查杀病毒
如今網(wǎng)絡(luò)上病毒肆虐,讓電腦用戶在應(yīng)付病毒上花費(fèi)了不少精力。當(dāng)你使用殺毒軟件查殺病毒時(shí),是否遇到查出了病毒,但是殺不掉的情況,原因何在?該如何處理呢?以下筆者對(duì)此略作介紹。
◆系統(tǒng)還原文件
_restore文件夾是Windows Me/XP系統(tǒng)特有的系統(tǒng)還原文件夾,隱藏在該文件夾中的病毒是不能直接清除的。當(dāng)然這些病毒也不能直接發(fā)揮作用。要清除這些病毒,可以關(guān)閉Windows系統(tǒng)的“系統(tǒng)還原”功能,清理系統(tǒng)還原點(diǎn),或者直接刪除_restore文件夾的內(nèi)容。
◆疑似電腦病毒
有時(shí)殺毒軟件會(huì)出現(xiàn)提示:unknown.com.tsr.virus。該提示中,unknown是“不明的”意思,tsr是內(nèi)存駐留的意思,本信息一般提示的是純DOS環(huán)境下的可執(zhí)行文件,表明殺毒軟件在該文件中發(fā)現(xiàn)了可疑代碼,類似病毒,但是沒(méi)有確定是什么病毒。
如果疑似病毒提示涉及Type-Win32代碼,則表示可疑的32位代碼的意思,是指Windows環(huán)境下可疑的可執(zhí)行代碼。對(duì)于疑似病毒,可以直接刪除該文件,或者將這些“疑似”的病毒文件發(fā)送給反病毒軟件公司,請(qǐng)求幫助。
◆exe 文件感染病毒
以.exe為擴(kuò)展名稱的文件是軟件安裝程序的部分文件,其中的病毒不能直接清除。只有在軟件完全安裝成功后,方可清除。這有點(diǎn)類似于在COPY文件時(shí)發(fā)現(xiàn)了病毒的處理方法。
◆在DOS下清除病毒
對(duì)于在引導(dǎo)區(qū)發(fā)現(xiàn)的病毒,如POLYBOOT/WYX.b病毒,請(qǐng)使用干凈的系統(tǒng)盤(pán)啟動(dòng)系統(tǒng)到DOS,然后在DOS下殺毒即可清除。如果可感染引導(dǎo)區(qū)的病毒存在于文件中,可以直接刪除該文件。
◆系統(tǒng)初始文件中引用病毒
殺毒時(shí)出現(xiàn)如下提示:
-----------------------------------------------------------------------------------------------
QUOTE:
C:\Windows\brasil.pif worm.win32.opasoft.a病毒 已刪除
C:\Windows\instit.bat worm.win32.opasoft.a病毒 已刪除
C:\Windows\alevir.exe worm.win32.opasoft.a病毒 已刪除
C:\Windows\marco.scr worm.win32.opasoft.a病毒 已刪除
C:\Windows\SCRSVR.exe worm.win32.opasoft.a病毒 已刪除
------------------------------------------------------------------------------------------------
殺毒后,重啟動(dòng)電腦時(shí)出現(xiàn)很多找不到文件的信息,而且再次殺毒時(shí)提示依舊,病毒還是存在。這些頑固病毒的引用應(yīng)該是在win.ini文件中,請(qǐng)單擊“開(kāi)始→運(yùn)行”,鍵入“sysedit”,按下回車鍵,編輯win.ini,刪除對(duì)病毒的引用行。
◆病毒最新變種
殺毒軟件查出的是其病毒庫(kù)中不存在的新型病毒,請(qǐng)將殺毒軟件的病毒庫(kù)升級(jí)到最新,然后再查殺。
--------------------
一款好的防火墻并不能發(fā)現(xiàn)所有病毒;一個(gè)好的殺毒軟件并不能殲滅所有的帶毒程序!遇到這些情況我們?cè)撟龊翁幚砟?#xff1f;很簡(jiǎn)單——手工殺毒。而要論到手工殺毒,就不能不提到系統(tǒng)進(jìn)程的妙用了。
進(jìn)程、病毒?
書(shū)上說(shuō):“進(jìn)程為應(yīng)用程序的運(yùn)行實(shí)例,是應(yīng)用程序的一次動(dòng)態(tài)執(zhí)行。”看似高深,我們可以簡(jiǎn)單地理解為:它是操作系統(tǒng)當(dāng)前運(yùn)行的執(zhí)行程序。在系統(tǒng)當(dāng)前運(yùn)行的執(zhí)行程序里包括:系統(tǒng)管理計(jì)算機(jī)個(gè)體和完成各種操作所必需的程序;用戶開(kāi)啟、執(zhí)行的額外程序,當(dāng)然也包括用戶不知道,而自動(dòng)運(yùn)行的非法程序(它們就有可能是病毒程序)。
危害較大的可執(zhí)行病毒同樣以“進(jìn)程”形式出現(xiàn)在系統(tǒng)內(nèi)部(一些病毒可能并不被進(jìn)程列表顯示,如“宏病毒”),那么及時(shí)查看并準(zhǔn)確殺掉非法進(jìn)程對(duì)于“手工殺毒有起著關(guān)鍵性的作用。
操作系統(tǒng)如何打開(kāi)進(jìn)程列表?
要通過(guò)進(jìn)程列表查看系統(tǒng)是否染毒,必須打開(kāi)當(dāng)前的執(zhí)行程序進(jìn)程列表,Microsoft的每種系統(tǒng)都有相應(yīng)的打開(kāi)方法,但能夠顯示的能力卻因(系統(tǒng))不同,有所差異:
1.Windows 98 /Me系統(tǒng)
打開(kāi)系統(tǒng)進(jìn)程的方式很簡(jiǎn)單,快捷鍵“Ctrl+Alt+Delete”(如圖1),這個(gè)窗口大家應(yīng)該比較熟悉,使用Windows系統(tǒng)的用戶都知道用這個(gè)方法來(lái)關(guān)閉程序,不過(guò)它同樣用于顯示系統(tǒng)進(jìn)程,只是Windows 98系統(tǒng)較初級(jí),對(duì)進(jìn)程的顯示局限于名稱,且里面所顯示的還有打開(kāi)的文件及目錄名,查看時(shí)易混淆。Windows Me的進(jìn)程打開(kāi)方式和Windows 98相同。
Windows 9x系統(tǒng)打開(kāi)的進(jìn)程列表混亂且不完全,顯然不便于查看系統(tǒng)的具體進(jìn)程狀況,所以建議使用一些工具程序來(lái)為Windows 9x系統(tǒng)顯示進(jìn)程,如“Windows優(yōu)化大師”,在“優(yōu)化大師”的“系統(tǒng)安全優(yōu)化”項(xiàng)內(nèi)打開(kāi)“進(jìn)程管理”,在圖2所示的“Windows 進(jìn)程管理”窗口內(nèi),可以詳細(xì)查看當(dāng)前計(jì)算機(jī)所運(yùn)行的所有進(jìn)程,及具體程序所在的位置,這樣更方便完成后面要介紹的如何利用進(jìn)程進(jìn)行查毒、殺毒。
2.Windows 2000/ XP/2003系統(tǒng)
Windows 2000、Windows XP、Windows 2003打開(kāi)進(jìn)程窗口的方式與Windows 9x系統(tǒng)相同,只是三鍵后打開(kāi)的是“Windows 任務(wù)管理器”窗口,需要選擇里面的“進(jìn)程”項(xiàng)。Windows 2000系統(tǒng)只顯示具體進(jìn)程的全名,占用的內(nèi)存量;Windows XP、Windows 2003系統(tǒng)相比Windows 2000會(huì)顯示該進(jìn)程歸屬于那個(gè)用戶下,如操作系統(tǒng)所必須的基礎(chǔ)程序,會(huì)在后面的“用戶名”內(nèi)顯示為“SYSTEM”,由用戶另外開(kāi)啟的程序則用戶名為當(dāng)前的系統(tǒng)登錄用戶名。
通過(guò)進(jìn)程發(fā)現(xiàn)、處理病毒
在介紹具體的查毒和殺毒前,筆者先回答開(kāi)篇提出的兩個(gè)問(wèn)題。為什么殺毒軟件并不能全面的查找和殺掉病毒?首先,病毒防火墻是通過(guò)對(duì)程序進(jìn)行反匯編,然后與自己的病毒庫(kù)進(jìn)行對(duì)比來(lái)查找病毒,如果病毒較新,而殺毒軟件又未能及時(shí)升級(jí)便不能識(shí)別病毒。其次,殺毒軟件在發(fā)現(xiàn)病毒后,如果是獨(dú)立的可執(zhí)行病毒程序,會(huì)選擇直接刪除的處理方式,而病毒如果被當(dāng)作進(jìn)程執(zhí)行了,殺毒軟件就無(wú)能為力了,因?yàn)樗鼪](méi)有功能和權(quán)限先停止掉系統(tǒng)的這些進(jìn)程,被當(dāng)作進(jìn)程執(zhí)行的程序是不能被刪除的(這也是大家在刪除一個(gè)程序時(shí),提示該程序正在被使用不能刪除的原因)。所以在使用殺毒軟件殺毒時(shí),才會(huì)有殺毒完成后,又出現(xiàn)病毒提示的原因。
回到原來(lái)話題上!通過(guò)進(jìn)程如何發(fā)現(xiàn)和殺掉病毒呢?由前面的知識(shí)介紹可知,Windows 9X和Windows 2000系統(tǒng)只能顯示進(jìn)程的名稱,這對(duì)判斷該進(jìn)程是否是病毒還不夠,如果要準(zhǔn)確的斷定病毒,最好使用前面介紹的“Windows優(yōu)化大師”來(lái)查看進(jìn)程程序的源路徑,如果是“C:\windows\system”下的一些未知的“EXE”那便極有病毒的可能性了。Windows XP和Windows 2003系統(tǒng),進(jìn)程后會(huì)有“用戶名”的顯示,病毒是不可能獲得“SYSTEM”權(quán)限的,所以應(yīng)注意“用戶名”是當(dāng)前登錄用戶的進(jìn)程,一旦發(fā)現(xiàn)是病毒,可以立即“殺掉”。這里
介紹兩個(gè)技巧:
1.發(fā)現(xiàn)可疑進(jìn)程后,利用Windows的查找功能,查找該進(jìn)程所在的具體路徑,通過(guò)路徑可以知道該進(jìn)程是否合法,譬如由路徑“C:\Program Files\3721\assistse.exe”知道該程序是3721的進(jìn)程,是合法的。 2.在對(duì)進(jìn)程是否病毒拿不定主意時(shí),可以復(fù)制該進(jìn)程的全名,如:“xxx.exe”到googl.com或baidu.com這樣的全球搜查引擎上進(jìn)行搜查,如果是病毒會(huì)有相關(guān)的介紹網(wǎng)頁(yè)。
確定了該進(jìn)程是病毒,首先應(yīng)該殺掉該進(jìn)程,對(duì)于Windows 9x系統(tǒng),選中該進(jìn)程后,點(diǎn)擊下面的“結(jié)束任務(wù)”按鈕,Windows 2000、Windows XP、Windows 2003系統(tǒng)則在進(jìn)程上單擊右鍵在彈出菜單上選擇“結(jié)束任務(wù)”。“殺掉”進(jìn)程后找到該進(jìn)程的路徑刪除掉即可,完成后最好在進(jìn)行一次殺毒,這樣就萬(wàn)無(wú)一失了。
一次利用進(jìn)程殺毒的具體過(guò)程是這樣的:“通過(guò)進(jìn)程名及路徑判斷是否病毒→殺掉進(jìn)程→刪除病毒程序”,為了讓讀者更好的判斷進(jìn)程,在這里補(bǔ)充一些Windows的進(jìn)程資料給大家:
QUOTE:
進(jìn)程名 描述
smss.exe Session Manager
csrss.exe 子系統(tǒng)服務(wù)器進(jìn)程
winlogon.exe 管理用戶登錄
services.exe 包含很多系統(tǒng)服務(wù)
lsass.exe 管理 IP 安全策略以及啟動(dòng) ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動(dòng)程序。
svchost.exe Windows 2000/XP 的文件保護(hù)系統(tǒng)
SPOOLSV.EXE 將文件加載到內(nèi)存中以便遲后打印。
explorer.exe 資源管理器
internat.exe 托盤(pán)區(qū)的拼音圖標(biāo)
mstask.exe 允許程序在指定時(shí)間運(yùn)行。
regsvc.exe 允許遠(yuǎn)程注冊(cè)表操作。(系統(tǒng)服務(wù))→remoteregister
tftpd.exe 實(shí)現(xiàn) TFTP Internet 標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)不要求用戶名和密碼。
llssrv.exe 證書(shū)記錄服務(wù)
ntfrs.exe 在多個(gè)服務(wù)器間維護(hù)文件目錄內(nèi)容的文件同步。
RsSub.exe 控制用來(lái)遠(yuǎn)程儲(chǔ)存數(shù)據(jù)的媒體。
locator.exe 管理 RPC 名稱服務(wù)數(shù)據(jù)庫(kù)。
clipsrv.exe 支持“剪貼簿查看器”,以便可以從遠(yuǎn)程剪貼簿查閱剪貼頁(yè)面。
問(wèn):我的系統(tǒng)進(jìn)程里有四個(gè)svchost.exe,聽(tīng)說(shuō)有些木馬就是偽裝成系統(tǒng)的進(jìn)程,不知道這個(gè)是不是?
答:svchost.exe 存在 %windir%\system32\wins 下。
如果懷疑svchost.exe是病毒可以通過(guò)以下方法來(lái)證實(shí)是不是病毒:
1.可以去 wins 目錄找找有無(wú)多余,
2.可以搜搜windows文件夾中 svchost.exe 看看有幾個(gè)(應(yīng)為1個(gè)),
3.tlist -s察看,
4.也可以下載一個(gè)可以看帶路徑名的進(jìn)程的瀏覽工具。
[補(bǔ)充:SVCHOST.EXE-********.pf這個(gè)文件不列入上面的搜索目標(biāo)范圍,如:SVCHOST.EXE-3530F672.pf]
問(wèn):svchost.exe是起什么作用的進(jìn)程?
答:Svchost.exe文件對(duì)那些從動(dòng)態(tài)連接庫(kù)中運(yùn)行的服務(wù)來(lái)說(shuō)是一個(gè)普通的主機(jī)進(jìn)程名。
Svhost.exe文件定位在系統(tǒng)的%systemroot%\system32文件夾下。在啟動(dòng)的時(shí)候,
Svchost.exe檢查注冊(cè)表中的位置來(lái)構(gòu)建需要加載的服務(wù)列表。這就會(huì)使多個(gè)Svchost.exe在同一時(shí)間運(yùn)行。每個(gè)Svchost.exe的回話期間都包含一組服務(wù),以至于單獨(dú)的服務(wù)必須依*Svchost.exe怎樣和在那里啟動(dòng)。這樣就更加容易控制和查找錯(cuò)誤。
Svchost.exe 組是用下面的注冊(cè)表值來(lái)識(shí)別。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每個(gè)在這個(gè)鍵下的值代表一個(gè)獨(dú)立的Svchost組,并且當(dāng)你正在看活動(dòng)的進(jìn)程時(shí),它顯示作為一個(gè)單獨(dú)的例子。每個(gè)鍵值都是REG_MULTI_SZ類型的值而且包括運(yùn)行在Svchost組內(nèi)的服務(wù)。每個(gè)Svchost組都包含一個(gè)或多個(gè)從注冊(cè)表值中選取的服務(wù)名,這個(gè)服務(wù)的參數(shù)值包含了一個(gè)ServiceDLL值。HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service msdtc.exe ---并列事務(wù),是分布于兩個(gè)以上的數(shù)據(jù)庫(kù),消息隊(duì)列,文件系統(tǒng)或其他事務(wù)保護(hù)資源管理器。
grovel.exe ---掃描零備份存儲(chǔ)(SIS)卷上的重復(fù)文件,并且將重復(fù)文件指向一個(gè)數(shù)據(jù)存儲(chǔ)點(diǎn),以節(jié)省磁盤(pán)空間(只對(duì) NTFS 文件系統(tǒng)有用)。
snmp.exe ---包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動(dòng)并且向網(wǎng)絡(luò)控制臺(tái)工作站匯報(bào)。
以上這些進(jìn)程都是對(duì)計(jì)算機(jī)運(yùn)行起至關(guān)重要的,千萬(wàn)不要隨意“殺掉”,否則可能直接影響系統(tǒng)的正常運(yùn)行。
◆系統(tǒng)還原文件
_restore文件夾是Windows Me/XP系統(tǒng)特有的系統(tǒng)還原文件夾,隱藏在該文件夾中的病毒是不能直接清除的。當(dāng)然這些病毒也不能直接發(fā)揮作用。要清除這些病毒,可以關(guān)閉Windows系統(tǒng)的“系統(tǒng)還原”功能,清理系統(tǒng)還原點(diǎn),或者直接刪除_restore文件夾的內(nèi)容。
◆疑似電腦病毒
有時(shí)殺毒軟件會(huì)出現(xiàn)提示:unknown.com.tsr.virus。該提示中,unknown是“不明的”意思,tsr是內(nèi)存駐留的意思,本信息一般提示的是純DOS環(huán)境下的可執(zhí)行文件,表明殺毒軟件在該文件中發(fā)現(xiàn)了可疑代碼,類似病毒,但是沒(méi)有確定是什么病毒。
如果疑似病毒提示涉及Type-Win32代碼,則表示可疑的32位代碼的意思,是指Windows環(huán)境下可疑的可執(zhí)行代碼。對(duì)于疑似病毒,可以直接刪除該文件,或者將這些“疑似”的病毒文件發(fā)送給反病毒軟件公司,請(qǐng)求幫助。
◆exe 文件感染病毒
以.exe為擴(kuò)展名稱的文件是軟件安裝程序的部分文件,其中的病毒不能直接清除。只有在軟件完全安裝成功后,方可清除。這有點(diǎn)類似于在COPY文件時(shí)發(fā)現(xiàn)了病毒的處理方法。
◆在DOS下清除病毒
對(duì)于在引導(dǎo)區(qū)發(fā)現(xiàn)的病毒,如POLYBOOT/WYX.b病毒,請(qǐng)使用干凈的系統(tǒng)盤(pán)啟動(dòng)系統(tǒng)到DOS,然后在DOS下殺毒即可清除。如果可感染引導(dǎo)區(qū)的病毒存在于文件中,可以直接刪除該文件。
◆系統(tǒng)初始文件中引用病毒
殺毒時(shí)出現(xiàn)如下提示:
-----------------------------------------------------------------------------------------------
QUOTE:
C:\Windows\brasil.pif worm.win32.opasoft.a病毒 已刪除
C:\Windows\instit.bat worm.win32.opasoft.a病毒 已刪除
C:\Windows\alevir.exe worm.win32.opasoft.a病毒 已刪除
C:\Windows\marco.scr worm.win32.opasoft.a病毒 已刪除
C:\Windows\SCRSVR.exe worm.win32.opasoft.a病毒 已刪除
------------------------------------------------------------------------------------------------
殺毒后,重啟動(dòng)電腦時(shí)出現(xiàn)很多找不到文件的信息,而且再次殺毒時(shí)提示依舊,病毒還是存在。這些頑固病毒的引用應(yīng)該是在win.ini文件中,請(qǐng)單擊“開(kāi)始→運(yùn)行”,鍵入“sysedit”,按下回車鍵,編輯win.ini,刪除對(duì)病毒的引用行。
◆病毒最新變種
殺毒軟件查出的是其病毒庫(kù)中不存在的新型病毒,請(qǐng)將殺毒軟件的病毒庫(kù)升級(jí)到最新,然后再查殺。
--------------------
一款好的防火墻并不能發(fā)現(xiàn)所有病毒;一個(gè)好的殺毒軟件并不能殲滅所有的帶毒程序!遇到這些情況我們?cè)撟龊翁幚砟?#xff1f;很簡(jiǎn)單——手工殺毒。而要論到手工殺毒,就不能不提到系統(tǒng)進(jìn)程的妙用了。
進(jìn)程、病毒?
書(shū)上說(shuō):“進(jìn)程為應(yīng)用程序的運(yùn)行實(shí)例,是應(yīng)用程序的一次動(dòng)態(tài)執(zhí)行。”看似高深,我們可以簡(jiǎn)單地理解為:它是操作系統(tǒng)當(dāng)前運(yùn)行的執(zhí)行程序。在系統(tǒng)當(dāng)前運(yùn)行的執(zhí)行程序里包括:系統(tǒng)管理計(jì)算機(jī)個(gè)體和完成各種操作所必需的程序;用戶開(kāi)啟、執(zhí)行的額外程序,當(dāng)然也包括用戶不知道,而自動(dòng)運(yùn)行的非法程序(它們就有可能是病毒程序)。
危害較大的可執(zhí)行病毒同樣以“進(jìn)程”形式出現(xiàn)在系統(tǒng)內(nèi)部(一些病毒可能并不被進(jìn)程列表顯示,如“宏病毒”),那么及時(shí)查看并準(zhǔn)確殺掉非法進(jìn)程對(duì)于“手工殺毒有起著關(guān)鍵性的作用。
操作系統(tǒng)如何打開(kāi)進(jìn)程列表?
要通過(guò)進(jìn)程列表查看系統(tǒng)是否染毒,必須打開(kāi)當(dāng)前的執(zhí)行程序進(jìn)程列表,Microsoft的每種系統(tǒng)都有相應(yīng)的打開(kāi)方法,但能夠顯示的能力卻因(系統(tǒng))不同,有所差異:
1.Windows 98 /Me系統(tǒng)
打開(kāi)系統(tǒng)進(jìn)程的方式很簡(jiǎn)單,快捷鍵“Ctrl+Alt+Delete”(如圖1),這個(gè)窗口大家應(yīng)該比較熟悉,使用Windows系統(tǒng)的用戶都知道用這個(gè)方法來(lái)關(guān)閉程序,不過(guò)它同樣用于顯示系統(tǒng)進(jìn)程,只是Windows 98系統(tǒng)較初級(jí),對(duì)進(jìn)程的顯示局限于名稱,且里面所顯示的還有打開(kāi)的文件及目錄名,查看時(shí)易混淆。Windows Me的進(jìn)程打開(kāi)方式和Windows 98相同。
Windows 9x系統(tǒng)打開(kāi)的進(jìn)程列表混亂且不完全,顯然不便于查看系統(tǒng)的具體進(jìn)程狀況,所以建議使用一些工具程序來(lái)為Windows 9x系統(tǒng)顯示進(jìn)程,如“Windows優(yōu)化大師”,在“優(yōu)化大師”的“系統(tǒng)安全優(yōu)化”項(xiàng)內(nèi)打開(kāi)“進(jìn)程管理”,在圖2所示的“Windows 進(jìn)程管理”窗口內(nèi),可以詳細(xì)查看當(dāng)前計(jì)算機(jī)所運(yùn)行的所有進(jìn)程,及具體程序所在的位置,這樣更方便完成后面要介紹的如何利用進(jìn)程進(jìn)行查毒、殺毒。
2.Windows 2000/ XP/2003系統(tǒng)
Windows 2000、Windows XP、Windows 2003打開(kāi)進(jìn)程窗口的方式與Windows 9x系統(tǒng)相同,只是三鍵后打開(kāi)的是“Windows 任務(wù)管理器”窗口,需要選擇里面的“進(jìn)程”項(xiàng)。Windows 2000系統(tǒng)只顯示具體進(jìn)程的全名,占用的內(nèi)存量;Windows XP、Windows 2003系統(tǒng)相比Windows 2000會(huì)顯示該進(jìn)程歸屬于那個(gè)用戶下,如操作系統(tǒng)所必須的基礎(chǔ)程序,會(huì)在后面的“用戶名”內(nèi)顯示為“SYSTEM”,由用戶另外開(kāi)啟的程序則用戶名為當(dāng)前的系統(tǒng)登錄用戶名。
通過(guò)進(jìn)程發(fā)現(xiàn)、處理病毒
在介紹具體的查毒和殺毒前,筆者先回答開(kāi)篇提出的兩個(gè)問(wèn)題。為什么殺毒軟件并不能全面的查找和殺掉病毒?首先,病毒防火墻是通過(guò)對(duì)程序進(jìn)行反匯編,然后與自己的病毒庫(kù)進(jìn)行對(duì)比來(lái)查找病毒,如果病毒較新,而殺毒軟件又未能及時(shí)升級(jí)便不能識(shí)別病毒。其次,殺毒軟件在發(fā)現(xiàn)病毒后,如果是獨(dú)立的可執(zhí)行病毒程序,會(huì)選擇直接刪除的處理方式,而病毒如果被當(dāng)作進(jìn)程執(zhí)行了,殺毒軟件就無(wú)能為力了,因?yàn)樗鼪](méi)有功能和權(quán)限先停止掉系統(tǒng)的這些進(jìn)程,被當(dāng)作進(jìn)程執(zhí)行的程序是不能被刪除的(這也是大家在刪除一個(gè)程序時(shí),提示該程序正在被使用不能刪除的原因)。所以在使用殺毒軟件殺毒時(shí),才會(huì)有殺毒完成后,又出現(xiàn)病毒提示的原因。
回到原來(lái)話題上!通過(guò)進(jìn)程如何發(fā)現(xiàn)和殺掉病毒呢?由前面的知識(shí)介紹可知,Windows 9X和Windows 2000系統(tǒng)只能顯示進(jìn)程的名稱,這對(duì)判斷該進(jìn)程是否是病毒還不夠,如果要準(zhǔn)確的斷定病毒,最好使用前面介紹的“Windows優(yōu)化大師”來(lái)查看進(jìn)程程序的源路徑,如果是“C:\windows\system”下的一些未知的“EXE”那便極有病毒的可能性了。Windows XP和Windows 2003系統(tǒng),進(jìn)程后會(huì)有“用戶名”的顯示,病毒是不可能獲得“SYSTEM”權(quán)限的,所以應(yīng)注意“用戶名”是當(dāng)前登錄用戶的進(jìn)程,一旦發(fā)現(xiàn)是病毒,可以立即“殺掉”。這里
介紹兩個(gè)技巧:
1.發(fā)現(xiàn)可疑進(jìn)程后,利用Windows的查找功能,查找該進(jìn)程所在的具體路徑,通過(guò)路徑可以知道該進(jìn)程是否合法,譬如由路徑“C:\Program Files\3721\assistse.exe”知道該程序是3721的進(jìn)程,是合法的。 2.在對(duì)進(jìn)程是否病毒拿不定主意時(shí),可以復(fù)制該進(jìn)程的全名,如:“xxx.exe”到googl.com或baidu.com這樣的全球搜查引擎上進(jìn)行搜查,如果是病毒會(huì)有相關(guān)的介紹網(wǎng)頁(yè)。
確定了該進(jìn)程是病毒,首先應(yīng)該殺掉該進(jìn)程,對(duì)于Windows 9x系統(tǒng),選中該進(jìn)程后,點(diǎn)擊下面的“結(jié)束任務(wù)”按鈕,Windows 2000、Windows XP、Windows 2003系統(tǒng)則在進(jìn)程上單擊右鍵在彈出菜單上選擇“結(jié)束任務(wù)”。“殺掉”進(jìn)程后找到該進(jìn)程的路徑刪除掉即可,完成后最好在進(jìn)行一次殺毒,這樣就萬(wàn)無(wú)一失了。
一次利用進(jìn)程殺毒的具體過(guò)程是這樣的:“通過(guò)進(jìn)程名及路徑判斷是否病毒→殺掉進(jìn)程→刪除病毒程序”,為了讓讀者更好的判斷進(jìn)程,在這里補(bǔ)充一些Windows的進(jìn)程資料給大家:
QUOTE:
進(jìn)程名 描述
smss.exe Session Manager
csrss.exe 子系統(tǒng)服務(wù)器進(jìn)程
winlogon.exe 管理用戶登錄
services.exe 包含很多系統(tǒng)服務(wù)
lsass.exe 管理 IP 安全策略以及啟動(dòng) ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動(dòng)程序。
svchost.exe Windows 2000/XP 的文件保護(hù)系統(tǒng)
SPOOLSV.EXE 將文件加載到內(nèi)存中以便遲后打印。
explorer.exe 資源管理器
internat.exe 托盤(pán)區(qū)的拼音圖標(biāo)
mstask.exe 允許程序在指定時(shí)間運(yùn)行。
regsvc.exe 允許遠(yuǎn)程注冊(cè)表操作。(系統(tǒng)服務(wù))→remoteregister
tftpd.exe 實(shí)現(xiàn) TFTP Internet 標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)不要求用戶名和密碼。
llssrv.exe 證書(shū)記錄服務(wù)
ntfrs.exe 在多個(gè)服務(wù)器間維護(hù)文件目錄內(nèi)容的文件同步。
RsSub.exe 控制用來(lái)遠(yuǎn)程儲(chǔ)存數(shù)據(jù)的媒體。
locator.exe 管理 RPC 名稱服務(wù)數(shù)據(jù)庫(kù)。
clipsrv.exe 支持“剪貼簿查看器”,以便可以從遠(yuǎn)程剪貼簿查閱剪貼頁(yè)面。
問(wèn):我的系統(tǒng)進(jìn)程里有四個(gè)svchost.exe,聽(tīng)說(shuō)有些木馬就是偽裝成系統(tǒng)的進(jìn)程,不知道這個(gè)是不是?
答:svchost.exe 存在 %windir%\system32\wins 下。
如果懷疑svchost.exe是病毒可以通過(guò)以下方法來(lái)證實(shí)是不是病毒:
1.可以去 wins 目錄找找有無(wú)多余,
2.可以搜搜windows文件夾中 svchost.exe 看看有幾個(gè)(應(yīng)為1個(gè)),
3.tlist -s察看,
4.也可以下載一個(gè)可以看帶路徑名的進(jìn)程的瀏覽工具。
[補(bǔ)充:SVCHOST.EXE-********.pf這個(gè)文件不列入上面的搜索目標(biāo)范圍,如:SVCHOST.EXE-3530F672.pf]
問(wèn):svchost.exe是起什么作用的進(jìn)程?
答:Svchost.exe文件對(duì)那些從動(dòng)態(tài)連接庫(kù)中運(yùn)行的服務(wù)來(lái)說(shuō)是一個(gè)普通的主機(jī)進(jìn)程名。
Svhost.exe文件定位在系統(tǒng)的%systemroot%\system32文件夾下。在啟動(dòng)的時(shí)候,
Svchost.exe檢查注冊(cè)表中的位置來(lái)構(gòu)建需要加載的服務(wù)列表。這就會(huì)使多個(gè)Svchost.exe在同一時(shí)間運(yùn)行。每個(gè)Svchost.exe的回話期間都包含一組服務(wù),以至于單獨(dú)的服務(wù)必須依*Svchost.exe怎樣和在那里啟動(dòng)。這樣就更加容易控制和查找錯(cuò)誤。
Svchost.exe 組是用下面的注冊(cè)表值來(lái)識(shí)別。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每個(gè)在這個(gè)鍵下的值代表一個(gè)獨(dú)立的Svchost組,并且當(dāng)你正在看活動(dòng)的進(jìn)程時(shí),它顯示作為一個(gè)單獨(dú)的例子。每個(gè)鍵值都是REG_MULTI_SZ類型的值而且包括運(yùn)行在Svchost組內(nèi)的服務(wù)。每個(gè)Svchost組都包含一個(gè)或多個(gè)從注冊(cè)表值中選取的服務(wù)名,這個(gè)服務(wù)的參數(shù)值包含了一個(gè)ServiceDLL值。HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service msdtc.exe ---并列事務(wù),是分布于兩個(gè)以上的數(shù)據(jù)庫(kù),消息隊(duì)列,文件系統(tǒng)或其他事務(wù)保護(hù)資源管理器。
grovel.exe ---掃描零備份存儲(chǔ)(SIS)卷上的重復(fù)文件,并且將重復(fù)文件指向一個(gè)數(shù)據(jù)存儲(chǔ)點(diǎn),以節(jié)省磁盤(pán)空間(只對(duì) NTFS 文件系統(tǒng)有用)。
snmp.exe ---包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動(dòng)并且向網(wǎng)絡(luò)控制臺(tái)工作站匯報(bào)。
以上這些進(jìn)程都是對(duì)計(jì)算機(jī)運(yùn)行起至關(guān)重要的,千萬(wàn)不要隨意“殺掉”,否則可能直接影響系統(tǒng)的正常運(yùn)行。
總結(jié)
- 上一篇: 25 个你可能不知道的 Linux 真相
- 下一篇: centos7.x物理机升级lt内核后