明察秋毫 解決病毒及后遺癥

重劍

木馬、病毒等的橫行，催生了許多安全工具，這類工具的功能雖然主要是針對安全威脅的，但合理利用，在解決系統故障方面同樣能大展手腳。

解決無法運行的軟件

有不少人遇到過某款軟件總是無法運行的故障，即使重裝軟件也無法解決。觀察硬盤指示燈，明明看到在讀取數據，打開任務管理器也能看到軟件進程。出現這種奇怪的情況，很有可能是Windows的映像劫持功能“IFEO”（Image File Execution Options）在作祟。

想要解決這一問題，這里推薦使用PowerTool。PowerTool成功運行后，就會對當前系統的安全性進行分析掃描，一旦發現有問題的內容后就會用紅色進行顯示（圖1）。比如我們這里已經顯示出映像劫持有問題，那么點擊軟件窗口中的“應用層”標簽，接下來再點擊下面的“鏡像劫持”子標簽。這樣就可以在列表中顯示出所有的映像劫持內容，選中這些項后，右擊，選擇右鍵菜單中的“修復”按鈕（圖2）。當重新啟動系統后，被劫持的軟件即可正常運行了。

查找危險的進程

要想了解Windows系統當前的運行狀況，查看當前的進程是非常重要的途徑。但是通過任務管理器進行查看的話，并不能了解到所有進程的實際情況。因為有的進程被電腦病毒等進行了隱藏，而有的則是利用了線程插入技術，借用其它的進程完成操作。如何才可以更好地查看和管理這些進程信息呢？

點擊PowerTool窗口中的“進程管理”標簽，就可以對系統中的進程進行分析判斷。為了方便普通用戶的查看，軟件通過不同的顏色來區分不同的進程信息。比如黑色代表Windows系統自身的進程，而藍色則代表第三方軟件的進程。除此以外，通過進程列表中的“進程類型”選項，就可以進一步顯示出進程的相關介紹。如果這里沒有任何顯示的話，那么自然就是重點關注的項目。當我們選擇一個進程以后，點擊鼠標右鍵選擇菜單中的命令，就可以對其進行管理操作。如果用戶對某個進程有懷疑的話，點擊“上傳到Virustotal進行病毒掃描”命令，就可以對進程對應文件的安全性進行分析（圖4）。如果發現該進程的確是有問題，那么點擊“結束進程”命令可關閉該進程。

紅色則是被進行線程插入的進程，也是需要用戶重點關注的進程信息。當用戶用左鍵選擇一個進程后，在窗口下方的“模塊”列表中，就可以顯示出所有的模塊信息。同樣點擊鼠標右鍵可以對模塊文件進行管理，比如點擊“檢測數字簽名”命令，就可以查看數字簽名的真實性。如果發現數字簽名有問題的話，不要直接對進程進行關閉操作。因為這些插入的進程往往是系統進程，如果直接結束進程的話，就會出現系統藍屏的情況。我們可以在選擇模塊文件后，單擊右鍵菜單選擇“普通卸載模塊并刪除模塊文件”命令，就可以在解除模塊和進程的關聯后刪除相關的模塊文件（圖5）。

修復引導區

當系統出現問題后，許多人可能會選擇重裝系統。但是讓人疑惑的是，不少剛剛安裝的操作系統就有病毒，再次重裝還是如此。出現這一現象可能由兩種情況導致，首先就是系統里面的程序文件被感染，當用戶再次運行被感染的程序后，操作系統被重新感染。其次就是病毒的源頭并不在系統中，而是在磁盤的引導區中。這樣在電腦啟動的時候，隱藏在引導區中的病毒就會再次感染系統。要想對第二種情況進行防范，只能對磁盤的引導區進行修復才行。

點擊PowerTool操作窗口中的“系統修復”標簽，在出現的新窗口里面選擇“主引導記錄（MBR）”子標簽。如果用戶只安裝了一塊硬盤的話，那么直接點擊窗口下方的“檢測”按鈕，軟件開始對磁盤的引導區進行分析處理。如果用戶使用的是雙硬盤的話，那么首先在磁盤列表中選擇引導區所在的硬盤，然后再點擊“檢測”按鈕對引導區進行檢查。

當引導區檢測完成后，PowerTool會給出一個詳細的報告，并且用不同的顏色表示出安全狀況（圖6）。比如引導區已經被病毒進行破壞，那么就會用紅色顯示出“檢測到惡意代碼（MBR Rootkit）”這樣的提示。接著點擊窗口下方的“自動修復MBR”按鈕，這時軟件會彈出一個提示窗口，點擊“是”按鈕就開始進行引導區的恢復，同時也就是進行引導區病毒的清除了。

恢復被鎖定的注冊表

不少病毒對系統的破壞，是在注冊表中完成的。為了避免用戶對篡改內容的修復，有些病毒會對注冊表進行鎖定，造成我們無法編輯注冊表。

大部分所謂的對注冊表的鎖定，就是禁止用戶使用Regedit編輯器。不過網上有很多第三方的注冊表編輯器，其實PowerTool中也有類似的編輯器功能。

在PowerTool中切換到“注冊表”標簽，在“重要的注冊表項”里面輸入HKEY_CURRENT_USER＼Software＼Microsoft＼Windows＼CurrentVersion＼Policies＼System，再點擊“快速跳轉”按鈕就可以找到鎖定注冊表的位置。

然后在右側窗口里面找到DisableRegistryTools項，點擊鼠標右鍵選擇“刪除”命令后重新啟動系統。這樣就可以重新使用系統的Regedit編輯器進行操作了。

小提示

★由于PowerTool這類的軟件需要滲入到系統的底層，所以在運行的時候會加載一些驅動文件，因此建議大家不要將文件解壓到含有中文信息的文件夾中運行。另外在運行該軟件之前，最好重新啟動一次系統，這樣可以更好地使用該軟件的功能（圖3）。還有需要注意的是，一定要選擇和系統對應的版本，比如32位的系統就運行32位的版本。如果不注意以上幾點的話，那么在軟件運行后很可能出現藍屏的情況。

★很多病毒在進行映像劫持后，被劫持的軟件進程會自動跳轉到病毒文件。而我們通過右鍵菜單中的“修復以及刪除關聯文件”命令，就可以在操作的同時將病毒文件也刪除掉。