明察秋毫 解决病毒及后遗症

2016-04-01 09:51重剑
电脑爱好者 2016年5期
关键词:注册表右键进程

重剑

木马、病毒等的横行,催生了许多安全工具,这类工具的功能虽然主要是针对安全威胁的,但合理利用,在解决系统故障方面同样能大展手脚。

解决无法运行的软件

有不少人遇到过某款软件总是无法运行的故障,即使重装软件也无法解决。观察硬盘指示灯,明明看到在读取数据,打开任务管理器也能看到软件进程。出现这种奇怪的情况,很有可能是Windows的映像劫持功能“IFEO”(Image File Execution Options)在作祟。

想要解决这一问题,这里推荐使用PowerTool。PowerTool成功运行后,就会对当前系统的安全性进行分析扫描,一旦发现有问题的内容后就会用红色进行显示(图1)。比如我们这里已经显示出映像劫持有问题,那么点击软件窗口中的“应用层”标签,接下来再点击下面的“镜像劫持”子标签。这样就可以在列表中显示出所有的映像劫持内容,选中这些项后,右击,选择右键菜单中的“修复”按钮(图2)。当重新启动系统后,被劫持的软件即可正常运行了。

查找危险的进程

要想了解Windows系统当前的运行状况,查看当前的进程是非常重要的途径。但是通过任务管理器进行查看的话,并不能了解到所有进程的实际情况。因为有的进程被电脑病毒等进行了隐藏,而有的则是利用了线程插入技术,借用其它的进程完成操作。如何才可以更好地查看和管理这些进程信息呢?

点击PowerTool窗口中的“进程管理”标签,就可以对系统中的进程进行分析判断。为了方便普通用户的查看,软件通过不同的颜色来区分不同的进程信息。比如黑色代表Windows系统自身的进程,而蓝色则代表第三方软件的进程。除此以外,通过进程列表中的“进程类型”选项,就可以进一步显示出进程的相关介绍。如果这里没有任何显示的话,那么自然就是重点关注的项目。当我们选择一个进程以后,点击鼠标右键选择菜单中的命令,就可以对其进行管理操作。如果用户对某个进程有怀疑的话,点击“上传到Virustotal进行病毒扫描”命令,就可以对进程对应文件的安全性进行分析(图4)。如果发现该进程的确是有问题,那么点击“结束进程”命令可关闭该进程。

红色则是被进行线程插入的进程,也是需要用户重点关注的进程信息。当用户用左键选择一个进程后,在窗口下方的“模块”列表中,就可以显示出所有的模块信息。同样点击鼠标右键可以对模块文件进行管理,比如点击“检测数字签名”命令,就可以查看数字签名的真实性。如果发现数字签名有问题的话,不要直接对进程进行关闭操作。因为这些插入的进程往往是系统进程,如果直接结束进程的话,就会出现系统蓝屏的情况。我们可以在选择模块文件后,单击右键菜单选择“普通卸载模块并删除模块文件”命令,就可以在解除模块和进程的关联后删除相关的模块文件(图5)。

修复引导区

当系统出现问题后,许多人可能会选择重装系统。但是让人疑惑的是,不少刚刚安装的操作系统就有病毒,再次重装还是如此。出现这一现象可能由两种情况导致,首先就是系统里面的程序文件被感染,当用户再次运行被感染的程序后,操作系统被重新感染。其次就是病毒的源头并不在系统中,而是在磁盘的引导区中。这样在电脑启动的时候,隐藏在引导区中的病毒就会再次感染系统。要想对第二种情况进行防范,只能对磁盘的引导区进行修复才行。

点击PowerTool操作窗口中的“系统修复”标签,在出现的新窗口里面选择“主引导记录(MBR)”子标签。如果用户只安装了一块硬盘的话,那么直接点击窗口下方的“检测”按钮,软件开始对磁盘的引导区进行分析处理。如果用户使用的是双硬盘的话,那么首先在磁盘列表中选择引导区所在的硬盘,然后再点击“检测”按钮对引导区进行检查。

当引导区检测完成后,PowerTool会给出一个详细的报告,并且用不同的颜色表示出安全状况(图6)。比如引导区已经被病毒进行破坏,那么就会用红色显示出“检测到恶意代码(MBR Rootkit)”这样的提示。接着点击窗口下方的“自动修复MBR”按钮,这时软件会弹出一个提示窗口,点击“是”按钮就开始进行引导区的恢复,同时也就是进行引导区病毒的清除了。

恢复被锁定的注册表

不少病毒对系统的破坏,是在注册表中完成的。为了避免用户对篡改内容的修复,有些病毒会对注册表进行锁定,造成我们无法编辑注册表。

大部分所谓的对注册表的锁定,就是禁止用户使用Regedit编辑器。不过网上有很多第三方的注册表编辑器,其实PowerTool中也有类似的编辑器功能。

在PowerTool中切换到“注册表”标签,在“重要的注册表项”里面输入HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,再点击“快速跳转”按钮就可以找到锁定注册表的位置。

然后在右侧窗口里面找到DisableRegistryTools项,点击鼠标右键选择“删除”命令后重新启动系统。这样就可以重新使用系统的Regedit编辑器进行操作了。

小提示

★由于PowerTool这类的软件需要渗入到系统的底层,所以在运行的时候会加载一些驱动文件,因此建议大家不要将文件解压到含有中文信息的文件夹中运行。另外在运行该软件之前,最好重新启动一次系统,这样可以更好地使用该软件的功能(图3)。还有需要注意的是,一定要选择和系统对应的版本,比如32位的系统就运行32位的版本。如果不注意以上几点的话,那么在软件运行后很可能出现蓝屏的情况。

★很多病毒在进行映像劫持后,被劫持的软件进程会自动跳转到病毒文件。而我们通过右键菜单中的“修复以及删除关联文件”命令,就可以在操作的同时将病毒文件也删除掉。

猜你喜欢
注册表右键进程
轻松整理Win10右键菜单
债券市场对外开放的进程与展望
社会进程中的新闻学探寻
我国高等教育改革进程与反思
Linux僵死进程的产生与避免
学习器揭开注册表面纱