当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 根据PID查杀木马病毒的适用小方法

安全基础
手机病毒的分类及其防范措施
如何防止黒客远程盗取QQ密码
始料未及,谁在控制电脑重新启动
网络常见木马的手工清除方法
防火墙日志记录让蠕虫病毒无处可逃
魔高一尺 道高一丈
提防他人动用电脑另有妙招
Linux受攻击次数高于Windows
Cookie的传递流程及安全问题
安全配置Norton Security2004
查看系统中是否有简单木马
Windows超长共享名溢出漏洞
封杀Windows XP的共享漏洞
网络世界的“后门”—讲述特殊端口的故事
快速干掉感染Internet Explorer的恶意程序
菜鸟入门常用的八种安全工具使用及防御方法
QQ帮你突破网吧硬盘访问限制
邮件安全攻略:只要糖衣不要炮弹
局域网内盗用IP的安全问题
隐藏卸载信息:跟入侵者玩躲猫猫游戏

安全基础 中的 根据PID查杀木马病毒的适用小方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 67 ::
收藏到网摘: n/a

  电脑不知何故,运行起来特慢,程序根本无法运行。身为网管的我飞身拍马赶到,首先查看Windows任务管理器,马上发现了原因:进程“KERNEL32.EXE”居然占用了CPU的90%以上资源!怀疑是木马或病毒在作怪。如何来确定它一定是木马病毒,并知道它打开了电脑哪个端口呢?

  查找原因

  我们从如图1所示的进程图可以看到进程项“KERNEL32.EXE”的PID(进程标识符)是888,因为每个标识符都是不同的,所以根据这一点我们就可以查看到该进程更进一步的详细内容。



图1

  小提示:默认情况下进程中是没有“PID”项显示的,我们选择“查看→选择列”,然后将“PID(进程标识符)”复选框选择上就可以了。

  打开命令提示符窗口,输入命令:“netstat -ano -p tcp”(小王用的是Windows XP,如果是Windows 2000系统,就输入“netstat -an -p tcp”命令),这时就会显示本机开放的所有端口,仔细找找看,发现问题了,果然有一个PID为888的项,如图2所示。这样,我们就明白了KERNEL32.EXE程序正在通过电脑7626端口进行监听,造成了现在电脑运行起来特慢,程序无法运行。



图2

  解决故障

  知道了KERNEL32.EXE进程在搞鬼,先在任务进程中将它结束掉。别以为这样就问题解决了,重新启动电脑,该进程就又会起死回生了!看来它在启动中也做了手脚,打开注册表找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,发现了一个键值的数据位置指向了“C:WindowsSystem32KERNEL32.EXE”文件,就是它了,将该项删除,然后再到C盘WindowsSystem32目录下将KERNEL32.EXE文件删除。OK,到这里这个木马病毒就被解决掉了。