1. 如何判断系统进程是否异常

2. [10-10 23:22:12]   来源：http://www.85jc.com  其他故障   阅读：8461次

概要： 但是，这个系统进程也被不法之人利用了。若你在任务管理器中发现以下异常现象，那么就要恭喜你了，你中木马了。 异常现象： 1、不是以系统用户名（system）身份运行的，并且，运行目录不是SYSTEM32下面的，那么就说明这个进程有异常。我们要注意，若是系统的正常的SMSS进程，一定是以系统用户名运行的，并且，一定是在SYSTEM32目录下运行。否则的话，就不是系统本身的SMSS进程，很可能是木马伪造的进程。 2、在系统中有同时出现两个或者两个以上SMSS进程，那么你就要注意了，你电脑很可能中了木马。 现在最常见的SMSS进程异常是由WIN32.LADEX.A木马所造成的。这个木马病毒危害很大，他不仅允许攻击者访问你的电脑，而且，还会窃取你的机密文件与个人密码。这个危害性是很大的。根据官方的建议，若发现这个进程异常的话，要马上删除这个进程，并进行杀毒工作。 这个木马若手工删除的话，非常的麻烦。以前有一电脑中了这个木马，整整花了一天的时间，删除关联文件，修改注册表，才清除干净。

如何判断系统进程是否异常,标签：其他设备故障维修,电脑维修大全,http://www.85jc.com

    但是，这个系统进程也被不法之人利用了。若你在任务管理器中发现以下异常现象，那么就要恭喜你了，你中木马了。  

    异常现象：  

    1、不是以系统用户名（system）身份运行的，并且，运行目录不是SYSTEM32下面的，那么就说明这个进程有异常。我们要注意，若是系统的正常的SMSS进程，一定是以系统用户名运行的，并且，一定是在SYSTEM32目录下运行。否则的话，就不是系统本身的SMSS进程，很可能是木马伪造的进程。  

    2、在系统中有同时出现两个或者两个以上SMSS进程，那么你就要注意了，你电脑很可能中了木马。 

    现在最常见的SMSS进程异常是由WIN32.LADEX.A木马所造成的。这个木马病毒危害很大，他不仅允许攻击者访问你的电脑，而且，还会窃取你的机密文件与个人密码。这个危害性是很大的。根据官方的建议，若发现这个进程异常的话，要马上删除这个进程，并进行杀毒工作。  

    这个木马若手工删除的话，非常的麻烦。以前有一电脑中了这个木马，整整花了一天的时间，删除关联文件，修改注册表，才清除干净。一般不建议手工删除这个木马，太麻烦，而且比较专业，要求对这个病毒有比较彻底的认识与了解。若发现这个进程异常时，建议采取如下操作： 

    1)、在任务管理器下，马上关闭这个进程。有时候，可能利用系统的进程管理器还不能关闭这个进程，需要在安全模式下，才能关闭。所以，我们的第一要务，就是想尽一切可以想的办法，把这个进程先结束掉，如此，我们才可以做其他的工作。  

    2)、在杀毒软件网站上，找这个木马的专杀工具。这个病毒其关联的范围太广，若手工删除的话，太浪费时间，一不小心的话，那边还会剩下漏网之雨。即使熟悉这个木马的人，要把木马清除干净的话，若没有半天的时间估计也搞不定。而且，因为要修改注册表等信息，所以手工修改也会发生错误。我的建议是，从网上寻找一个转杀工具，用来查杀一下就可以了。 

    3)、利用专杀工具杀掉病毒后，要提醒中木马电脑的用户，要及时修改密码。如用户邮箱、QQ等即时通信工具的密码；若在这台电脑上使用过网上银行的话，还要修改这个网上银行的密码。因为这些信息很可能在用户不知情的情况下，就已经被攻击者所获取。所以，不怕一万，就怕万一，要即使修改这些信息，防止被攻击者非法利用。  

    四、Winlogon进程异常  

    这个进程是微软操作系统的用户登陆程序，管理用户的登陆与退出。该进程正常运行路径已经为SYSTEM32路径下并且是以SYSTEM系统身份用户运行。 

    但是，不幸的是，这个进程已经被落雪木马看中。  

    进程异常现象：  

    当你打开系统进程查看器查看你的系统进程时，若你发现你的系统中有个大写的WINLOGON进程并且该进程不是以SYSTEM系统用户名身份运行，而是当前帐户身份运行的话，那你就中了这个所谓的落雪病毒。 这个病毒很顽固，而且，也很狡猾，这个木马是由VB程序语言编写，通过北斗壳技术进行加壳处理。病毒文件名被模拟成正常的系统工具名称，但是，文件扩展名变成了COM，而正常的系统进程是以EXE结尾的。这是落雪木马利用了微软操作系统的一个特性。当有两个文件，如A.EXE与A.COM两个文件。这个两个文件都是可执行文件，而且，文件名相同，只是扩展名不同。此时，我们若在命令行中，输入A运行A程序时，系统会优先执行A.COM程序。这是为什么呢？原来微软操作系统执行COM文件的优先级别要比执行EXE的文件级别高。如此，当用户在命令行中输入A，此时，系统运行的不是系统征程的进程或者程序，而是木马病毒。该病毒在运行时，还会创建一个WINLOGON.EXE进程，所以，我们查看进程管理器的时候，会发现有两个WINLOGON进程。只是一个是大写名字，一个是小写名字。另外运行的用户与路径也有差异。  

上一页  [1] [2] [3] [4]  下一页

上一篇：内存插槽损坏造成系统死机