如何手工清除双进程病毒
有一种特殊的病毒拥有双进程,进程之间相互守护,如何清除这种高级病毒呢?
用“冰刃”来终止病毒的进程这种方法杀伤力强,但对一种特殊的病毒没有效果,那就是双进程病毒。对于这种特殊的病毒我们不是终止一个病毒进程就可以搞定的,而要把两个病毒进程都终止。
上期我们也说了,很多读者朋友根本分不清什么进程有问题什么进程无问题,通过工具的帮助能找到一个病毒进程就不错了,两个病毒进程怎么识别?会不会非常难?大家不用担心,我们教授的方法简单易学,很容易找出并终止双进程,剩下的扫尾工作就交给杀毒软件吧。
双进程为何难清除
双进程病毒,是骚扰你私人领地(电脑)的精英怪物之一,这种怪物很像双头龙,拥有两个头或者说拥有两条命——拥有两个病毒进程。所以双进程病毒的生存力非常强,在和领地门神杀毒软件的战斗中,时常取胜。
双进程病毒取胜的“奥秘”就在进程上,两个进程相互守护,其中一个进程判断另一个进程被结束后,就将被结束的进程立即恢复。也就是说,如果无法同时终止两个进程,它们就会无限复活(图1)。
双进程这种病毒技术,到底什么病毒用得多呢?就目前而言,下载者类的病毒用得最多。这类病毒的作用就是杀入你的领地内,然后挖一条专用的地道,让病毒军团源源不断地涌入,侵占你的领地指挥所、领地议事厅。
判断病毒的双进程
如果利用上期介绍的方法无法彻底清除病毒,那么就要考虑是不是中了双进程病毒。判断双进程病毒,重要的就是判断出哪两个进程是相互守护的,这可是一个技术活,方法有很多种。
最简单的一种就是利用系统自带命令。例如,你通过工具已经确认了混入议事厅里面的“奸细”就是system.exe,在任务管理器最上方的“查看”下拉菜单中选择“选择列”项,在弹出窗口中勾选“PID(进程标志符)”(图2)。
现在你就可以在任务管理器中直接查看进程的PID了(图3)。
看到这里,你会问:PID是什么?为什么我要看到它?PID是进程的身份标志(PID=进程ID),相当于进程的身份证号码。通过PID,我们可以很快找到有血缘关系的进程。打开CMD窗口,输入“taskkill /im system.exe /t”命令。
命令生效后,system.exe这个病毒进程就被终止,随后系统会返回这个病毒的守护进程的PID号码(图4),根据返回的PID号码可以找到守护进程。看到这里,大家是不是觉得手工杀毒并不难?
杀掉双进程病毒
Windows自带的任务管理器是无法同时结束两个进程的,所以我们还是要用工具来清除双进程病毒,用的工具还是《冰刃》。先确定一个病毒进程,然后用上述方法找到守护进程的PID。
打开《冰刃》,点击“进程”,通过“进程ID”列找到两个病毒进程(图5),然后结束这两个进程即可。这时杀毒软件应该可以成功运行,剩下的病毒残留物的清除工作就可以交给杀毒软件来完成。
小知识:如果你意犹未尽,也可以不用杀毒软件,自己手动清除病毒的残留物。下载一款文件粉碎工具,运行后点击“浏览”按钮,然后定位到病毒文件所在的文件夹,载入病毒文件,点击“粉碎”按钮,这样就删除了病毒文件