倍可親

標題: 僅五分鐘，快速判斷查殺有毒進程 [列印本頁]

作者: kent 時間: 2006-9-23 07:48
標題: 僅五分鐘，快速判斷查殺有毒進程
　　我們在瀏覽網站、安裝程序、甚至在一次U盤的讀寫中都有可能被某個病毒糾纏上了。

　　雖然現在的防火牆非常先進，常能直接給你提示說「有病毒，中止操作中……」。可是電腦畢竟不是人腦，如果出現的病毒或者木馬程序無法被其檢測出來，您的電腦就會被完全的暴露在病毒製造者或者木馬製造者的手中，萬一您的一些關鍵密碼之類的重要資料被這些程序盜用了那還了得？即使沒有出現上面的情況，一個不請自來的程序就那麼坦然的與你面對面，心裡也會覺得不爽吧！

　　下面小編就帶大家看看如何簡單有效的使用一些必要的措施，手動查殺電腦上運行的各種程序究竟有沒有病毒木馬類的東西。

　　說到程序，我們就不得不說到進程。簡單地說，進程是程序在計算機上的執行活動。每當運行一個程序，電腦就會相應的啟動了一個進程。進程可分為系統進程和用戶進程。系統進程主要是一些必須的操作系統功能，一般無法中止。而我們常見的IE瀏覽器、QQ、PHOTOSHOP等程序的進程就是用戶進程，一般由用戶手動啟動，可以隨意中止。

　　

　　任務管理器中全部都有標明

　　我們可以通過觀察進程來了解當前系統中到底運行了哪些程序，以及判斷系統中是否有非法程序在運行。正確地分析進程能夠讓我們在殺毒軟體不起作用的時候，方面的手動除掉病毒或木馬。

　　如何了解當前操作系統中究竟運行著哪些進程?我們可以直接在鍵盤上按『Ctrl+Alt+Del』組合鍵調用出前面提到的任務管理器，就可以直接查看進程，右鍵點擊任務欄選擇「Windows 任務管理器」即可。

　　

　　通常來說，系統常見的進程有winlogon.exe，services.exe，Lsass.exe、system、explorer.exe，svchost.exe等。當你熟悉了系統的常規進程就很容易在看到一些類似與其它奇怪的進程名(如SVHOST，IEPLORE等等)時就能方便判斷了。

　　一般來說，這些奇怪的進程都會選擇一個非常不引人注意的文件夾蝸居其中，為了迅速查到它的位置，我們可以這樣：

　　有的進程在任務管理器中無法中止，這時可以打開註冊表編輯器(使用 win＋r 快捷鍵調用運行菜單鍵入 regedit 后回車)，找到「HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run」，將右側可疑的選項全部刪除。

　　

　　或者通過操作系統「管理工具」裡面的「服務」查看目前的全部進程(使用 win＋r 快捷鍵調用運行菜單鍵入 services.msc 后回車)。這裡重點要看服務中啟動選項為「自動」的那部分進程，檢查它們的名字、路徑以及登錄賬戶、服務屬性的「恢復「裡面有沒有重啟計算機的選項(有些機器不斷重新啟動的秘密就在這裡)。一旦發現可疑的名字立刻就禁止該進程的運行。

　　

　　另外通過註冊表編輯器,展開分支「HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services」,在下面的分支中就是一些本機安裝的服務項，如果要刪除某項服務，只要刪除註冊表中相關鍵值即可。

　　上面的方法只能治標不能治本，如果遇到一些循環類的程序，即使您按照上面的方法將程序停止，如果不小心，這些地雷還是有可能爆炸的，所以我們一定要徹底的把他們從硬碟上清除出去。

　　其實也很簡單，首先我們升級一下任務管理器，目前比較好的一個任務管理器是某網友將LONGHORN上的任務管理器分離出來了可以在windowsxp下使用。其中最大的一個好處就是可以直接顯示程序在硬碟上的位置。

　　

　　我們先查看這個進程文件所在的路徑和名稱。重啟系統，按F8鍵進入安全模式，然後在安全模式下刪除這個程序。

　　一般來說病毒和木馬是以用戶進程的形式出現的，所以大部分人認為「病毒是不可能獲得『SYSTEM』許可權的」。其實，這是個錯誤的想法，很多病毒或木馬也能獲得SYSTEM許可權，並偽裝成系統進程出現在你面前。所以這類病毒就相當容易迷惑人，遇到這種情況，只有不斷提高並關注系統安全方面的知識，才能準確判斷該進程是否安全。

歡迎光臨倍可親 (https://big5.backchina.com/)