系統自帶的最不起眼但又最強的殺毒工具． Windows系統集成了無數的工具，它們各司其職，滿足用戶不同的應用需求。其實這些工具“多才多藝”，如果你有足夠的想象力并且善于挖掘，你會發現它們除了本行之外還可以幫我們殺毒。不信?你看吧!
　　一、任務管理器給病毒背后一刀
　　Windows任務管理器是大家對進程進行管理的主要工具，在它的“進程”選項卡中能查看當前系統進程信息。在默認設置下，一般只能看到映像名稱、用 戶名、CPU占用、內存使用等幾項，而更多如I/O讀寫、虛擬內存大小等信息卻被隱藏了起來�？蓜e小看了這些被隱藏的信息，當系統出現莫名其妙的故障時， 沒準就能從它們中間找出突破口。
　　1.查殺會自動消失的雙進程木馬
　　前段時間朋友的電腦中了某木馬，通過任務管理器查出該木馬進程為“system.exe”，終止它后再刷新，它又會復活。進入安全模式把 c:\windows\system32\system.exe刪除，重啟后它又會重新加載，怎么也無法徹底清除它。從此現象來看，朋友中的應該是雙進程 木馬。這種木馬有監護進程，會定時進行掃描，一旦發現被監護的進程遭到查殺就會復活它。而且現在很多雙進程木馬互為監視，互相復活。因此查殺的關鍵是找到 這“互相依靠”的兩個木馬文件。借助任務管理器的PID標識可以找到木馬進程。
　　調出Windows任務管理器，首先在“查看→選擇列”中勾選“PID(進程標識符)”，這樣返回任務管理器窗口后可以看到每一個進程的PID標識。 這樣當我們終止一個進程，它再生后通過PID標識就可以找到再生它的父進程。啟動命令提示符窗口，執行“taskkill /im system.exe /f”命令。刷新一下電腦后重新輸入上述命令如圖1，可以看到這次終止的system.exe進程的PID為1536，它屬于PID為676的某個進程。 也就是說PID為1536的system.exe進程是由PID為676的進程創建的。返回任務管理器，通過查詢進程PID得知它就是 “internet.exe”進程進程。 (如圖)
　　貼子相關圖片:
　　
　　找到了元兇就好辦了，現在重新啟動系統進入安全模式，使用搜索功能找到木馬文件c:\windows\internet.exe ，然后將它們刪除即可。前面無法刪除system.exe，主要是由于沒有找到internet.exe(且沒有刪除其啟動鍵值)，導致重新進入系統后 internet.exe復活木馬。
　　2.揪出狂寫硬盤的P2P程序
　　單位一電腦一開機上網就發現硬盤燈一直閃個不停，硬盤狂旋轉。顯然是本機有什么程序正在進行數據的讀取，但是反復殺毒也沒發現病毒、木馬等惡意程序。
　　打開該電腦并上網，按Ctrl+Alt+Del鍵啟動了任務管理器，切換到“進程”選項卡，點擊菜單命令“查看→選擇列”，同時勾選上“I/O寫入” 和“I/O寫入字節”兩項。確定后返回任務管理器，發現一個陌生的進程hidel.exe，雖然它占用的CPU和內存并不是特別大，但是I/O的寫入量卻 大得驚人，看來就是它在搗鬼了，趕緊右擊它并選擇“結束進程”終止，果然硬盤讀寫恢復正常了。
　　二、系統備份工具殺毒于無形
　　筆者曾遭遇一個無法刪除的病毒“C：\Program Files\Common Files\PCSuite\rasdf.exe”，同時也無法復制這個文件，如何清除它。筆者通過系統備份工具清除了該病毒，操作過程如下：
　　第一步：單擊“開始→所有程序→附件→系統工具→備份”，打開備份或還原向導窗口，備份項目選擇“讓我選擇要備份的內容”，定位到“C:\Program Files\Common Files\PCSuite”。
　　第二步：繼續執行備份向導操作，將備份文件保存為“g:\virus.bkf”，備份選項勾選“使用卷陰影復制”，剩余操作按默認設置完成備份。
　　第三步：雙擊“g:\virus.bak”，打開備份或還原向導，把備份還原到“g:\virus”。接著打開“g:\virus”，使用記事本打開 病毒文件“rasdf.exe”，然后隨便刪除其中幾行代碼并保存，這樣病毒就被我們使用記事本破壞了(它再也無法運行)。
　　第四步：操作同上，重新制作“k:\virus”的備份為“k:\virus1.bkf”。然后啟動還原向導，還原位置選擇“C：\Program Files\Common Files\PCSuite\”，還原選項選擇“替換現有文件”。這樣，雖然當前病毒正在運行，但備份組件仍然可以使用壞的病毒文件替換當前病毒。還原完 成后，系統提示重新啟動，重啟后病毒就不會啟動了(因為它已被記事本破壞)。
　　三、記事本借刀殺人
　　1.雙進程木馬的查殺
　　現在，越來越多的木馬采用雙進程守護技術保護自己，就是兩個擁有同樣功能的代碼程序，不斷地檢測對方是否已經被別人終止，如果發現對方已經被終止了， 那么又開始創建對方，這給我們的查殺帶來很大的困難。不過，此類木馬也有“軟肋”，它只通過進程列表進程名稱來判斷被守護進程是否存在。這樣，我們只要用 記事本程序來替代木馬進程，就可以達到“欺騙”守護進程的目的。
　　下面以某變種木馬的查殺為例。中招該木馬后，木馬的“internet.exe”和“systemtray.exe”兩個進程會互相監視。當然，我們 中招的時候大多不知道木馬具體的監護進程。不過，通過進程名稱可以知道，“systemtray.exe”是異常的進程，因為系統正常進程中沒有該進程。 下面使用替換方法來查殺該木馬。
　　第一步：單擊“開始→運行”，輸入“Msinfo32”打開系統信息窗口，展開“系統摘要→軟件環境→正在運行任務”，這里可以看到“systemtray.exe”路徑在“C:\Windows\System32”下。
　　第二步：打開“C:\Windows\System32”，復制記事本程序“notepad.exe”到“D:\” ，同時重命名為“systemtray.exe”。
　　第三步：打開記事本程序，輸入下列代碼，保存為“shadu.bat”，放置在桌面(括號為注釋，無須輸入)：
　　@echo off
　　Taskkill /f /im systemtray.exe (使用taskkill命令強行終止“systemtray.exe”進程)
　　Delete C:\Windows\System32\systemtray.exe (刪除病毒文件)
　　Copy d:\systemtray.exe C:\Windows\System32\(替換病毒文件)
　　第四步：現在只要在桌面運行“shadu.bat”，系統會將“systemtray.exe”進程終止并刪除，同時把改名的記事本程序復制到系統目錄。這樣，守護進程會“誤以為”被守護進程還存在，它會立刻啟動一個記事本程序。
　　第五步：接下來我們只要找出監視進程并刪除即可，在命令提示符輸入:
　　“taskkill /f /im systemtray.exe ”，將守護進程再生的“systemtray.exe”終止，可以看到“systemtray.exe”進程是由“PID 3288的進程”創建的，打開任務管理器可以看到“PID 3288的進程”為“internet.exe”，這就是再生進程的“元兇”。
　　第六步：按照第一步方式，打開系統信息窗口可以看到“internet.exe”也位于系統目錄，終止“internet.exe”進程并進入系統目錄把上述兩個文件刪除即可。
　　2.使病毒失效并刪除
　　大家知道，文件都是由編碼組成的，記事本程序理論上可以打開任意文件(只不過有些會顯示為亂碼)。我們可以將病毒打開方式關聯到記事本，使之啟動后變 成由記事本打開，失去作惡的功能。比如，一些頑固病毒常常會在注冊表的“HKEY_CURRENT_USER\Software\Microsoft \Windows\CurrentVersion\Run”等啟動位置生成難以刪除的鍵值，達到惡意啟動的目的。下面使用記事本來“廢”掉病毒的生命力。
　　第一步：啟動命令提示符，輸入“ftype exefile=notepad.exe %1”，把所有EXE程序打開方式關聯到記事本程序，重啟系統后我們會發現桌面自動啟動好幾個程序，這里包括系統正常的程序如輸入法、音量調整程序等，當 然也包括惡意啟動的流氓程序，不過現在都被記事本打開了。
　　第二步：根據記事本窗口標題找到病毒程序，比如上例的systemtray.exe程序，找到這個記事本窗口后，單擊“文件→另存為”，我們就可以看 到病毒具體路徑在“C:\Windows\System32”下�，F在關掉記事本窗口，按上述路徑提示進入系統目錄刪除病毒即可。
　　第三步：刪除病毒后就可以刪除病毒啟動鍵值了，接著重啟電腦，按住F8，然后在安全模式菜單選擇“帶命令提示的安全模式”，進入系統后會自動打開命令提示符。輸入“ftype exefile="%1"%*”恢復exe文件打開方式即可。
　　四、注冊表映像劫持讓病毒沒脾氣
　　現在病毒都會采用IFO的技術，通俗的講法是映像劫持，利用的是注冊表中的如下鍵值
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options位置來改變程序調用的，而病毒卻利用此處將正常的殺毒軟件給偷換成病毒程序。恰恰相反，讓我們自己可以利用此處欺瞞病毒木馬，讓它實效�？� 謂，瞞天過海，還治其人。
　　下面我們以屏蔽某未知病毒KAVSVC.EXE為例，操作方法如下：
　　第一步：先建立以下一文本文件，輸入以下內容，另存為1.reg
　　Windows Registry Editor Version 5.00
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE]
　　"Debugger"="d:\\1.exe"
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSVC.EXE]
　　"Debugger"="d:\\1.exe"
　　(注：第一行代碼下有空行。)
　　第二步：雙擊導入該reg文件后，確定。
　　第三步：點“開始→運行”后，輸入KAVSVC.EXE。
　　提示：1.exe可以是任意無用的文件，是我們隨意創建一個文本文件后將后綴名.txt改為.exe的，
　　總結：當我們飽受病毒木馬的折磨，在殺毒軟件無能為力或者感覺“殺雞焉用宰牛刀”時，不妨運用系統工具進行病毒木馬的查殺，說不定會起到意想不到的效果。
　　如果大家使用的是windows2k 或xp那么教大家一招金蟬脫殼 ―― 而且只需要這一招就讓電腦永無病毒�。�
　　如果你是新裝的系統（或者是你能確認你的系統當前是無毒的），那就再好不過了，如果不能確定你的電腦有沒有毒，那最好先重裝系統，現在就立即就打開：
　　“開始→程序→管理工具→計算機管理→本地用戶和組→用戶” 吧！
　　首先就是把超級管理員密碼更改成十位數以上，然后再建立一個用戶，把它的密碼也設置成十位以上并且提升為超級管理員。這樣做的目的是為了雙保險：如果 你忘記了其中一個密碼，還有使用另一個超管密碼登陸來挽回的余地，免得你被拒絕于系統之外；再者就是網上的黑客無法再通過猜測你系統超管密碼的方式遠程獲 得你系統的控制權而進行破壞。接著再添加兩個用戶，比如用戶名分別為：user1、user2；并且指定他們屬于user組，好了，準備工作到這里就全部 完成了，以后你除了必要的維護計算機外就不要使用超級管理員和user2登陸了。只使用user1登陸就可以了。
　　登陸之后上網的時候找到ie，并為它建立一個快捷方式到桌面上，右鍵單擊快捷方式，選擇“以其他用戶方式運行”點確定！要上網的時候就點這個快捷方 式，它會跟你要用戶名和密碼這時候你就輸入user2的用戶名和密碼�。�！好了，現在你可以使用這個打開的窗口去上網了，可以隨你便去放心的瀏覽任何惡毒 的、惡意的、網站跟網頁，而不必再擔心中招了！因為你當前的系統活動的用戶時user1。而user2是不活動的用戶，我們使用這個不活動的用戶去上網 時，無論多聰明的網站，通過ie得到的信息都將讓它都將以為這個user2就是你當前活動的用戶，如果它要在你瀏覽時用惡意代碼對你的系統搞搞破壞的話根 本就時行不通的，即使能行通，那么被修改掉的僅僅時use2的一個配置文件罷了，而很多惡意代碼和病毒試圖通過user2進行的破壞活動卻都將失敗，因為 user2根本就沒運行，怎么能取得系統的操作權呢？？既然取不得，也就對你無可奈何了。而他們更不可能跨越用戶來操作，因為微軟得配置本來就是各各用戶 之間是獨立的，就象別人不可能跑到我家占據我睡覺用的床一樣，它們無法占據user1的位置！所以你只要能保證總是以這個user2用戶做代理來上網（但 卻不要使用user2來登陸系統，因為如果那樣的話，如果user2以前中過什么網頁病毒，那么在user2登陸的同時，他們極有可能被激活！），那么無 論你中多少網頁病毒，全部都將是無法運行或被你當前的user1用戶加載的，所以你當前的系統將永遠無毒！
　　不過總有疏忽的時候，一個不小心中毒了怎么辦？？
　　不用擔心，現在我們就可以來盡情的表演脫殼的技術了！
　　開始金蟬脫殼：
　　重新啟動計算機，使用超級管理員登陸――進入系統后什么程序都不要運行
　　你會驚奇的發現在的系統竟然表現的完全無毒！！，那就再好不過了，現在就立即就打開：
　　“開始→程序→管理工具→計算機管理→本地用戶和組→用戶” 吧！
　　把里面的user1和user2兩個用戶權刪掉吧，你只需要這么輕輕的一刪就可以了，那么以前隨著這兩個用戶而存在的病毒也就跟隨著這兩個用戶的消失 而一起去長眠了――（好象是陪葬，呵呵�。�。這么做過之后我保證你的win2k就象新裝的一個樣，任何系統文件和系統進程里都完全是沒有病毒的！
　　好！現在再重復開始的步驟從新建立user1和user2兩個用戶，讓他們復活吧。他們復活是復活了，但是曾跟隨了他們的病毒卻是沒這機會了，因為 win2k重新建立用戶的時候會重新分配給他們全新的配置，而這個配置是全新的也是不可能包含病毒的�。�！建立完成之后立即注銷超級管理員，轉如使用 user1登陸，繼續你象做的事吧，你會發現你的系統如同全新了！以上方法可以周而復始的用，再加上經常的去打微軟的補丁，幾乎可以永遠保證你的操作系統 是無毒狀態！只要你能遵循以下幾條規轍：
　　一、任何時間都不以超級管理員的身份登陸系統――除非你要進行系統級更新和維護、需要使用超級管理員身份的時候或是你需要添加和刪除用戶的時候。
　　二、必須使用超級管理員登陸的時候，保證不使用和運行任何除了操作系統自帶的工具和程序之外的任何東西，而且所有維護都只通過開始菜單里的選項來完 成，甚至連使用資源管理器去瀏覽硬盤都不！ 只做做用戶和系統的管理和維護就立即退出，而決不多做逗留�。ㄟ@也是微軟的要求，微軟最了解自己的東東，他的建議是正確的。瀏覽硬盤的事，在其他用戶身份 下你有大把的機會，在超級管理員的身份下還是不要了�。∵@應該事能完全作到的）。
　　1、單擊“開始－運行”，輸入 gpedit.msc 回車后即可打開“組策略對象編輯器”。
　　2、展開“計算機配置－管理模板－網絡－QoS數據包計劃程序”，雙擊右面設置欄中的“限制可保留帶寬”，在打開的屬性對話框中的“設置”選項卡中將“限制可保留帶寬”設置為“已啟用”，然后在下面展開的“帶寬限制（％）”欄將帶寬值“20”設置為“0”即可。
　　3、修改完之后，我們可以重新打開IE瀏覽器或者用BT或者迅雷下載文件，發現上網和下載的速度是不是明顯提升了？一個字“爽”