紀(jì)元

如果刪除某個文件或文件夾，系統(tǒng)出現(xiàn)了目標(biāo)文件或文件夾已被其他程序占用的提示，而事實上用戶沒有運行任何程序時，很可能是該頑固文件被計算機后臺的某些進(jìn)程偷偷占用。要擒拿這些頑固占用文件，首先可以嘗試?yán)肳indows系統(tǒng)自身的能力來解決，這是應(yīng)對頑固“分子”無法刪除的近道。

也許用戶經(jīng)常會碰到這樣的奇怪現(xiàn)象，當(dāng)嘗試對某個文件或文件夾執(zhí)行刪除操作時，Windows系統(tǒng)就會彈出提示，告訴用戶無法執(zhí)行刪除操作，或者即使能夠成功刪除文件，但重新啟動系統(tǒng)后被刪文件又“卷土重來”了。對于這類頑固“分子”，我們該如何將其擒拿，成功將它們從系統(tǒng)中刪除干凈呢？

擒拿頑固占用文件

如果刪除某個文件或文件夾，系統(tǒng)出現(xiàn)了目標(biāo)文件或文件夾已被其他程序占用的提示，而事實上用戶沒有運行任何程序時，很可能是該頑固文件被計算機后臺的某些進(jìn)程偷偷占用。要擒拿這些頑固占用文件，首先可以嘗試?yán)肳indows系統(tǒng)自身的能力來解決，這是應(yīng)對頑固“分子”無法刪除的近道。

以Windows 7系統(tǒng)為例，在擒拿頑固占用文件時，可以先使用“Ctrl+Shift+Del”快捷功能鍵，調(diào)用系統(tǒng)任務(wù)管理器窗口。選擇該窗口中的“性能”標(biāo)簽，在對應(yīng)標(biāo)簽頁面底部區(qū)域按下“打開資源監(jiān)視器”按鈕，切換到資源監(jiān)視器管理界面。點擊“CPU”標(biāo)簽，在該標(biāo)簽頁面“關(guān)聯(lián)的句柄”位置處，輸入處于占用狀態(tài)的文件名稱，過一會兒系統(tǒng)將會把所有與該文件相關(guān)的句柄名稱顯示出來。選中偷偷占用目標(biāo)文件的進(jìn)程選項，打開它的右鍵菜單，點擊“結(jié)束進(jìn)程”命令，就能取消幕后進(jìn)程偷偷占用目標(biāo)文件的行為。這時，再嘗試對目標(biāo)文件執(zhí)行刪除操作時，就不會出現(xiàn)操作失敗的錯誤了。

在低版本操作系統(tǒng)中遇到頑固占用文件時，利用Windows系統(tǒng)自身的功能，往往無法直接將頑固“分子”擒拿住，這時不妨通過外力工具“PowerTool”來幫忙解決。從網(wǎng)上下載安裝好該工具，開啟它的運行狀態(tài)，點擊主操作界面中的“進(jìn)程管理”標(biāo)簽，從對應(yīng)標(biāo)簽頁面中選中偷偷占用特定文件的進(jìn)程選項，打開它的右鍵菜單，點擊“結(jié)束進(jìn)程”命令，就能解除頑固占用文件的鎖定狀態(tài)了。這時，就能成功擒拿住頑固占用文件了。

當(dāng)然，如果手頭沒有專業(yè)工具可以利用，也能嘗試通過重啟Explorer進(jìn)程的方法，來擒拿頑固占用文件，因為在重新啟動Explorer進(jìn)程的過程中，一切幕后程序都會被強行關(guān)閉掉。在進(jìn)行這類操作時，首先打開Windows系統(tǒng)任務(wù)管理器窗口，選擇“進(jìn)程”標(biāo)簽，彈出如圖1所示的標(biāo)簽設(shè)置頁面，將Explorer進(jìn)程選中，按下“結(jié)束進(jìn)程”按鈕。之后切換到“應(yīng)用程序”標(biāo)簽設(shè)置頁面中，逐一點選“文件”、“新建任務(wù)”選項，在其后彈出的文本對話框中輸入“Explorer.exe”命令，確認(rèn)后Windows系統(tǒng)又能正常工作了。這個時候，再嘗試刪除頑固占用文件，或許就能操作成功了。

擒拿頑固圖標(biāo)文件

在上網(wǎng)訪問過程中，如果不小心點擊到了惡意網(wǎng)站，計算機系統(tǒng)桌面上可能會同時顯示有兩個或多個IE圖標(biāo)，用鼠標(biāo)雙擊其中一個IE圖標(biāo)時，IE瀏覽器窗口頻繁彈出廣告網(wǎng)頁。嘗試用普通方法刪除該IE圖標(biāo)時，Windows系統(tǒng)總是無動于衷。

那為什么系統(tǒng)桌面上的IE圖標(biāo)如此頑固呢？出現(xiàn)這種不正常現(xiàn)象，很可能是IE瀏覽器遭遇到了惡意程序的襲擊。此時，嘗試用鼠標(biāo)右鍵單擊該圖標(biāo)時，右鍵菜單中只簡單顯示有“打開主頁”、“屬性”、“創(chuàng)建快捷方式”等幾個命令選項，而不包含如圖2所示正常的右鍵菜單命令，所以我們自然就無法使用“刪除”命令直接擒拿住IE圖標(biāo)了。

用鼠標(biāo)雙擊該頑固IE圖標(biāo)時，IE瀏覽器窗口一般會打開惡意程序指定的站點頁面，例如筆者曾經(jīng)遇到的頑固IE圖標(biāo)，雙擊時IE瀏覽器自動訪問“http：//www.wz155.com/？ie”網(wǎng)頁內(nèi)容。要想擒拿住這類頑固IE圖標(biāo)時，先從網(wǎng)上下載安裝專業(yè)殺毒軟件，之后啟用運行它的清理插件和木馬查殺功能，對計算機系統(tǒng)的所有位置進(jìn)行全面、深度掃描，看看殺毒軟件能否將潛藏在暗處的惡意程序清除干凈。

如果這一招不奏效，可以依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行文本框，輸入“regedit”命令，開啟系統(tǒng)注冊表編輯器運行狀態(tài)，逐一單擊注冊表編輯界面中的“編輯”、“查找”命令，在查找對話框的“查找目標(biāo)”文本框中，輸入頑固IE圖標(biāo)所指向的主頁面地址，例如這里輸入“www.wz155.com/？ie”關(guān)鍵字，同時將查找對話框中的“項”、“值”、“數(shù)據(jù)”等項目全部選中，按“查找下一個”按鈕，找到與關(guān)鍵字相匹配的鍵值，假設(shè)這里Windows系統(tǒng)在注冊表節(jié)點HKEY_LOCAL_MACHINE＼SOFTWARE＼Classes＼CLSID＼{1f4de370-d627-11d1-ba4f-00a0c91eedba}下發(fā)現(xiàn)到了“www.wz155.com/？ie”關(guān)鍵字。接著從目標(biāo)節(jié)點下選中“Defaulticon”子項，打開它的右鍵菜單，點擊“刪除”命令，將“Defaulticon”子項從系統(tǒng)注冊表中清除出去，之后重啟Windows系統(tǒng)讓上述操作生效。等系統(tǒng)重新啟動成功后，再用普通方法刪除頑固的IE圖標(biāo)，基本上就能保證操作成功了。

當(dāng)然，有時系統(tǒng)注冊表不讓刪除有關(guān)鍵值或子項，這可能是因為惡意程序?qū)ζ涮砑恿酥蛔x權(quán)限——這也是Windows系統(tǒng)桌面上的頑固IE圖標(biāo)不支持直接“刪除”操作的原因。這個時候，不妨用鼠標(biāo)右鍵單擊特定的注冊表節(jié)點選項，單擊右鍵菜單中的“權(quán)限”命令，在其后彈出的權(quán)限編輯對話框中全勾允許，同時按下“高級”按鈕，取消高級設(shè)置框中的“從父項繼承……”選中狀態(tài)，確認(rèn)后獲取注冊表特定節(jié)點刪除操作權(quán)限，之后就能按照常規(guī)方法刪除注冊表中的特定節(jié)點或鍵值了。

擒拿頑固病毒文件

俗話說“常在河邊走，哪有不濕手”，經(jīng)常上網(wǎng)的計算機系統(tǒng)，總會不可避免地感染網(wǎng)絡(luò)病毒。一般的網(wǎng)絡(luò)病毒，使用專業(yè)的殺毒軟件能輕松地將其清除干凈，但也有一些頑固的病毒文件，殺毒軟件無法直接刪除它們，或者即使能夠刪除它們，但在計算機系統(tǒng)重新啟動后，它們又卷土重來了。那么這類頑固病毒文件為什么會無法刪除呢，我們又該怎樣將它們有效擒拿住呢？

頑固病毒之所以無法被輕易擒拿住，多半是它們使用了自我變形、EXE注入、DLL注入等多種自我保護(hù)技術(shù)措施。比方說，自我保護(hù)型網(wǎng)絡(luò)病毒為了防止被輕易查殺，常常會利用DLL注入手段將一個DLL文件注入到Windows系統(tǒng)的普通進(jìn)程中，同時還會生成其他進(jìn)程對其進(jìn)行悄悄保護(hù)。當(dāng)殺毒工具刪除掉其中一個病毒進(jìn)程文件后，其他與之關(guān)聯(lián)的病毒進(jìn)程在計算機系統(tǒng)重新啟動時，又會自動啟動運行，這樣之前已被刪除的病毒文件又會重新創(chuàng)建成功了，而且自動創(chuàng)建的病毒在文件名稱上還會隨機變化，這給殺毒工具的進(jìn)一步查殺帶來了更大的難度。

要想擒拿住相互保護(hù)的頑固病毒文件，可以嘗試“請”Wsyscheck這款專業(yè)工具幫忙。在進(jìn)行具體擒拿操作時，先從網(wǎng)上下載安裝好Wsyscheck程序，打開該程序的主操作界面，選擇“進(jìn)程管理”標(biāo)簽，切換到如圖3所示的標(biāo)簽設(shè)置頁面，在這里能看到Windows系統(tǒng)中的所有進(jìn)程，其中非微軟進(jìn)程都以紅色字符顯示，使用了有非微軟模塊的進(jìn)程都以紫紅色字符顯示，所以那些紅色、紫紅色進(jìn)程或許會對計算機系統(tǒng)的運行安全帶來潛在的威脅。在這里，筆者看到一個rundll32.exe進(jìn)程以紫紅色字符顯示，這個進(jìn)程就是頑固網(wǎng)絡(luò)病毒插入的進(jìn)程，檢查它的模塊路徑信息時，看到它使用DLL注入手段將genproj.dll文件注入到計算機的系統(tǒng)進(jìn)程rundll32.exe中了。再借助“PPid”，看到與該進(jìn)程關(guān)聯(lián)的還有兩個紅色字符顯示的病毒進(jìn)程，它們或許為網(wǎng)絡(luò)病毒提供自我保護(hù)的。為了將這類頑固病毒擒拿住，筆者選中了所有相關(guān)的紅色、紫紅色進(jìn)程，打開了它們的右鍵菜單，點擊“結(jié)束這個進(jìn)程”命令，強行終止掉頑固病毒進(jìn)程。

接著進(jìn)入“服務(wù)管理”標(biāo)簽設(shè)置頁面，在這里看到的以紅色、紫紅色字符顯示的系統(tǒng)服務(wù)，都是與頑固病毒相關(guān)聯(lián)的服務(wù)，將它們?nèi)窟x中，打開右鍵菜單并點擊“刪除選中的服務(wù)和文件”命令，強制刪除頑固病毒的主要文件。之后，分別進(jìn)入“安全檢查”頁面和“活動文件”頁面，選中所有紅色、紫紅色啟動項，通過右鍵菜單中的“修復(fù)所選項”命令，強制修復(fù)這些處于危險狀態(tài)的啟動項。修復(fù)操作結(jié)束后，進(jìn)入“重啟刪除文件”頁面，按下“添加待刪文件”按鈕，導(dǎo)入之前探測到的genproj.dll病毒文件，再點“執(zhí)行重啟刪除”按鈕，這時Wsyscheck工具會強行啟動計算機系統(tǒng)，在啟動過程中所有已被加載到系統(tǒng)內(nèi)存中的病毒文件將會被自動刪除掉，這樣我們就能將頑固病毒文件從系統(tǒng)中徹底刪除掉了。

擒拿頑固媒體文件

在Windows 7系統(tǒng)中欣賞某個媒體文件時，有時會發(fā)生媒體文件無法被播放或打開的現(xiàn)象，這個時候使用普通方法嘗試刪除它時，系統(tǒng)又提示操作失敗，即使重新啟動計算機系統(tǒng)，這種現(xiàn)象仍然存在。遇到類似這樣的頑固媒體文件時，我們究竟該如何才能擒拿住它呢？

很多媒體文件之所以不能被正確刪除，很可能是因為Windows 7系統(tǒng)內(nèi)置的媒體預(yù)覽功能在暗中“搗亂”。在擒拿由這類因素引起的頑固媒體文件時，不妨先嘗試啟動運行之前播放或打開過頑固媒體文件的應(yīng)用程序，逐一點選“文件”、“打開”命令，在彈出的文件選擇對話框中，打開另外一個媒體文件，在播放或打開操作開始時，再用常規(guī)方法刪除頑固媒體文件，或許就能操作成功了。

要是這種方法還無法解決問題，不妨直接停用掉Windows系統(tǒng)內(nèi)置的媒體預(yù)覽功能。在進(jìn)行該操作時，依次單擊“開始”、“運行”命令，打開系統(tǒng)運行文本框，輸入“cmd”命令并回車，進(jìn)入DOS命令行窗口。在該窗口命令提示符狀態(tài)下，輸入字符串命令“regsvr32 /u shmedia.dll”（如圖4所示），單擊回車鍵后，媒體預(yù)覽功能就被正確停用掉了。此時，重新刪除頑固媒體文件時，操作就能成功了。以后，使用“regsvr32 shmedia.dll”命令，還能快速恢復(fù)媒體預(yù)覽功能的運行狀態(tài)。

擒拿頑固可疑進(jìn)程

為了確保系統(tǒng)運行安全，用戶應(yīng)該養(yǎng)成定期打開任務(wù)管理器，查看進(jìn)程頁面中是否有可疑進(jìn)程的習(xí)慣，這對預(yù)防惡意程序攻擊非常有好處！不過，有的可疑病毒木馬進(jìn)程，在任務(wù)管理器窗口中卻無法手工殺掉，這該如何是好呢？幸好Windows系統(tǒng)為用戶提供了用戶動態(tài)調(diào)試命令Ntsd，使用該命令用戶能手工殺掉大部分頑固病毒進(jìn)程。在使用Ntsd命令擒拿頑固進(jìn)程時，可以進(jìn)行如下操作：使用“Ctrl+Alt+Delete”快捷鍵，調(diào)用系統(tǒng)任務(wù)管理器窗口，進(jìn)入進(jìn)程列表頁面，找到無法關(guān)閉的頑固進(jìn)程，記錄下該進(jìn)程的PID號碼，假設(shè)某頑固病毒進(jìn)程的PID為“3152”。接著依次單擊“開始”、“運行”命令，彈出系統(tǒng)運行對話框，輸入“cmd”命令，展開MS-DOS命令行窗口，執(zhí)行“ntsd -c q -p 3152”命令（如圖5所示），對應(yīng)PID為“3152”的可疑進(jìn)程就能被強行殺掉了，此時再打開任務(wù)管理器窗口的進(jìn)程頁面，將能看到特定頑固可疑進(jìn)程已經(jīng)消失了。

當(dāng)然，要是認(rèn)為使用DOS命令比較麻煩時，不妨從網(wǎng)上下載一些專業(yè)工具，來擒拿任務(wù)管理器窗口中殺不掉的頑固可疑進(jìn)程。目前，這方面的專業(yè)工具很多，比方說進(jìn)程殺手、IceSword、柳葉擦眼、系統(tǒng)查看大師等。一些特殊的惡意程序在發(fā)作運行時，用戶往往不能從任務(wù)管理器窗口中發(fā)現(xiàn)惡意進(jìn)程“身影”，此時不妨通過IceSword工具，借助它的新穎內(nèi)核技術(shù)，掃描出特殊病毒的隱藏進(jìn)程，之后打開它的右鍵菜單，點擊“結(jié)束進(jìn)程”命令，就能將隱藏的頑固進(jìn)程終止掉了。