手工殺毒教程：一個命令破解雙進程守護病毒

　　有一種特殊的病毒擁有雙進程，進程之間相互守護，如何清除這種高級病毒呢?

　　用“冰刃”來終止病毒的進程這種方法殺傷力強，但對一種特殊的病毒沒有效果，那就是雙進程病毒。對於這種特殊的病毒我們不是終止一個病毒進程就可以搞定的，而要把兩個病毒進程都終止。

　　上期我們也說了，很多讀者朋友根本分不清什麼進程有問題什麼進程無問題，通過工具的幫助能找到一個病毒進程就不錯了，兩個病毒進程怎麼識別?會不會非常難?大家不用擔心，我們教授的方法簡單易學，很容易找出並終止雙進程，剩下的掃尾工作就交給殺毒軟件吧。

　　雙進程為何難清除

　　雙進程病毒，是騷擾你私人領地(電腦)的精英怪物之一，這種怪物很像雙頭龍，擁有兩個頭或者說擁有兩條命——擁有兩個病毒進程。所以雙進程病毒的生存力非常強，在和領地門神殺毒軟件的戰斗中，時常取勝。

　　雙進程病毒取勝的“奧秘”就在進程上，兩個進程相互守護，其中一個進程判斷另一個進程被結束後，就將被結束的進程立即恢復。也就是說，如果無法同時終止兩個進程，它們就會無限復活(圖1)。

　　雙進程這種病毒技術，到底什麼病毒用得多呢?就目前而言，下載者類的病毒用得最多。這類病毒的作用就是殺入你的領地內，然後挖一條專用的地道，讓病毒軍團源源不斷地湧入，侵占你的領地指揮所、領地議事廳。

　　判斷病毒的雙進程

　　如果利用上期介紹的方法無法徹底清除病毒，那麼就要考慮是不是中了雙進程病毒。判斷雙進程病毒，重要的就是判斷出哪兩個進程是相互守護的，這可是一個技術活，方法有很多種。

　　最簡單的一種就是利用系統自帶命令。例如，你通過工具已經確認了混入議事廳裡面的“奸細”就是system.exe，在任務管理器最上方的“查看”下拉菜單中選擇“選擇列”項，在彈出窗口中勾選“PID(進程標志符)”(圖2)。

　　現在你就可以在任務管理器中直接查看進程的PID了(圖3)。

　　看到這裡，你會問：PID是什麼?為什麼我要看到它?PID是進程的身份標志(PID=進程ID)，相當於進程的身份證號碼。通過PID，我們可以很快找到有血緣關系的進程。打開CMD窗口，輸入“taskkill /im system.exe /t”命令。

　　命令生效後，system.exe這個病毒進程就被終止，隨後系統會返回這個病毒的守護進程的PID號碼(圖4)，根據返回的PID號碼可以找到守護進程。看到這裡，大家是不是覺得手工殺毒並不難?

　　殺掉雙進程病毒

　　Windows自帶的任務管理器是無法同時結束兩個進程的，所以我們還是要用工具來清除雙進程病毒，用的工具還是《冰刃》。先確定一個病毒進程，然後用上述方法找到守護進程的PID。

　　打開《冰刃》，點擊“進程”，通過“進程ID”列找到兩個病毒進程(圖5)，然後結束這兩個進程即可。這時殺毒軟件應該可以成功運行，剩下的病毒殘留物的清除工作就可以交給殺毒軟件來完成。

　　小知識：如果你意猶未盡，也可以不用殺毒軟件，自己手動清除病毒的殘留物。下載一款文件粉碎工具，運行後點擊“浏覽”按鈕，然後定位到病毒文件所在的文件夾，載入病毒文件，點擊“粉碎”按鈕，這樣就刪除了病毒文件。