Windows系統集成了很多工具，它們各司其職，滿足用戶不同的應用需求。其實這些工具“多才多藝”，如果你有足夠的想象力并且善于挖掘，你會發現它們除了本行之外還可以幫我們殺毒。

　　一、任務管理器給病毒背后一刀

　　Windows任務管理器是大家對進程進行管理的主要工具，在它的“進程”選項卡中能查看當前系統進程信息。在默認設置下，一般只能看到映像名稱、用戶名、CPU占用、內存使用等幾項，而更多如I/O讀寫、虛擬內存大小等信息卻被隱藏了起來。可別小看了這些被隱藏的信息，當系統出現莫名其妙的故障時，沒準就能從它們中間找出突破口。

　　1.查殺會自動消失的雙進程木馬

　　前段時間朋友的電腦中了某木馬，通過任務管理器查出該木馬進程為“system.exe”，終止它后再刷新，它又會復活。進入安全模式把c：\windows\system32\system.exe刪除，重啟后它又會重新加載，怎么也無法徹底清除它。從此現象來看，朋友中的應該是雙進程木馬。這種木馬有監護進程，會定時進行掃描，一旦發現被監護的進程遭到查殺就會復活它。而且現在很多雙進程木馬互為監視，互相復活。因此查殺的關鍵是找到這“互相依靠”的兩個木馬文件。借助任務管理器的PID標識可以找到木馬進程。

　　調出Windows任務管理器，首先在“查看→選擇列”中勾選“PID(進程標識符)”，這樣返回任務管理器窗口后可以看到每一個進程的PID標識。這樣當我們終止一個進程，它再生后通過PID標識就可以找到再生它的父進程。啟動命令提示符窗口，執行“taskkill /im system.exe /f”命令。刷新一下電腦后重新輸入上述命令如圖1，可以看到這次終止的system.exe進程的PID為1536，它屬于PID為676的某個進程。也就是說PID為1536的system.exe進程是由PID為676的進程創建的。返回任務管理器，通過查詢進程PID得知它就是“internet.exe”進程進程。(如圖)圖1 查詢PID進程

　　找到了元兇就好辦了，現在重新啟動系統進入安全模式，使用搜索功能找到木馬文件c：\windows\internet.exe ，然后將它們刪除即可。前面無法刪除system.exe，主要是由于沒有找到internet.exe(且沒有刪除其啟動鍵值)，導致重新進入系統后internet.exe復活木馬。

　　2.揪出狂寫硬盤的P2P程序

　　單位一電腦一開機上網就發現硬盤燈一直閃個不停，硬盤狂旋轉。顯然是本機有什么程序正在進行數據的讀取，但是反復殺毒也沒發現病毒、木馬等惡意程序。

　　打開該電腦并上網，按Ctrl+Alt+Del鍵啟動了任務管理器，切換到“進程”選項卡，點擊菜單命令“查看→選擇列”，同時勾選上“I/O寫入”和“I/O寫入字節”兩項。確定后返回任務管理器，發現一個陌生的進程hidel.exe，雖然它占用的CPU和內存并不是特別大，但是I/O的寫入量卻大得驚人，看來就是它在搗鬼了，趕緊右擊它并選擇“結束進程”終止，果然硬盤讀寫恢復正常了。

二、系統備份工具殺毒于無形

　　筆者曾遭遇一個無法刪除的病毒“C：\Program Files\Common Files\PCSuite\rasdf.exe”，同時也無法復制這個文件，如何清除它。筆者通過系統備份工具清除了該病毒，操作過程如下：

　　第一步：單擊“開始→所有程序→附件→系統工具→備份”，打開備份或還原向導窗口，備份項目選擇“讓我選擇要備份的內容”，定位到“C：\Program Files\Common Files\PCSuite”。

　　第二步：繼續執行備份向導操作，將備份文件保存為“g：\virus.bkf”，備份選項勾選“使用卷陰影復制”，剩余操作按默認設置完成備份。

　　第三步：雙擊“g：\virus.bak”，打開備份或還原向導，把備份還原到“g：\virus”。接著打開“g：\virus”，使用記事本打開病毒文件“rasdf.exe”，然后隨便刪除其中幾行代碼并保存，這樣病毒就被我們使用記事本破壞了(它再也無法運行)。

　　第四步：操作同上，重新制作“k：\virus”的備份為“k：\virus1.bkf”。然后啟動還原向導，還原位置選擇“C：\Program Files\Common Files\PCSuite\&;，還原選項選擇“替換現有文件”。這樣，雖然當前病毒正在運行，但備份組件仍然可以使用壞的病毒文件替換當前病毒。還原完成后，系統提示重新啟動，重啟后病毒就不會啟動了(因為它已被記事本破壞)。