痛并快樂著

最近，有讀者說電腦中毒了好辦，要是碰到一些疑難雜癥可就麻煩了。對此我也深有體會，因為有些殺毒軟件只都負責殺毒，并不具備修復系統(tǒng)的功效，手動修復又不知從何下手。這時，就需要PowerTool這樣的系統(tǒng)修復利器來幫忙了。在2012年第1期“互聯(lián)網安全”欄目中，我們?yōu)槟I上最為實用的解決系統(tǒng)疑難雜癥的方法。

清除“鬼影”何必重裝

電腦中毒了怎么辦？用殺毒軟件殺毒唄！殺不掉怎么辦？那就重裝系統(tǒng)！誰曾想，曾經高手們屢試不爽的重裝大法，現(xiàn)在也不起作用了。這一切，都要從一個名為“鬼影”的兇殘病毒說起。

“鬼影”病毒之所以重裝系統(tǒng)都不能清除，是因為它們有一個非常重要的特性—寄生在磁盤的主引導區(qū)（MBR）當中。每當操作系統(tǒng)啟動的時候，引導區(qū)中的病毒便會早于系統(tǒng)內核先行加載，這樣病毒文件就又會被安裝到操作系統(tǒng)中了。

其實，如今已經有很多安全廠商相繼推出了“鬼影”病毒專殺工具，但是這些專殺工具并不能處理所有引導區(qū)病毒。還未走出類“鬼影”陰霾的“童鞋”們，趕緊試試修復系統(tǒng)的利器PowerTool（如圖1,下載地址：http://hi.baidu. com/ithurricane）吧！

PowerTool是一款綠色軟件，解壓后即可直接使用。首先，依次點擊“系統(tǒng)修復”→“主引導記錄（MBR）”→“檢測”，對磁盤引導區(qū)中的信息進行分析，以檢測其是否有惡意代碼或者MBR代碼被隱藏的現(xiàn)象。檢測完成后，如果發(fā)現(xiàn)有紅色的提示信息，比如“檢測到惡意代碼，請用殺毒軟件進一步確認！”（如圖2）就說明引導區(qū)已經被病毒篡改。

這時，我們點擊窗口下方的“自動修復MBR”按鈕，在彈出的提示框中選擇“是”，即可進行引導區(qū)的恢復。該恢復過程大概需要10秒鐘時間，恢復的同時程序也會自動將引導區(qū)病毒的清除。還想著重裝系統(tǒng)的“童鞋”，弱爆了！

系統(tǒng)“實權”，由我掌握

除了“鬼影”病毒這類變態(tài)，有時在清除病毒時帶來的一些小麻煩也同樣讓人撓頭，比如文件或注冊表項無法刪除等。其實，這都是因為用戶賬戶的權限不夠所致，用PowerTool仍然可以搞定。

首先，點擊“文件”標簽，在程序模擬的資源管理器中找到待刪除的文件或文件夾，并點擊鼠標右鍵。在右鍵菜單中選擇“查看被占用情況”，退出正在調用該文件的程序（如果有的話）。隨后，點擊“文件粉碎”按鈕，就能刪除指定的文件了（如圖3）。如

果遇到文件被刪除后又自動還原，我們就還需要在刪除之前選中“阻止文件還原”選項。

如今，病毒都會通過各種方式將自己隱藏，即便是在系統(tǒng)注冊表編輯器中也難覓其蹤跡，要找到它們還得用些法子。比如，點擊“注冊表”標簽，使用PowerTool所模擬的注冊表編輯器來查找和刪除病毒信息。

在該編輯器中定位到病毒所對應的注冊表項后，對其點擊鼠標右鍵，在點擊“刪除”即可。如果還是無法刪除，我們可以選擇“強制刪除”，讓程序在重新啟動電腦時將該注冊表項刪除（如圖4）。

“有文化”的流氓傷不起

也不知從何時起，一種新型的惡意程序悄然流行。它并不直接破壞系統(tǒng)文件，而是會在桌面上生成各種虛假的程序圖標，且無法刪除。有人將其稱之為“有文化”的流氓，好在我不怕！

依次點擊“離線分析”→“啟動項/流氓桌面”標簽，并在“系統(tǒng)盤符”列表中找到系統(tǒng)分區(qū)。接著，在“用戶”列表中選擇自己的系統(tǒng)登錄賬戶，點擊“分析”按鈕。這時，程序會對該登錄賬戶的啟動項以及桌面信息進行分析檢查。分析完成后，會生成一個文件列表。

在列表中，黑色代表系統(tǒng)信息，藍色代表第三方程序的相關信息。點擊“文件廠商”，我們在標注為“文件不存在”的項目上點擊鼠標右鍵，選擇“強制刪除啟動項和啟動文件”，就可以將這些亂七八糟的虛假圖標給刪除掉了（如圖5）。

神仙打架，我遭殃

我們單位有幾個軟件狂人，自詡為“軟件控”或者“版本控”，一發(fā)現(xiàn)各式各樣的軟件就下載安裝。可是他們根本不知道，軟件之間也會爭地盤打架，比如各個軟件爭奪某種文件的控制權。

最近就遇到一個朋友，同時安裝了幾款網絡存儲軟件，搞得資源管理器的進程經常崩潰。經測試，即使是關閉了部分軟件，仍不能解決問題。為了避免軟件沖突造成的系統(tǒng)不穩(wěn)定，我建議他將這些模塊手工進行卸載。

首先選擇窗口中的“進程管理”標簽，程序用不同的顏色對不同類型的進程進行了區(qū)分。比如，黑色代表系統(tǒng)進程、藍色代表軟件進程，而紅色則代表有功能模塊的進程。在此，我們只需要點擊列表中的紅色進程，在下方的“模塊”列表中就可以看到所有的模塊文件（如圖6）。

借助“文件廠商”信息，我們便可找到要卸載的模塊文件。點擊鼠標右鍵，依次選擇“全局檢索該模塊”→“檢索”，就可以分析出是哪些進程正在調用這些模塊。將這些進程選中后，點擊“強行卸載模塊”就可以將這個模塊文件從內存中卸載了（如圖7）。從此，各家軟件又“和好如初”了。