來源：天網(wǎng)安全陣線

隨著不限時寬帶的普及，為了方便BT下載，很多朋友都愛24小時掛機,。全天候的在線,，這給一些病毒、木馬“入侵”系統(tǒng)帶來了極大便利,，他們可以在半夜入侵我們的電腦,，肆意為非作歹。近日筆者在幫助一位朋友殺毒的時候,，就遭遇一個“無法刪除的病毒”,，下面將查殺經(jīng)驗與大家共享。

　　1.驚現(xiàn)病毒,。朋友的電腦安裝的是Windows XP專業(yè)版,，近來常常徹夜開機用BT下載電影，沒想到在一次開機的時候,，Norton就報告在<\windows\task>下發(fā)現(xiàn)病毒“exporer.exe”(如圖1),，不過使用Norton掃描后，雖然可以發(fā)現(xiàn)病毒,，但Norton提示無法隔離和刪除病毒文件(如圖2),。

　　2.查殺。一般來說,，病毒如果無法被直接刪除,，大多是由于病毒進程在運行導(dǎo)致的，打開任務(wù)管理器,，找到病毒進程“exporer.exe”順利將其終止,，按照Norton提供病毒文件路徑，找到病毒文件后,，按住Shift鍵右擊選擇“刪除”,，奇怪的是系統(tǒng)卻提示無法刪除文件(如圖3)，再次打開任務(wù)管理器,，我已經(jīng)確信病毒進程被終止了,，而且也不是在寫保護狀態(tài)，為什么無法刪除?我試圖把文件夾刪除,，但同樣遭到系統(tǒng)拒絕,，重啟電腦多次仍然是同樣的結(jié)果。

　　后來筆者在查看“exporer.exe”屬性(看看文件生成日期和大小,，以便搜索一下病毒還有沒有同伙)時,，意外發(fā)現(xiàn)屬性窗口還有一個“安全”標簽，點擊后可以看到在用戶權(quán)限列表“特別權(quán)限”的拒絕選項被打上小勾(如圖4),，會不會是文件權(quán)限不夠?qū)е聼o法刪除?單擊圖3的“高級”按鈕,，在彈出的窗口我看到一個“拒絕刪除”的權(quán)限(如圖5),，單擊“編輯”終于看到文件無法刪除的真正原因了，原來當前用戶的刪除權(quán)限被施毒者設(shè)置為拒絕了,，但是卻允許“讀取和運行(如圖6),，取消拒絕的權(quán)限后，返回文件屬性窗口,，勾選“允許完全控制”,，單擊“確定”退出后順利刪除“exporer.exe”,。

　　小提示

　　文件(夾)屬性“安全”標簽只會在NTFS格式的分區(qū)出現(xiàn),，如果看不到此標簽，打開我的電腦,，單擊“工具→文件夾選項→查看”,，然后在高級設(shè)置選項下去除“簡單文件共享(推薦)”前的小勾,。

　　筆者在刪除“exporer.exe” 后試圖刪除文件夾，遭到系統(tǒng)拒絕后,，通過查看文件夾的“安全”屬性,，同樣可以發(fā)現(xiàn)刪除權(quán)限(刪除子文件夾及文件、刪除)被拒絕了(如圖7),，同上,，取消這個限制后順利把病毒“掃地出門”。對于文件(夾),，如果是由于權(quán)限原因被拒絕操作,，一般將權(quán)限設(shè)置為“完全控制”即可。

　　小技巧

　　(1)權(quán)限是可以繼承的,，有時候打開某個文件安全屬性標簽后,，可能在圖4不會有“拒絕刪除”權(quán)限,，但是如果它的父文件夾設(shè)置了“拒絕刪除子文件夾及文件”,，該文件還是無法被刪除的，解決方法是將文件權(quán)限設(shè)置為完全控制,。

　　(2)文件權(quán)限是和文件所有者相關(guān)聯(lián)的,，對于辦公室多帳戶電腦，一些別有用心的人可能還會將木馬和用戶對應(yīng)起來(以針對電腦操作水平較低帳戶,，警惕性不高易于竊取資料),，如果發(fā)現(xiàn)木馬毒會和對應(yīng)帳戶關(guān)聯(lián)，即有些用戶登錄后木馬會運行,，而有些則不會(木馬文件權(quán)限被設(shè)置為禁止讀取和刪除),，這時可以用系統(tǒng)管理員身份登錄，強行將木馬文件所有者更改為當前用戶,，然后設(shè)置為完全控制將木馬刪除,。

　　(3)一點經(jīng)驗,。Windows XP/2000的文件(夾)權(quán)限，是系統(tǒng)一項特殊功能,，它允許靈活設(shè)置不同用戶的不同權(quán)限,，一些牧馬者通過將病毒程序文件設(shè)置為允許“讀取和運行”、拒絕“刪除”,，從而實現(xiàn)更好的“自我保護”,。由于更改文件權(quán)限操作比較復(fù)雜，施毒者一般要在宿主機上親自操作,，對于喜愛全天候掛機的朋友,，安裝一款防護能力較好的防火墻，關(guān)閉一些不必要端口,，可以有效防止此類病毒的襲擊,，如果發(fā)現(xiàn)病毒無法刪除，在終止進程情況下,，大家一定要看看文件權(quán)限是否被更改了,。