仅凭三款软件清除简单病毒
前面已经介绍过了 Process Monitor、Process Explorer、Autoruns 三款软件,在故事里丽萨通过这些软件最终自行清除了病毒,但是丽萨究竟是如何通过上述软件完成目的的呢?下面就用一个简单的例子来介绍一下怎样使用这些软件。
Process Monitor 是款高级监视软件,可以实时监视文件系统、注册表、进程、线程和 DLL 的活动情况。Process Explorer 是款增强型的任务管理器,可以找出进程打开了哪些文件、注册表项和其他对象以及已加载哪些 DLL 等信息。Autoruns 可以查看哪些程序被配置为在系统启动和您登录时自动启动。
丽萨已经知道这个病毒会在可移动磁盘里生成 autorun.inf 文件,因此她打开了 Process Monitor,然后打开工具栏上的 Filter 按钮,新增一个 Path 属性包含 autorun.inf 的过滤器,然后就发现了这个病毒。丽萨随后记下它的进程名和 PID。
之后打开 Process Explorer,看到如此多的颜色,不禁愣了一下。之后她打开了 Options 菜单,找到 Configure Colors… 选项,终于明白了这些颜色各自代表什么含义。原来在默认情况下紫色代表封装过的程序,粉色代表系统服务,黄色代表 .Net 应用程序。
电脑的速度还是很慢,她打开了 View 菜单下的 System Information,在那里可以了解整个系统的运行情况。然后搜索之前记录下的 PID 为 9999(虚构)的进程,找到结果之后点击 Properties 选项就能查看它的属性,那里所提供的信息非常详尽。在按 Del 强制关闭它之前,同样先把这些信息都记录下来。
接着她打开了 Autoruns,看到满屏幕的加载列表,丽萨再次被震惊了。原来这里上面有着 Windows 以及其它程序的自动运行列表,包括驱动、控件、任务、服务、程序和动态链接库等。自动启动方式之多使得病毒非常容易加载。
为了清除残余的启动项,丽萨依照进程名搜索了一遍,然后将发现的在备份后全部删除。之后根据所记录的进程信息,寻找疑似病毒文件,并且将发现的在备份后全部删除。最后便可重启计算机,使用更为方便的软件进行修复了。