当前位置:八五教程网教学知识电脑学习电脑故障维修其他故障如何判断系统进程是否异常» 正文
  1. 如何判断系统进程是否异常

  2. [10-10 23:22:12]   来源:http://www.85jc.com  其他故障   阅读:8461

概要: 但是,这个系统进程也被不法之人利用了。若你在任务管理器中发现以下异常现象,那么就要恭喜你了,你中木马了。 异常现象: 1、不是以系统用户名(system)身份运行的,并且,运行目录不是SYSTEM32下面的,那么就说明这个进程有异常。我们要注意,若是系统的正常的SMSS进程,一定是以系统用户名运行的,并且,一定是在SYSTEM32目录下运行。否则的话,就不是系统本身的SMSS进程,很可能是木马伪造的进程。 2、在系统中有同时出现两个或者两个以上SMSS进程,那么你就要注意了,你电脑很可能中了木马。 现在最常见的SMSS进程异常是由WIN32.LADEX.A木马所造成的。这个木马病毒危害很大,他不仅允许攻击者访问你的电脑,而且,还会窃取你的机密文件与个人密码。这个危害性是很大的。根据官方的建议,若发现这个进程异常的话,要马上删除这个进程,并进行杀毒工作。 这个木马若手工删除的话,非常的麻烦。以前有一电脑中了这个木马,整整花了一天的时间,删除关联文件,修改注册表,才清除干净。

如何判断系统进程是否异常,标签:其他设备故障维修,电脑维修大全,http://www.85jc.com

    但是,这个系统进程也被不法之人利用了。若你在任务管理器中发现以下异常现象,那么就要恭喜你了,你中木马了。  

    异常现象:  

    1、不是以系统用户名(system)身份运行的,并且,运行目录不是SYSTEM32下面的,那么就说明这个进程有异常。我们要注意,若是系统的正常的SMSS进程,一定是以系统用户名运行的,并且,一定是在SYSTEM32目录下运行。否则的话,就不是系统本身的SMSS进程,很可能是木马伪造的进程。  

    2、在系统中有同时出现两个或者两个以上SMSS进程,那么你就要注意了,你电脑很可能中了木马。 

    现在最常见的SMSS进程异常是由WIN32.LADEX.A木马所造成的。这个木马病毒危害很大,他不仅允许攻击者访问你的电脑,而且,还会窃取你的机密文件与个人密码。这个危害性是很大的。根据官方的建议,若发现这个进程异常的话,要马上删除这个进程,并进行杀毒工作。  

    这个木马若手工删除的话,非常的麻烦。以前有一电脑中了这个木马,整整花了一天的时间,删除关联文件,修改注册表,才清除干净。一般不建议手工删除这个木马,太麻烦,而且比较专业,要求对这个病毒有比较彻底的认识与了解。若发现这个进程异常时,建议采取如下操作: 

    1)、在任务管理器下,马上关闭这个进程。有时候,可能利用系统的进程管理器还不能关闭这个进程,需要在安全模式下,才能关闭。所以,我们的第一要务,就是想尽一切可以想的办法,把这个进程先结束掉,如此,我们才可以做其他的工作。  

    2)、在杀毒软件网站上,找这个木马的专杀工具。这个病毒其关联的范围太广,若手工删除的话,太浪费时间,一不小心的话,那边还会剩下漏网之雨。即使熟悉这个木马的人,要把木马清除干净的话,若没有半天的时间估计也搞不定。而且,因为要修改注册表等信息,所以手工修改也会发生错误。我的建议是,从网上寻找一个转杀工具,用来查杀一下就可以了。 

    3)、利用专杀工具杀掉病毒后,要提醒中木马电脑的用户,要及时修改密码。如用户邮箱、QQ等即时通信工具的密码;若在这台电脑上使用过网上银行的话,还要修改这个网上银行的密码。因为这些信息很可能在用户不知情的情况下,就已经被攻击者所获取。所以,不怕一万,就怕万一,要即使修改这些信息,防止被攻击者非法利用。  

    四、Winlogon进程异常  

    这个进程是微软操作系统的用户登陆程序,管理用户的登陆与退出。该进程正常运行路径已经为SYSTEM32路径下并且是以SYSTEM系统身份用户运行。 

    但是,不幸的是,这个进程已经被落雪木马看中。  

    进程异常现象:  

    当你打开系统进程查看器查看你的系统进程时,若你发现你的系统中有个大写的WINLOGON进程并且该进程不是以SYSTEM系统用户名身份运行,而是当前帐户身份运行的话,那你就中了这个所谓的落雪病毒。 这个病毒很顽固,而且,也很狡猾,这个木马是由VB程序语言编写,通过北斗壳技术进行加壳处理。病毒文件名被模拟成正常的系统工具名称,但是,文件扩展名变成了COM,而正常的系统进程是以EXE结尾的。这是落雪木马利用了微软操作系统的一个特性。当有两个文件,如A.EXE与A.COM两个文件。这个两个文件都是可执行文件,而且,文件名相同,只是扩展名不同。此时,我们若在命令行中,输入A运行A程序时,系统会优先执行A.COM程序。这是为什么呢?原来微软操作系统执行COM文件的优先级别要比执行EXE的文件级别高。如此,当用户在命令行中输入A,此时,系统运行的不是系统征程的进程或者程序,而是木马病毒。该病毒在运行时,还会创建一个WINLOGON.EXE进程,所以,我们查看进程管理器的时候,会发现有两个WINLOGON进程。只是一个是大写名字,一个是小写名字。另外运行的用户与路径也有差异。  

上一页  [1] [2] [3] [4]  下一页


Tag:其他故障其他设备故障维修,电脑维修大全电脑学习 - 电脑故障维修 - 其他故障

上一篇:内存插槽损坏造成系统死机
留言板
取消 发布留言