文/佚名
一款好的防火牆並不能發現所有病毒;一個好的殺毒軟件並不能殲滅所有的帶毒程序!遇到這些情況我們該做何處理呢?很簡單——手工殺毒。而要論到手工殺毒,就不能不提到系統進程的妙用了。
進程、病毒?
書上說:“進程為應用程序的運行實例,是應用程序的一次動態執行。”看似高深,我們可以簡單地理解為:它是操作系統當前運行的執行程序。在系統當前運行的執行程序裡包括:系統管理計算機個體和完成各種操作所必需的程序;用戶開啟、執行的額外程序,當然也包括用戶不知道,而自動運行的非法程序(它們就有可能是病毒程序)。
危害較大的可執行病毒同樣以“進程”形式出現在系統內部(一些病毒可能並不被進程列表顯示,如“宏病毒”),那麼及時查看並准確殺掉非法進程對於“手工殺毒有起著關鍵性的作用。
操作系統如何打開進程列表?
要通過進程列表查看系統是否染毒,必須打開當前的執行程序進程列表,Microsoft的每種系統都有相應的打開方法,但能夠顯示的能力卻因(系統)不同,有所差異:
1. Windows 98 /Me系統
打開系統進程的方式很簡單,快捷鍵“Ctrl+Alt+Delete”(如圖1),這個窗口大家應該比較熟悉,使用Windows系統的用戶都知道用這個方法來關閉程序,不過它同樣用於顯示系統進程,只是Windows 98系統較初級,對進程的顯示局限於名稱,且裡面所顯示的還有打開的文件及目錄名,查看時易混淆。Windows Me的進程打開方式和Windows 98相同。
Windows 9x系統打開的進程列表混亂且不完全,顯然不便於查看系統的具體進程狀況,所以建議使用一些工具程序來為Windows 9x系統顯示進程,如“Windows優化大師”,在“優化大師”的“系統安全優化”項內打開“進程管理”,在圖2所示的“Windows 進程管理”窗口內,可以詳細查看當前計算機所運行的所有進程,及具體程序所在的位置,這樣更方便完成後面要介紹的如何利用進程進行查毒、殺毒。
2. Windows 2000/ XP/2003系統
Windows 2000、Windows XP、Windows 2003打開進程窗口的方式與Windows 9x系統相同,只是三鍵後打開的是“Windows 任務管理器”窗口,需要選擇裡面的“進程”項。Windows 2000系統只顯示具體進程的全名,占用的內存量;Windows XP、Windows 2003系統相比Windows 2000會顯示該進程歸屬於那個用戶下,如操作系統所必須的基礎程序,會在後面的“用戶名”內顯示為“SYSTEM”,由用戶另外開啟的程序則用戶名為當前的系統登錄用戶名。
通過進程發現、處理病毒
在介紹具體的查毒和殺毒前,筆者先回答開篇提出的兩個問題。為什麼殺毒軟件並不能全面的查找和殺掉病毒?首先,病毒防火牆是通過對程序進行反匯編,然後與自己的病毒庫進行對比來查找病毒,如果病毒較新,而殺毒軟件又未能及時升級便不能識別病毒。其次,殺毒軟件在發現病毒後,如果是獨立的可執行病毒程序,會選擇直接刪除的處理方式,而病毒如果被當作進程執行了,殺毒軟件就無能為力了,因為它沒有功能和權限先停止掉系統的這些進程,被當作進程執行的程序是不能被刪除的(這也是大家在刪除一個程序時,提示該程序正在被使用不能刪除的原因)。所以在使用殺毒軟件殺毒時,才會有殺毒完成後,又出現病毒提示的原因。
回到原來話題上!通過進程如何發現和殺掉病毒呢?由前面的知識介紹可知,Windows 9X和Windows 2000系統只能顯示進程的名稱,這對判斷該進程是否是病毒還不夠,如果要准確的斷定病毒,最好使用前面介紹的“Windows優化大師”來查看進程程序的源路徑,如果是“C:windowssystem”下的一些未知的“EXE”那便極有病毒的可能性了。Windows XP和Windows 2003系統,進程後會有“用戶名”的顯示,病毒是不可能獲得“SYSTEM”權限的,所以應注意“用戶名”是當前登錄用戶的進程,一旦發現是病毒,可以立即“殺掉”。這裡介紹兩個技巧:
1.發現可疑進程後,利用Windows的查找功能,查找該進程所在的具體路徑,通過路徑可以知道該進程是否合法,譬如由路徑“C:Program Files3721assistse.exe”知道該程序是3721的進程,是合法的。
2.在對進程是否病毒拿不定主意時,可以復制該進程的全名,如:“xxx.exe”到googl.com或baidu.com這樣的全球搜查引擎上進行搜查,如果是病毒會有相關的介紹網頁。
確定了該進程是病毒,首先應該殺掉該進程,對於Windows 9x系統,選中該進程後,點擊下面的“結束任務”按鈕,Windows 2000、Windows XP、Windows 2003系統則在進程上單擊右鍵在彈出菜單上選擇“結束任務”。“殺掉”進程後找到該進程的路徑刪除掉即可,完成後最好在進行一次殺毒,這樣就萬無一失了。
一次利用進程殺毒的具體過程是這樣的:“通過進程名及路徑判斷是否病毒——殺掉進程——刪除病毒程序”,為了讓讀者更好的判斷進程,在這裡補充一些Windows的進程資料給大家:
進程名描述
smss.exeSessionManager
csrss.exe 子系統服務器進程
winlogon.exe管理用戶登錄
services.exe包含很多系統服務
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。
svchost.exe Windows 2000/XP 的文件保護系統
SPOOLSV.EXE 將文件加載到內存中以便遲後打印。
explorer.exe資源管理器
internat.exe托盤區的拼音圖標
mstask.exe允許程序在指定時間運行。
regsvc.exe允許遠程注冊表操作。(系統服務)→remoteregister
tftpd.exe 實現 TFTP Internet 標准。該標准不要求用戶名和密碼。
llssrv.exe證書記錄服務
ntfrs.exe 在多個服務器間維護文件目錄內容的文件同步。
RsSub.exe 控制用來遠程儲存數據的媒體。
locator.exe 管理 RPC 名稱服務數據庫。
clipsrv.exe 支持“剪貼簿查看器”,以便可以從遠程剪貼簿查閱剪貼頁面。
msdtc.exe 並列事務,是分布於兩個以上的數據庫,消息隊列,文件系統或其他事務保護資源管理器。
grovel.exe掃描零備份存儲(SIS)卷上的重復文件,並且將重復文件指向一個數據存儲點,以節省磁盤空間(只對 NTFS 文件系統有用)。
snmp.exe包含代理程序可以監視網絡設備的活動並且向網絡控制台工作站匯報。
以上這些進程都是對計算機運行起至關重要的,千萬不要隨意“殺掉”,否則可能直接影響系統的正常運行。