪除掉了。

擒拿頑固媒體文件

在Windows 7系統中欣賞某個媒體文件時，有時會發生媒體文件無法被播放或打開的現象，這個時候使用普通方法嘗試刪除它時，系統又提示操作失敗，即使重新啟動計算機系統，這種現象仍然存在。遇到類似這樣的頑固媒體文件時，我們究竟該如何才能擒拿住它呢？

很多媒體文件之所以不能被正確刪除，很可能是因為Windows 7系統內置的媒體預覽功能在暗中“搗亂”。在擒拿由這類因素引起的頑固媒體文件時，不妨先嘗試啟動運行之前播放或打開過頑固媒體文件的應用程序，逐一點選“文件”、“打開”命令，在彈出的文件選擇對話框中，打開另外一個媒體文件，在播放或打開操作開始時，再用常規方法刪除頑固媒體文件，或許就能操作成功了。

要是這種方法還無法解決問題，不妨直接停用掉Windows系統內置的媒體預覽功能。在進行該操作時，依次單擊“開始”、“運行”命令，打開系統運行文本框，輸入“cmd”命令并回車，進入DOS命令行窗口。在該窗口命令提示符狀態下，輸入字符串命令“regsvr32 /u shmedia.dll”（如圖4所示），單擊回車鍵后，媒體預覽功能就被正確停用掉了。此時，重新刪除頑固媒體文件時，操作就能成功了。以后，使用“regsvr32 shmedia.dll”命令，還能快速恢復媒體預覽功能的運行狀態。

擒拿頑固可疑進程

為了確保系統運行安全，用戶應該養成定期打開任務管理器，查看進程頁面中是否有可疑進程的習慣，這對預防惡意程序攻擊非常有好處！不過，有的可疑病毒木馬進程，在任務管理器窗口中卻無法手工殺掉，這該如何是好呢？幸好Windows系統為用戶提供了用戶動態調試命令Ntsd，使用該命令用戶能手工殺掉大部分頑固病毒進程。在使用Ntsd命令擒拿頑固進程時，可以進行如下操作：使用“Ctrl+Alt+Delete”快捷鍵，調用系統任務管理器窗口，進入進程列表頁面，找到無法關閉的頑固進程，記錄下該進程的PID號碼，假設某頑固病毒進程的PID為“3152”。接著依次單擊“開始”、“運行”命令，彈出系統運行對話框，輸入“cmd”命令，展開MS-DOS命令行窗口，執行“ntsd -c q -p 3152”命令（如圖5所示），對應PID為“3152”的可疑進程就能被強行殺掉了，此時再打開任務管理器窗口的進程頁面，將能看到特定頑固可疑進程已經消失了。

當然，要是認為使用DOS命令比較麻煩時，不妨從網上下載一些專業工具，來擒拿任務管理器窗口中殺不掉的頑固可疑進程。目前，這方面的專業工具很多，比方說進程殺手、IceSword、柳葉擦眼、系統查看大師等。一些特殊的惡意程序在發作運行時，用戶往往不能從任務管理器窗口中發現惡意進程“身影”，此時不妨通過IceSword工具，借助它的新穎內核技術，掃描出特殊病毒的隱藏進程，之后打開它的右鍵菜單，點擊“結束進程”命令，就能將隱藏的頑固進程終止掉了。