当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 根据PID查杀木马病毒的适用小方法

安全基础
找出安全漏洞 QQ盗号软件后门分析与反击
网络安全技术 再谈跨站脚本攻击与防御
掌控PC 如何应对僵尸主机及僵尸网络
如何在Windows中构建蜜罐?
分析并清除web服务器上的网页木马
基础知识讲解 病毒的IFEO映像劫持技术
网管秘籍 拒绝服务攻击防御全攻略
网管秘籍 如何减轻DDoS攻击带来的危害
利用输入法漏洞轻松破解Vista登录密码
安全保障!封杀木马病毒十大绝招
变态入侵:有史以来最酷的Windows后门
安全导航:认识反网络钓鱼欺骗新技术
管理好自己密码的10个技巧
如何隐藏管理员帐号
网络监听的原理、实现技术与防范方法
简单分析微软无线键盘的安全隐患
解密美国FBI的电话及网络监控技术
突破ADSL限制 通过宽带路由多机共享上网
Autorun病毒防御者 让U盘不中毒
计算机的密码设置技巧

安全基础 中的 根据PID查杀木马病毒的适用小方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 45 ::
收藏到网摘: n/a

  电脑不知何故,运行起来特慢,程序根本无法运行。身为网管的我飞身拍马赶到,首先查看Windows任务管理器,马上发现了原因:进程“KERNEL32.EXE”居然占用了CPU的90%以上资源!怀疑是木马或病毒在作怪。如何来确定它一定是木马病毒,并知道它打开了电脑哪个端口呢?

  查找原因

  我们从如图1所示的进程图可以看到进程项“KERNEL32.EXE”的PID(进程标识符)是888,因为每个标识符都是不同的,所以根据这一点我们就可以查看到该进程更进一步的详细内容。



图1

  小提示:默认情况下进程中是没有“PID”项显示的,我们选择“查看→选择列”,然后将“PID(进程标识符)”复选框选择上就可以了。

  打开命令提示符窗口,输入命令:“netstat -ano -p tcp”(小王用的是Windows XP,如果是Windows 2000系统,就输入“netstat -an -p tcp”命令),这时就会显示本机开放的所有端口,仔细找找看,发现问题了,果然有一个PID为888的项,如图2所示。这样,我们就明白了KERNEL32.EXE程序正在通过电脑7626端口进行监听,造成了现在电脑运行起来特慢,程序无法运行。



图2

  解决故障

  知道了KERNEL32.EXE进程在搞鬼,先在任务进程中将它结束掉。别以为这样就问题解决了,重新启动电脑,该进程就又会起死回生了!看来它在启动中也做了手脚,打开注册表找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,发现了一个键值的数据位置指向了“C:WindowsSystem32KERNEL32.EXE”文件,就是它了,将该项删除,然后再到C盘WindowsSystem32目录下将KERNEL32.EXE文件删除。OK,到这里这个木马病毒就被解决掉了。