Question

怎样在任务管理器里认出病毒文件

有时电脑中毒了，任务管理器里CPU正常，这样的情况要怎样才能认出进程里哪人是病毒文件？

Answer 1

1.必须关闭病毒进程.方法如下:任务管理器的进程表示我们目前电脑正在运行的程序。那这些程序哪些是合法的，哪些是系统必须的，不能关闭；哪些可能是病毒程序呢？下面以图简单谈谈识别的技巧。 1。用任何管理器。看图: a. 系统文件：进程中用户名标为system,network service,local service 一般是系统进程，不可关闭，关闭会出现提示禁止关闭就算能关闭也可能造成系统不稳定，或一些服务无法使用。 b.合法软件：进程中用户名为用户名字的，图中的liu就是本人缺链的用户名，那么那些进程就不是系统进程，那是你启动的一些软件的名字 c.可能的病毒木马：如果用户名为LIU的，除去你自己打开的软件，剩下的就可能有问题。特别是病毒喜欢把自己的名字弄的与系统文件 一样。但用户名中却一目了然。 注：很多人说到打开任务管理器没有显示打开的用户名，是因为服务被关闭。打开方法：开始菜单－控制面板－管理工具－服务，在打开的服务窗口中找到Terminal Services，启用它就可以看到用户名了。但这个命令关系远程控制的，建议还是关闭为好。 当然系统自带的任务管理器太烂,网上有很多进程软件,希望大 家推荐几个.我这里介绍PrcMgr.他能辨认大部分系统进程,只要是系统 进程,在右边的窗口中会介绍这个进程的作用.如果不是系统文件,会 用红色的字显示程序不认识.当然你也可以把自己常用的软件加进程 序的资料库,下次程序就能认出是合法进程.而那些病毒非法侵入,当然 程序不认识,我们也可以一眼判断出来. 3.上面讲得是如何查看进程。下面说说如何禁止病毒进程。 一般直接在任务管理器或进程管理软件中点击，关闭即可。 上面图1共有6个病毒进程，分别是lsas32.exe,winmgr.exe,inte.exe, syslog.exe,csrss32.exe ,csrss.exe，剩下的以LIU为用户名的进程都是我打开的软件。 用任务管理器能杀死前5个，但CSRSS.EXE关闭时却提示 “系统重要进程，无法关闭”，如上面图2所示，就因为它与真正的系统进程CSRSS.EXE同名。可能有很多进程软件可以强制查杀，我用的是脱壳软件PEiD的任务管理器，强制查杀。如图1： 二。修正注册表。 主要是以下方面： 1.删除病毒的自启动。 a.运行－－MSCONFIG，如咐扮码图2。不仅“启动”页要查，SYSTEM.INI, WIN.INI,BOOT.INI页要逐项认真查看，特别注意LOAD=,RUN=的值，最重要的还有服务那一页。看图中解说。 B.运行－－REGEDIT，启动注册表。查找所有启动的项目。主要有以下键值： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run HKEY_USERS\.DEFAULT\衡哪Software\Microsoft\Windows\CurrentVersion\Run （以上各项，可以进注册表查找所有“RUN"项，删除右边窗口键值） 所有RUNservicesOnce键 所有RUNservices键。 查找所有RUNONCE键. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的两个 重要键值，很隐秘： SHELL＝EXPLORER.EXE（后面可以跟上其他程序，会自启动。格式：EXPLORER.EXE *.EXE userinit＝userinit.exe（格式：userinit=userinit.exe,*.exe,*.exe 可以跟很多程序，以逗号隔开）