生活在常宁,爱上常宁论坛! 广告服务

 找回密码
 免费注册

手机号码,快捷登录

4082查看|11回复

用任务管理器找出暗藏电脑里的木马

[] [复制链接]
发表于 2010-12-28 00:19:15 | 显示全部楼层 |阅读模式
<div id="googlead"> <script language="JavaScript" src="/ad/gg-250.js"></script></div><p>&nbsp;&nbsp;&nbsp; Windows任务管理器是大家对进程进行管理的主要工具,在它的&ldquo;进程&rdquo;选项卡中能查看当前系统进程信息。在默认设置下,一般只能看到映像名称、用户名、CPU占用、内存使用等几项,而更多如I/O读写、虚拟内存大小等信息却被隐藏了起来。可别小看了这些被隐藏的信息,当系统出现莫名其妙的故障时,没准就能从它们中间找出突破口。 <br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;1.查杀会自动消失的双进程木马 <br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;前段时间朋友的电脑中了某木马,通过任务管理器查出该木马进程为&ldquo;system.exe&rdquo;,终止它后再刷新,它又会复活。进入安全模式把c:\windows\system32\system.exe删除,重启后它又会重新加载,怎么也无法彻底清除它。从此现象来看,朋友中的应该是双进程木马。这种木马有jian护进程,会定时进行扫描,一旦发现被jian护的进程遭到查杀就会复活它。而且现在很多双进程木马互为jian视,互相复活。因此查杀的关键是找到这&ldquo;互相依靠&rdquo;的两个木马文件。借助任务管理器的PID标识可以找到木马进程。 <br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;调出Windows任务管理器,首先在&ldquo;查看&rarr;选择列&rdquo;中勾选&ldquoID(进程标识符)&rdquo;,这样返回任务管理器窗口后可以看到每一个进程的PID标识。这样当我们终止一个进程,它再生后通过PID标识就可以找到再生它的父进程。启动命令提示符窗口,执行&ldquo;taskkill&nbsp;/im&nbsp;system.exe&nbsp;/f&rdquo;命令。(www.cfaninfo.com电脑知识商网供稿)刷新一下电脑后重新输入上述命令,可以看到这次终止的system.exe进程的PID为1536,它属于PID为676的某个进程。也就是说PID为1536的system.exe进程是由PID为676的进程创建的。返回任务管理器,通过查询进程PID得知它就是&ldquo;internet.exe&rdquo;进程。 <br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;找到了元凶就好办了,现在重新启动系统进入安全模式,使用搜索功能找到木马文件c:\windows\internet.exe&nbsp;,然后将它们删除即可。前面无法删除system.exe,主要是由于没有找到internet.exe(且没有删除其启动键值),导致重新进入系统后internet.exe复活木马。 <br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;2.揪出狂写硬盘的P2P程序&nbsp;<br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;电脑一开机上网就发现硬盘灯一直闪个不停,硬盘狂旋转。显然是本机有什么程序正在进行数据的读取,但是反复杀毒也没发现病毒、木马等恶意程序。 <br />
<br />
&nbsp;&nbsp;&nbsp;&nbsp;打开该电脑并上网,按Ctrl+Alt+Del键启动了任务管理器,切换到&ldquo;进程&rdquo;选项卡,点击菜单命令&ldquo;查看&rarr;选择列&rdquo;,同时勾选上&ldquo;I/O写入&rdquo;和&ldquo;I/O写入字节&rdquo;两项。确定后返回任务管理器,发现一个陌生的进程hidel.exe,虽然它占用的CPU和内存并不是特别大,但是I/O的写入量却大得惊人,看来就是它在捣鬼了,赶紧右击它并选择&ldquo;结束进程&rdquo;终止,果然硬盘读写恢复正常了。</p>
发表于 2011-1-31 00:07:07 | 显示全部楼层
谢谢楼主啊!
发表于 2011-2-17 17:22:29 | 显示全部楼层
牛牛牛牛  
发表于 2011-2-20 06:46:08 | 显示全部楼层
长时间没来看了 ~~  
发表于 2011-2-20 06:36:48 | 显示全部楼层
不错,支持下  
发表于 2011-3-18 06:46:00 | 显示全部楼层
顶你一下.  
发表于 2011-3-23 06:59:07 | 显示全部楼层
顶上去  
发表于 2011-5-1 06:35:47 | 显示全部楼层
好久没去关注了,今天再去看看,谢谢了!  
发表于 2011-5-17 06:34:52 | 显示全部楼层
我呆了  
发表于 2011-5-18 06:31:05 | 显示全部楼层
谢谢哦  
您需要登录后才可以回帖 登录 | 免费注册

本版积分规则

b6广告位招商
快速回复 返回顶部 返回列表