大家都该知道一旦有病毒在你的电脑上运行,你的进程管理器里就会多出一些莫名其妙的进程,所以我们就可以根据进程来查杀病毒。
当然,现在很多病毒进程都进行了伪装,而且发现一个病毒进程变得越来越困难,因为病毒的进程和我们的系统进程越来越相近。就怎样发现病毒进程我在这里提出一下建议:
首先要足够细心,如explore.exe、iexplorer.exe等,仔细辨认他们的区别,以下是一些容易混淆的进程和他们的路径:
当然,现在很多病毒进程都进行了伪装,而且发现一个病毒进程变得越来越困难,因为病毒的进程和我们的系统进程越来越相近。就怎样发现病毒进程我在这里提出一下建议:
首先要足够细心,如explore.exe、iexplorer.exe等,仔细辨认他们的区别,以下是一些容易混淆的进程和他们的路径:
1.explorer.exe
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe
他就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录
2.iexplore.exe
常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe
iexplorer.exe是Microsoft InternetExplorer所产生的进程,也就是我们平时使用的IE浏览器。
iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中,存在于其他目录则为病毒,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。建议查杀。
3.svchost.exe
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。
随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。
在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,后面介绍,查看svchost.exe的可执行文件路径,如果在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了。
4.rundll32.exe
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。
rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。
rundll32.exe的路径为“C:\Windows\system32”
5.spoolsv.exe
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。
spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。
关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
专心检查进程名称和位置后,我们几乎可以抓住大部分的病毒了
当然,这些都可以通过工具把事情变得很简单下面给大家推荐一款工具:Wsyscheck中文版0601
大家可以在网上下来看一下,它可以把系统进程和一般应用进程用不同的颜色分开,如写入注册表的进程都是粉红色的,此外他还可以定位文件路径,增强我们手动杀毒的能力,操作也很简单,接近傻瓜式操作。
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe
他就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录
2.iexplore.exe
常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe
iexplorer.exe是Microsoft InternetExplorer所产生的进程,也就是我们平时使用的IE浏览器。
iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中,存在于其他目录则为病毒,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。建议查杀。
3.svchost.exe
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。
随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。
在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,后面介绍,查看svchost.exe的可执行文件路径,如果在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了。
4.rundll32.exe
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。
rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。
rundll32.exe的路径为“C:\Windows\system32”
5.spoolsv.exe
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。
spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。
关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
专心检查进程名称和位置后,我们几乎可以抓住大部分的病毒了
当然,这些都可以通过工具把事情变得很简单下面给大家推荐一款工具:Wsyscheck中文版0601
大家可以在网上下来看一下,它可以把系统进程和一般应用进程用不同的颜色分开,如写入注册表的进程都是粉红色的,此外他还可以定位文件路径,增强我们手动杀毒的能力,操作也很简单,接近傻瓜式操作。
转载于:https://blog.51cto.com/breachamd007/70282
4563
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
