来源:
http://blog.cfan.com.cn/html/64/51964-32657.html
(发表于Cfan 06年第15期P33页,请大家指点)
CPU占用100%,可用内存越来越少,系统变慢……碰到这些问题,我们的第一反应是中毒了,但是,看看任务管理器,那么多名称相同或相似的进程,哪个是病毒程序,哪个是系统进程?简单分析用处不大,如果病毒嵌入系统进程,那想要查杀就难上加难。下面我们追根溯源,看看进程的“庐山真面目”。
系统进程不可错杀
首先,我们要了解哪些是正常的系统进程。以下列出了重要的系统进程,Windows依赖它们正常运行。(除explorer.exe位于Windows目录,iexplore.exe位于系统分区的“Program Files/Internet Explorer”目录下,其余位于“Windows/System32”目录。发现其它目录下同名进程则可断定为不良进程。)
木马、病毒常常利用系统进程名来蒙混过关,所以判断进程是否危险不能只看进程名,还要 追查用户名、所在路径、命令行及参数等。但是Windows XP的“任务管理器”无法查看详细的信息,我们可以借助Process Explorer,一款可以替代“任务管理器”的进程管理器。
Process Explorer小档案
软件版本:10.11 软件大小:1971KB
软件性质:免费软件 适用平台:Windows 9x/2000/XP
下载地址: http://www.onlinedown.net/soft/31805.htm
1.名不符实的svchost,走开
第一步:安装后打开Process Explorer(见图1),程序左边以进程树显示,可以直观了解进程关系,也可以点击“进程”切换排序方式。我们定制一下就可以看到更详细的进程信息:右击工具栏空白处“选择列”,勾选“用户名”、“映像路径”、“命令行”等几项单击“确定”,这样与进程相关的信息一清二楚。
第二步:svchost.exe一般是不会以当前用户运行的,而且它只存在于System32目录下,否则基本就可以断定为不良进程,可以放心终止其进程,注意同时退出的那个程序可能就是调用svchost.exe的病毒!而如果发现其它目录下的svchost.exe在运行,则先终止进程后删除该文件。另外,在Process Explorer中“o”和“0”很容易区分,svchost.exe和svch0st.exe绝不会混淆。
2.砍断伸向rundll32的黑手
通常只有我们打开系统、显示等组件的属性,rundll32.exe才会出现在进程中(见图2)。如果它开机就自动运行,则说明可能已经被木马利用,手动查杀也不难。
首先,在Process Explorer中可以看到rundll32.exe的命令行,形式如:“C:/WINDOWS/system32/rundll32.exe"/d C:/WINDOWS/system32/abc.dll”,abc.dll就是木马加载的dll文件。然后在Process Explorer中终止rundll32.exe,找到abc.dll并将其删除,接着运行regedit打开“注册表编辑器”,搜索包含 “abc.dll”的所有键值并删除。尤其是启动项,如不删除开机会出现找不到abc.dll的警告。
3.赶走劫持explorer的病毒
有一次朋友向我求助,说无法访问“我的电脑”,只要一打开桌面就消失了。也就是双击“我的电脑”,explorer.exe崩溃重启,看来系统进程也会被病毒劫持。事实如此,Process Explorer显示explorer.exe的路径还是“C:/Windows/Explorer.exe”,命令行却变成了“C:/Windows /System32/rejoice.exe”!
第一步:先用Process Explorer终止explorer.exe,剩下空荡荡的桌面。打开“注册表编辑器”,搜索“rejoice”,发现 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]下“Shell”的键值为“Explorer.exe C:/Windows/System32/rejoice.exe”,双击该键值改为“explorer.exe”。
第二步:选择菜单“文件→运行→浏览”,浏览“C:/Windows/System32”目录,找到并删除rejoice.exe,重新运行“explorer.exe”,系统就恢复正常了。
(发表于Cfan 06年第15期P33页,请大家指点)
CPU占用100%,可用内存越来越少,系统变慢……碰到这些问题,我们的第一反应是中毒了,但是,看看任务管理器,那么多名称相同或相似的进程,哪个是病毒程序,哪个是系统进程?简单分析用处不大,如果病毒嵌入系统进程,那想要查杀就难上加难。下面我们追根溯源,看看进程的“庐山真面目”。
系统进程不可错杀
首先,我们要了解哪些是正常的系统进程。以下列出了重要的系统进程,Windows依赖它们正常运行。(除explorer.exe位于Windows目录,iexplore.exe位于系统分区的“Program Files/Internet Explorer”目录下,其余位于“Windows/System32”目录。发现其它目录下同名进程则可断定为不良进程。)
木马、病毒常常利用系统进程名来蒙混过关,所以判断进程是否危险不能只看进程名,还要 追查用户名、所在路径、命令行及参数等。但是Windows XP的“任务管理器”无法查看详细的信息,我们可以借助Process Explorer,一款可以替代“任务管理器”的进程管理器。
Process Explorer小档案
软件版本:10.11 软件大小:1971KB
软件性质:免费软件 适用平台:Windows 9x/2000/XP
下载地址: http://www.onlinedown.net/soft/31805.htm
1.名不符实的svchost,走开
第一步:安装后打开Process Explorer(见图1),程序左边以进程树显示,可以直观了解进程关系,也可以点击“进程”切换排序方式。我们定制一下就可以看到更详细的进程信息:右击工具栏空白处“选择列”,勾选“用户名”、“映像路径”、“命令行”等几项单击“确定”,这样与进程相关的信息一清二楚。
第二步:svchost.exe一般是不会以当前用户运行的,而且它只存在于System32目录下,否则基本就可以断定为不良进程,可以放心终止其进程,注意同时退出的那个程序可能就是调用svchost.exe的病毒!而如果发现其它目录下的svchost.exe在运行,则先终止进程后删除该文件。另外,在Process Explorer中“o”和“0”很容易区分,svchost.exe和svch0st.exe绝不会混淆。
2.砍断伸向rundll32的黑手
通常只有我们打开系统、显示等组件的属性,rundll32.exe才会出现在进程中(见图2)。如果它开机就自动运行,则说明可能已经被木马利用,手动查杀也不难。
首先,在Process Explorer中可以看到rundll32.exe的命令行,形式如:“C:/WINDOWS/system32/rundll32.exe"/d C:/WINDOWS/system32/abc.dll”,abc.dll就是木马加载的dll文件。然后在Process Explorer中终止rundll32.exe,找到abc.dll并将其删除,接着运行regedit打开“注册表编辑器”,搜索包含 “abc.dll”的所有键值并删除。尤其是启动项,如不删除开机会出现找不到abc.dll的警告。
3.赶走劫持explorer的病毒
有一次朋友向我求助,说无法访问“我的电脑”,只要一打开桌面就消失了。也就是双击“我的电脑”,explorer.exe崩溃重启,看来系统进程也会被病毒劫持。事实如此,Process Explorer显示explorer.exe的路径还是“C:/Windows/Explorer.exe”,命令行却变成了“C:/Windows /System32/rejoice.exe”!
第一步:先用Process Explorer终止explorer.exe,剩下空荡荡的桌面。打开“注册表编辑器”,搜索“rejoice”,发现 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]下“Shell”的键值为“Explorer.exe C:/Windows/System32/rejoice.exe”,双击该键值改为“explorer.exe”。
第二步:选择菜单“文件→运行→浏览”,浏览“C:/Windows/System32”目录,找到并删除rejoice.exe,重新运行“explorer.exe”,系统就恢复正常了。
1883
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
