怎么样才能在任务管理器的进程中看出有没有病毒和木马?
看CPU使用率,一般普通程序不占多少CPU使用率,病毒一般都会占满,99%-100%。当然大型游戏的也是,不过一般大型游戏的进程名你应该认得吧。也有那种什么都不占,但是占网速的,如果感觉网速慢,就打开看看,系统进程用户名是system,不是系统进程就会显示你的用户名,还有一般的病毒进程名称都模仿系统进程,看到名字很像但是用户名不是system的就要查查了,还有一些是类似的,比如0和o还有小写L和1还有I,病毒一般会变化成相近的字母来隐藏自己,不让用户发现
怎样从自己电脑进程里面查找木马或者病毒进程?
再进程中
不稳定
也就是一会有
一会没有的进程
基本上都是病毒进程
都可以终止了
不过
很多这样的进程手动是删除不了的
当你删除了他会再次出现
最好的办法就是下载杀毒软件
杀毒后
这些进程就没有了
呵呵
怎么在进程中看出有木马程序
愿我的答案 能够解决您的烦忧
这个最好的办法就是去全盘扫描,只能这样,或者是占CPU的文件什么的
1,中了木马进行按我说的去查杀比较好。
2,下载腾讯电脑管家“8.3”最新版,对电脑首先进行一个体检,打开所有防火墙避免系统其余文件被感染。
3,打开杀毒页面开始查杀,切记要打开小红伞引擎。
4,如果普通查杀不能解决问题,您可以打开腾讯电脑管家---工具箱---顽固木马专杀- 进行深度
扫描。
5,查杀处理完所有病毒后,立刻重启电脑,再进行一次安全体检,清除多余系统缓存文件,避免二次感染。
如果您对我的答案不满意,可以继续追问或者提出宝贵意见,谢谢
怎么从进程中找出病毒和木马
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。 但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
一、病毒进程隐藏三法
当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
1.1 以假乱真
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现 过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别 了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字 之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个 iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
1.2 偷梁换柱
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为 svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件 这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是 C:WINNTsystem32目录),如果病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,我们在“任务管理器” 中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
1.3 借尸还魂
除了上文中的两种方法外,病毒还有一招终极********借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件 插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困 难的。
二、系统进程解惑
上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
2.1 svchost.exe
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为 了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序 指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook” 服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可 以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进 程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果 svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进 程管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。
2.2 explorer.exe
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们 经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任 务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理 计算机中的资源。
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:Windows”目录,除此之外则为病毒。
如何在进程里查看病毒或木马?
很难的!!
特征一般不存在,都是exe的进程,看不出来。下面是一些病毒木马的进程部分,看起来挺麻烦的。
所以楼主可以下载360安全卫士用进程管理器查看进程,结束一些不安全的进程。毕竟软件还是会帮助我们判断的。
180ax.exe a.exe actalert.exe
adaware.exe Alchem.exe alevir.exe
aqadcup.exe archive.exe arr.exe
ARUpdate.exe asm.exe av.exe
avserve.exe avserve2.exe backWeb.exe
bargains.exe basfipm.exe belt.exe
Biprep.exe blss.exe bokja.exe
bootconf.exe bpc.exe brasil.exe
BRIDGE.DLL Buddy.exe BUGSFIX.EXE
bundle.exe bvt.exe cashback.exe
cdaEngine cmd32.exe cmesys.exe
conime.exe conscorr.exe crss.exe
cxtpls.exe datemanager.exe dcomx.exe
Desktop.exe directs.exe divx.exe
dllreg.exe dmserver.exe dpi.exe
dssagent.exe dvdkeyauth.exe emsw.exe
exdl.exe exec.exe EXP.EXE
explore.exe explored.exe Fash.exe
ffisearch.exe fntldr.exe fsg_4104.exe
FVProtect.exe game.exe gator.exe
gmt.exe goidr.exe hbinst.exe
hbsrv.exe hwclock.exe hxdl.exe
hxiul.exe iedll.exe iedriver.exe
IEHost.EXE iexplorer.exe infus.exe
infwin.exe intdel.exe isass.exe
istsvc.exe jawa32.exe jdbgmrg.exe
kazza.exe keenvalue.exe kernel32.exe
lass.exe lmu.exe loader.exe
lssas.exe mapisvc32.exe mario.exe
md.exe mfin32.exe mmod.exe
mostat.exe msapp.exe msbb.exe
msblast.exe mscache.exe msccn32.exe
mscman.exe msdm.exe msgfix.exe
msiexec16.exe msinfo.exe mslagent.exe
mslaugh.exe msmc.exe msmgt.exe
msmsgri32.exe MSN.exe msrexe.exe
mssvc32.exe mssys.exe msvxd.exe
mwsoemon.exe mwsvm.exe netd32.exe
nls.exe nssys32.exe nstask32.exe
nsupdate.exe ntfs64.exe NTOSA32.exe
omniscient.exe onsrvr.exe optimize.exe
P2P Networking.exe pcsvc.exe pgmonitr.exe
PIB.exe powerscan.exe prizesurfer.exe
prmt.exe prmvr.exe ray.exe
rb32.exe rcsync.exe rk.exe
run32dll.exe rundll16.exe ruxdll32.exe
saap.exe sahagent.exe saie.exe
sais.exe salm.exe satmat.exe
save.exe savenow.exe sc.exe
scam32.exe scrsvr.exe scvhost.exe
SearchUpdate33.exe SearchUpgrader.exe soap.exe
spoler.exe Ssk.exe start.exe
stcloader.exe Susp.exe svc.exe
svchosts.exe svshost.exe SyncroAd.exe
sysfit.exe system.exe system32.exe
tb_setup.exe TBPS.EXE teekids.exe
tibs3.exe trickler.exe ts.exe
ts2.exe tsa.exe tsadbot.exe
tsl.exe tsm2.exe Tvm.exe
tvmd.exe tvtmd.exe update.exe
updater.exe updmgr.exe VVSN.exe
wast.exe web.exe webdav.exe
webrebates.exe webrebates0.exe win-bugsfix.exe
win_upd2.exe win32.exe win32us.exe
winactive.exe winad.exe winadalt.exe
winadctl.exe WinAdTools.exe WINdirect.exe
windows.exe wingo.exe wininetd.exe
wininit.exe winlock.exe winlogin.exe
winmain.exe winnet.exe winppr32.exe
winrarshell32.exe WinRatchet.exe WinSched.exe
winservn.exe winshost.exe winssk32.exe
winstart.exe winstart001.exe WinStatKeep.exe
wintaskad.exe Wintime.exe wintsk32.exe
winupdate.exe winupdt.exe winupdtl.exe
winxp.exe wmon32.exe wnad.exe
wo.exe wovax.exe wsup.exe
wsxsvc.exe wtoolsa.exe WToolsA.exe
wtoolss.exe wuamgrd.exe wupdate.exe
wupdater.exe wupdmgr.exe wupdt.exe
Xhrmy.exe y.exe
有问题追我
如何通过进程知道是否中毒或中木马?
系统直观判断是否中毒:
1、操作系统速度变慢甚至卡机;
2.用杀毒软件查杀一下;
3.显示隐藏文件,看有没有奇怪的文件,有可能是病毒或木马!
4.按Ctrl+Alt+Delete打开任务管理器后有很多怪异名称的进程或者不明进程,看到后应该用百度搜索进程名,判断是否是病毒;
操作系统进程描述:
system process
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描述: Windows页面内存管理进程,拥有0级优先。
是否为系统进程: 是
alg.exe
进程文件: alg or alg.exe
进程名称: 应用层网关服务
描述: 这是一个应用层网关服务用于网络共享。
是否为系统进程: 是
csrss.exe
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描述: 客户端服务子系统,用以控制Windows图形相关子系统。
是否为系统进程: 是
ddhelp.exe
进程文件: ddhelp or ddhelp.exe
进程名称: DirectDraw Helper
描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
是否为系统进程: 是
dllhost.exe
进程文件: dllhost or dllhost.exe
进程名称: DCOM DLL Host进程
描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
是否为系统进程: 是
inetinfo.exe
进程文件: inetinfo or inetinfo.exe
进程名称: IIS Admin Service Helper
描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。
是否为系统进程: 是
internat.exe
进程文件: internat or internat.exe
进程名称: Input Locales
描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。
是否为系统进程: 是
kernel32.dll
进程文件: kernel32 or kernel32.dll
进程名称: Windows壳进程
描述: Windows壳进程用于管理多线程、内存和资源。
是否为系统进程: 是
lsass.exe
进程文件: lsass or lsass.exe
进程名称: 本地安全权限服务
描述: 这个本地安全权限服务控制Windows安全机制。
是否为系统进程: 是
mdm.exe
进程文件: mdm or mdm.exe
进程名称: Machine Debug Manager
描述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。
是否为系统进程: 是
mmtask.tsk
进程文件: mmtask or mmtask.tsk
进程名称: 多媒体支持进程
描述: 这个Windows多媒体后台程序控制多媒体服务,例如MIDI。
是否为系统进程: 是
mprexe.exe
进程文件: mprexe or mprexe.exe
进程名称: Windows路由进程
描述: Windows路由进程包括向适当的网络部分发出网络请求。
是否为系统进程: 是
msgsrv32.exe
进程文件: msgsrv32 or msgsrv32.exe
进程名称: Windows信使服务
描述: Windows信使服务调用Windows驱动和程序管理在启动。
是否为系统进程: 是
mstask.exe
进程文件: mstask or mstask.exe
进程名称: Windows计划任务
描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。
是否为系统进程: 是
regsvc.exe
进程文件: regsvc or regsvc.exe
进程名称: 远程注册表服务
描述: 远程注册表服务用于访问在远程计算机的注册表。
是否为系统进程: 是
rpcss.exe
进程文件: rpcss or rpcss.exe
进程名称: RPC Portmapper
描述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
是否为系统进程: 是
下面是危险进程查看:(也可以找到关于注册表的情况)
http://www.pc235.com/software/13243.html
关于你电脑修改时间的问题:
修改时间又变回修改之前的情况应该可以判断你电脑中毒了!无论你怎么修改都没用,只有先杀毒,杀完了以后再修改就OK了!
如何从进程查看是否中了病毒和木马?
这需要大量的进程和windows系统知识,而且有些正常的进程里也可能注入了
木马病毒
的程序,高级的木马病毒用rootkit技术可以隐藏进程。。
如何通过进程查看病毒
1,是不是进程的用户名是SYSTEM就一定安全?
答:不是。
2,看到很多进程,比如smss,csrss,LSASS,winlogon,svchost。这些进程,有的时候是大写的,有的时候是小写的,这是否和病毒木马有关?经常看到以上进程名的木马或者病毒,但是没办法区别这个进程是否是病毒木马。
答:进程大小写没有什么关系,你可以结束桌面进程在运行中输入小写也是一样的。关与进程的介绍与学习建议使用windows进程管理器(不是原的进程管理器,需要下载)
3,SVCHOST这个进程应该有几个?分别在哪个用户名下。
答:在windows XP中,一般有4个以上的svchost.exe服务进程,我的电脑中是6个。(svchost是多个服务共享一个 Svchost.exe进程,由svchost调用相应服务的动态链接库来启动服务 )。
4,如何查看这个进程的程序所在位置。比如EXPLORER是在某地,SMSS在某地址。
答:这个可以通过一些安辅软件,可以用冰刃+Wsyscheck来进行查杀,进程的程序所在位置变很简单。(要不用软件很难,你可以拷如U盘中,即使没有网络也可以用,毕竟也是因为需要才有这些软件的)。
5,为什么有的人的任务管理器里就看不到用户名?如何能看到?
答:这个我不太清楚,在查看-选择列,中看有没有钩。不过那好像不是很重要。
6,如何通过进程简单判断是否存在病毒木马。(这个问题很重要,希望得到详细答案)
答:只通过进程是不太可靠的,对于系统的进程要记忆,其它进程可以用排除,系统中文件很多可以看创建时间和注释,要结合数字签名验证来查杀比较有效。启动项、进程、模块、内核、服务函数、联网情况与端口这些都是要注意的。最好带个绿色扫描器,和一些软件如windows清理助手,先用软杀,后用手工,不然要杀到什么时候。
从注册表是可以看到一些信息,比如知道一个木马文件后可以进行查找与之相关的文件,在软件中都有注册表编辑和查找,就是一些常见的项和键要记住,具体的可以在百度搜索病毒处理技术看看。要进行比较完整的分析建议使用SRENG,看看相关的教程就知道看注册表。