顽固“分子”擒拿有招

纪元

如果删除某个文件或文件夹，系统出现了目标文件或文件夹已被其他程序占用的提示，而事实上用户没有运行任何程序时，很可能是该顽固文件被计算机后台的某些进程偷偷占用。要擒拿这些顽固占用文件，首先可以尝试利用Windows系统自身的能力来解决，这是应对顽固“分子”无法删除的近道。

也许用户经常会碰到这样的奇怪现象，当尝试对某个文件或文件夹执行删除操作时，Windows系统就会弹出提示，告诉用户无法执行删除操作，或者即使能够成功删除文件，但重新启动系统后被删文件又“卷土重来”了。对于这类顽固“分子”，我们该如何将其擒拿，成功将它们从系统中删除干净呢？

擒拿顽固占用文件

如果删除某个文件或文件夹，系统出现了目标文件或文件夹已被其他程序占用的提示，而事实上用户没有运行任何程序时，很可能是该顽固文件被计算机后台的某些进程偷偷占用。要擒拿这些顽固占用文件，首先可以尝试利用Windows系统自身的能力来解决，这是应对顽固“分子”无法删除的近道。

以Windows 7系统为例，在擒拿顽固占用文件时，可以先使用“Ctrl+Shift+Del”快捷功能键，调用系统任务管理器窗口。选择该窗口中的“性能”标签，在对应标签页面底部区域按下“打开资源监视器”按钮，切换到资源监视器管理界面。点击“CPU”标签，在该标签页面“关联的句柄”位置处，输入处于占用状态的文件名称，过一会儿系统将会把所有与该文件相关的句柄名称显示出来。选中偷偷占用目标文件的进程选项，打开它的右键菜单，点击“结束进程”命令，就能取消幕后进程偷偷占用目标文件的行为。这时，再尝试对目标文件执行删除操作时，就不会出现操作失败的错误了。

在低版本操作系统中遇到顽固占用文件时，利用Windows系统自身的功能，往往无法直接将顽固“分子”擒拿住，这时不妨通过外力工具“PowerTool”来帮忙解决。从网上下载安装好该工具，开启它的运行状态，点击主操作界面中的“进程管理”标签，从对应标签页面中选中偷偷占用特定文件的进程选项，打开它的右键菜单，点击“结束进程”命令，就能解除顽固占用文件的锁定状态了。这时，就能成功擒拿住顽固占用文件了。

当然，如果手头没有专业工具可以利用，也能尝试通过重启Explorer进程的方法，来擒拿顽固占用文件，因为在重新启动Explorer进程的过程中，一切幕后程序都会被强行关闭掉。在进行这类操作时，首先打开Windows系统任务管理器窗口，选择“进程”标签，弹出如图1所示的标签设置页面，将Explorer进程选中，按下“结束进程”按钮。之后切换到“应用程序”标签设置页面中，逐一点选“文件”、“新建任务”选项，在其后弹出的文本对话框中输入“Explorer.exe”命令，确认后Windows系统又能正常工作了。这个时候，再尝试删除顽固占用文件，或许就能操作成功了。

擒拿顽固图标文件

在上网访问过程中，如果不小心点击到了恶意网站，计算机系统桌面上可能会同时显示有两个或多个IE图标，用鼠标双击其中一个IE图标时，IE浏览器窗口频繁弹出广告网页。尝试用普通方法删除该IE图标时，Windows系统总是无动于衷。

那为什么系统桌面上的IE图标如此顽固呢？出现这种不正常现象，很可能是IE浏览器遭遇到了恶意程序的袭击。此时，尝试用鼠标右键单击该图标时，右键菜单中只简单显示有“打开主页”、“属性”、“创建快捷方式”等几个命令选项，而不包含如图2所示正常的右键菜单命令，所以我们自然就无法使用“删除”命令直接擒拿住IE图标了。

用鼠标双击该顽固IE图标时，IE浏览器窗口一般会打开恶意程序指定的站点页面，例如笔者曾经遇到的顽固IE图标，双击时IE浏览器自动访问“http：//www.wz155.com/？ie”网页内容。要想擒拿住这类顽固IE图标时，先从网上下载安装专业杀毒软件，之后启用运行它的清理插件和木马查杀功能，对计算机系统的所有位置进行全面、深度扫描，看看杀毒软件能否将潜藏在暗处的恶意程序清除干净。

如果这一招不奏效，可以依次单击“开始”、“运行”命令，弹出系统运行文本框，输入“regedit”命令，开启系统注册表编辑器运行状态，逐一单击注册表编辑界面中的“编辑”、“查找”命令，在查找对话框的“查找目标”文本框中，输入顽固IE图标所指向的主页面地址，例如这里输入“www.wz155.com/？ie”关键字，同时将查找对话框中的“项”、“值”、“数据”等项目全部选中，按“查找下一个”按钮，找到与关键字相匹配的键值，假设这里Windows系统在注册表节点HKEY_LOCAL_MACHINE＼SOFTWARE＼Classes＼CLSID＼{1f4de370-d627-11d1-ba4f-00a0c91eedba}下发现到了“www.wz155.com/？ie”关键字。接着从目标节点下选中“Defaulticon”子项，打开它的右键菜单，点击“删除”命令，将“Defaulticon”子项从系统注册表中清除出去，之后重启Windows系统让上述操作生效。等系统重新启动成功后，再用普通方法删除顽固的IE图标，基本上就能保证操作成功了。

当然，有时系统注册表不让删除有关键值或子项，这可能是因为恶意程序对其添加了只读权限——这也是Windows系统桌面上的顽固IE图标不支持直接“删除”操作的原因。这个时候，不妨用鼠标右键单击特定的注册表节点选项，单击右键菜单中的“权限”命令，在其后弹出的权限编辑对话框中全勾允许，同时按下“高级”按钮，取消高级设置框中的“从父项继承……”选中状态，确认后获取注册表特定节点删除操作权限，之后就能按照常规方法删除注册表中的特定节点或键值了。

擒拿顽固病毒文件

俗话说“常在河边走，哪有不湿手”，经常上网的计算机系统，总会不可避免地感染网络病毒。一般的网络病毒，使用专业的杀毒软件能轻松地将其清除干净，但也有一些顽固的病毒文件，杀毒软件无法直接删除它们，或者即使能够删除它们，但在计算机系统重新启动后，它们又卷土重来了。那么这类顽固病毒文件为什么会无法删除呢，我们又该怎样将它们有效擒拿住呢？

顽固病毒之所以无法被轻易擒拿住，多半是它们使用了自我变形、EXE注入、DLL注入等多种自我保护技术措施。比方说，自我保护型网络病毒为了防止被轻易查杀，常常会利用DLL注入手段将一个DLL文件注入到Windows系统的普通进程中，同时还会生成其他进程对其进行悄悄保护。当杀毒工具删除掉其中一个病毒进程文件后，其他与之关联的病毒进程在计算机系统重新启动时，又会自动启动运行，这样之前已被删除的病毒文件又会重新创建成功了，而且自动创建的病毒在文件名称上还会随机变化，这给杀毒工具的进一步查杀带来了更大的难度。

要想擒拿住相互保护的顽固病毒文件，可以尝试“请”Wsyscheck这款专业工具帮忙。在进行具体擒拿操作时，先从网上下载安装好Wsyscheck程序，打开该程序的主操作界面，选择“进程管理”标签，切换到如图3所示的标签设置页面，在这里能看到Windows系统中的所有进程，其中非微软进程都以红色字符显示，使用了有非微软模块的进程都以紫红色字符显示，所以那些红色、紫红色进程或许会对计算机系统的运行安全带来潜在的威胁。在这里，笔者看到一个rundll32.exe进程以紫红色字符显示，这个进程就是顽固网络病毒插入的进程，检查它的模块路径信息时，看到它使用DLL注入手段将genproj.dll文件注入到计算机的系统进程rundll32.exe中了。再借助“PPid”，看到与该进程关联的还有两个红色字符显示的病毒进程，它们或许为网络病毒提供自我保护的。为了将这类顽固病毒擒拿住，笔者选中了所有相关的红色、紫红色进程，打开了它们的右键菜单，点击“结束这个进程”命令，强行终止掉顽固病毒进程。

接着进入“服务管理”标签设置页面，在这里看到的以红色、紫红色字符显示的系统服务，都是与顽固病毒相关联的服务，将它们全部选中，打开右键菜单并点击“删除选中的服务和文件”命令，强制删除顽固病毒的主要文件。之后，分别进入“安全检查”页面和“活动文件”页面，选中所有红色、紫红色启动项，通过右键菜单中的“修复所选项”命令，强制修复这些处于危险状态的启动项。修复操作结束后，进入“重启删除文件”页面，按下“添加待删文件”按钮，导入之前探测到的genproj.dll病毒文件，再点“执行重启删除”按钮，这时Wsyscheck工具会强行启动计算机系统，在启动过程中所有已被加载到系统内存中的病毒文件将会被自动删除掉，这样我们就能将顽固病毒文件从系统中彻底删除掉了。

擒拿顽固媒体文件

在Windows 7系统中欣赏某个媒体文件时，有时会发生媒体文件无法被播放或打开的现象，这个时候使用普通方法尝试删除它时，系统又提示操作失败，即使重新启动计算机系统，这种现象仍然存在。遇到类似这样的顽固媒体文件时，我们究竟该如何才能擒拿住它呢？

很多媒体文件之所以不能被正确删除，很可能是因为Windows 7系统内置的媒体预览功能在暗中“捣乱”。在擒拿由这类因素引起的顽固媒体文件时，不妨先尝试启动运行之前播放或打开过顽固媒体文件的应用程序，逐一点选“文件”、“打开”命令，在弹出的文件选择对话框中，打开另外一个媒体文件，在播放或打开操作开始时，再用常规方法删除顽固媒体文件，或许就能操作成功了。

要是这种方法还无法解决问题，不妨直接停用掉Windows系统内置的媒体预览功能。在进行该操作时，依次单击“开始”、“运行”命令，打开系统运行文本框，输入“cmd”命令并回车，进入DOS命令行窗口。在该窗口命令提示符状态下，输入字符串命令“regsvr32 /u shmedia.dll”（如图4所示），单击回车键后，媒体预览功能就被正确停用掉了。此时，重新删除顽固媒体文件时，操作就能成功了。以后，使用“regsvr32 shmedia.dll”命令，还能快速恢复媒体预览功能的运行状态。

擒拿顽固可疑进程

为了确保系统运行安全，用户应该养成定期打开任务管理器，查看进程页面中是否有可疑进程的习惯，这对预防恶意程序攻击非常有好处！不过，有的可疑病毒木马进程，在任务管理器窗口中却无法手工杀掉，这该如何是好呢？幸好Windows系统为用户提供了用户动态调试命令Ntsd，使用该命令用户能手工杀掉大部分顽固病毒进程。在使用Ntsd命令擒拿顽固进程时，可以进行如下操作：使用“Ctrl+Alt+Delete”快捷键，调用系统任务管理器窗口，进入进程列表页面，找到无法关闭的顽固进程，记录下该进程的PID号码，假设某顽固病毒进程的PID为“3152”。接着依次单击“开始”、“运行”命令，弹出系统运行对话框，输入“cmd”命令，展开MS-DOS命令行窗口，执行“ntsd -c q -p 3152”命令（如图5所示），对应PID为“3152”的可疑进程就能被强行杀掉了，此时再打开任务管理器窗口的进程页面，将能看到特定顽固可疑进程已经消失了。

当然，要是认为使用DOS命令比较麻烦时，不妨从网上下载一些专业工具，来擒拿任务管理器窗口中杀不掉的顽固可疑进程。目前，这方面的专业工具很多，比方说进程杀手、IceSword、柳叶擦眼、系统查看大师等。一些特殊的恶意程序在发作运行时，用户往往不能从任务管理器窗口中发现恶意进程“身影”，此时不妨通过IceSword工具，借助它的新颖内核技术，扫描出特殊病毒的隐藏进程，之后打开它的右键菜单，点击“结束进程”命令，就能将隐藏的顽固进程终止掉了。