您當前所在位置:
首頁 →
網絡安全 →
病毒防治 →
教你揪出偽裝系統(tǒng)木馬并清除
教你揪出偽裝系統(tǒng)木馬并清除
時間:2015-06-28 00:00:00
來源:IT貓撲網
作者:網管聯(lián)盟
我要評論(0)
面對日新月異的病毒和木馬��,有時利用手工檢查及清除病毒���,還是有必要的,本文以偽裝成系統(tǒng)的Wmiprvse.exe進程木馬為例��,來對其木馬的清除做以循序漸進的講解����。
首先,按住鍵盤上的"Ctrl+Alt+Del"鍵��,將"任務管理器"打開����,并且切入至"進程"標簽。不過今日與以往不同的是�����,從"進程"標簽里���,卻突然發(fā)現多出一個Wmiprvse.exe進程�����。于是利用百度搜索了一下Wmiprvse.exe進程的相關資料�,給出的答案是wmiprvse.exe是微軟Windows操作系統(tǒng)的一部分。用于通過WinMgmt.exe程序處理WMI操作����,這個程序對你系統(tǒng)的正常運行是非常重要的。
看到這里可能覺得這是一個正常安全的程序進程����,于是也就沒當回事,又開始了自己的網游"生涯"���,但是好景不長沒過多久,電腦開始自動重新啟動�,而且之后又斷斷續(xù)續(xù)的重啟了幾回。在沒有任何可懷疑的對象時��,可以選擇利用系統(tǒng)的搜索功能�����。查找一下這個突然出現的Wmiprvse.exe程序文件�����,結果卻出現了兩個同樣的Wmiprvse.exe文件并存的現象(圖1)。
仔細觀察一下��,發(fā)現兩個程序文件大小相同���,不過有個Wmiprvse.exe文件在Windows2目錄下��,接著進一步看了兩個文件夾的創(chuàng)建時間���,Windows2確實是在自己重裝系統(tǒng)時間內,所以兩個都是系統(tǒng)目錄�����,只是前一個在最后一次沒有刪除干凈�。再打開"任務管理器"對話框,發(fā)現系統(tǒng)里存在兩個Wmiprvse.exe進程�,分別由不同權限的用戶運行。位于\System32\wbem文件下的文件才是正常的文件�,換句話說沒有直接刪除的Windows\System32\wbem下的Wmiprvse.exe文件是病毒文件。接著在"任務管理器"對話框內���,將其進程停止后�,又進入到了該進程文件夾內,將其病毒文件刪除���。本以為病毒就這樣被消滅了��,還沒等重新啟動�����,也就過了十分鐘左右����,這個病毒進程又出現在了任務管理器上�����。
抱著寧可錯殺一個�,絕不放過一個病毒文件的心理,再次停止該木馬進程�����,將Windows2目錄里的文件全部刪除后���,又在注冊表編輯器里�����,搜索將相關鍵值進行刪除����,接著重新啟動了一下計算機�,然后打開"任務管理器"對話框,發(fā)現Wmiprvse.exe進程已經不見了��,并且系統(tǒng)總自動重新啟機的現象也以消失了�����,這樣一來真假"美猴王"就見了分曉�。如果你一樣碰到了偽裝Wmiprvse.exe程序的木馬,不如按照本文的思路將病毒清除�,何必又采用費時費力的重裝方案。
關鍵詞標簽:系統(tǒng)木馬,病毒,木馬
相關閱讀
熱門文章
![發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除]()
發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除
![殺毒36計之手動清除PcShare木馬_PcShare木馬清除方法]()
殺毒36計之手動清除PcShare木馬_PcShare木馬清除方法
![注冊表被修改的原因及解決辦法]()
注冊表被修改的原因及解決辦法
![卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活碼/授權許可文件Key]()
卡巴斯基2017/2016破解版_kaspersky卡巴斯基2015/2014/2013/2012/2011/2010激活碼/授權許可文件Key
人氣排行
卡巴斯基2017激活教程_卡巴斯基2017用授權文件KEY激活的方法(完美激活)
解決alexa.exe自動彈出網頁病毒
卡巴斯基2017破解版_Kaspersky卡巴斯基2017激活碼/授權許可文件Key
comine.exe 病毒清除方法
ekrn.exe占用CPU 100%的解決方案
木馬下載者Trojan-Downloader.Win32.FakeFolder.c手工清除解決方案
發(fā)Rootkit.Ads.i 和Trojan.DL.Mach.c病毒如何清除
一招搞定幾萬種木馬----→ 注冊表權限設置
