当前位置: 首页 > 图文教程 > 网络安全 > 安全基础 > 根据PID查杀木马病毒的适用小方法

安全基础
Windows2000/XP禁止Ping命令
原理到应用谈解决ARP攻击的方法
局域网维护及优化的经验和技巧
U盘病毒的另类清除办法
诺顿杀毒软件杀毒功能提升的5个小技巧
网游账号被盗的几个途径 游戏玩家注意
Google产品大全,进来看看你知道吗?
无线网络“正在连接”故障排除
netsh.exe命令能做什么呢?
免费赠送6位数QQ号是陷阱
防止网游盗号通用6种方案
如何在WLAN环境下进行合理的BT下载设置
跨站攻击实例及避免方法
彻底分析ADSL频繁掉线的原因
网络安全提示:奥运期间网上欣赏赛事
Wi-Fi无线连接失败原因及解决方法
预防MP3播放器被病毒感染
无权限的共享文件夹看不到?
6781网址导航站病毒入侵特征介绍
ekrn.exe占用CPU100%该怎么办?

安全基础 中的 根据PID查杀木马病毒的适用小方法


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-28   浏览: 59 ::
收藏到网摘: n/a

  电脑不知何故,运行起来特慢,程序根本无法运行。身为网管的我飞身拍马赶到,首先查看Windows任务管理器,马上发现了原因:进程“KERNEL32.EXE”居然占用了CPU的90%以上资源!怀疑是木马或病毒在作怪。如何来确定它一定是木马病毒,并知道它打开了电脑哪个端口呢?

  查找原因

  我们从如图1所示的进程图可以看到进程项“KERNEL32.EXE”的PID(进程标识符)是888,因为每个标识符都是不同的,所以根据这一点我们就可以查看到该进程更进一步的详细内容。



图1

  小提示:默认情况下进程中是没有“PID”项显示的,我们选择“查看→选择列”,然后将“PID(进程标识符)”复选框选择上就可以了。

  打开命令提示符窗口,输入命令:“netstat -ano -p tcp”(小王用的是Windows XP,如果是Windows 2000系统,就输入“netstat -an -p tcp”命令),这时就会显示本机开放的所有端口,仔细找找看,发现问题了,果然有一个PID为888的项,如图2所示。这样,我们就明白了KERNEL32.EXE程序正在通过电脑7626端口进行监听,造成了现在电脑运行起来特慢,程序无法运行。



图2

  解决故障

  知道了KERNEL32.EXE进程在搞鬼,先在任务进程中将它结束掉。别以为这样就问题解决了,重新启动电脑,该进程就又会起死回生了!看来它在启动中也做了手脚,打开注册表找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun,发现了一个键值的数据位置指向了“C:WindowsSystem32KERNEL32.EXE”文件,就是它了,将该项删除,然后再到C盘WindowsSystem32目录下将KERNEL32.EXE文件删除。OK,到这里这个木马病毒就被解决掉了。