当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 根据PID查杀木马病毒的适用小方法

安全基础
建立防火墙的主动性网络安全防护体系
家庭上网必学八招安全绝招
弹出网页或不定时弹出网页的解决办法
一个弹出窗口引发一场追踪
预防QQ被盗的两个小技巧
详解网络加密技术及应用
论常见的壳与加壳技术
了解下反垃圾邮件技术
常用的几种免杀方法及工具
确保数据中心虚拟化安全的10个步骤
Windows激活木马的解决办法
08企业安全,应用开发过程中建立信任
如何实现最基本的IT检查的10条建议
ARP掉线的快速解决方案
安全审核 用Nmap为网络查找安全漏洞
网络安全重心转向主动防御
从原理入手扼杀传播病毒的恶意网页
ntfs.dll病毒ntfs.dll木马清除
保护计算机远离黑客骚扰的策略
安全打开U盘目录的简单方法

安全基础 中的 根据PID查杀木马病毒的适用小方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 53 ::
收藏到网摘: n/a

  电脑不知何故,运行起来特慢,程序根本无法运行。身为网管的我飞身拍马赶到,首先查看Windows任务管理器,马上发现了原因:进程“KERNEL32.EXE”居然占用了CPU的90%以上资源!怀疑是木马或病毒在作怪。如何来确定它一定是木马病毒,并知道它打开了电脑哪个端口呢?

  查找原因

  我们从如图1所示的进程图可以看到进程项“KERNEL32.EXE”的PID(进程标识符)是888,因为每个标识符都是不同的,所以根据这一点我们就可以查看到该进程更进一步的详细内容。



图1

  小提示:默认情况下进程中是没有“PID”项显示的,我们选择“查看→选择列”,然后将“PID(进程标识符)”复选框选择上就可以了。

  打开命令提示符窗口,输入命令:“netstat -ano -p tcp”(小王用的是Windows XP,如果是Windows 2000系统,就输入“netstat -an -p tcp”命令),这时就会显示本机开放的所有端口,仔细找找看,发现问题了,果然有一个PID为888的项,如图2所示。这样,我们就明白了KERNEL32.EXE程序正在通过电脑7626端口进行监听,造成了现在电脑运行起来特慢,程序无法运行。



图2

  解决故障

  知道了KERNEL32.EXE进程在搞鬼,先在任务进程中将它结束掉。别以为这样就问题解决了,重新启动电脑,该进程就又会起死回生了!看来它在启动中也做了手脚,打开注册表找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,发现了一个键值的数据位置指向了“C:WindowsSystem32KERNEL32.EXE”文件,就是它了,将该项删除,然后再到C盘WindowsSystem32目录下将KERNEL32.EXE文件删除。OK,到这里这个木马病毒就被解决掉了。