Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows 7系統教程 >> Win7系統應用技巧 >> 揪出偽裝系統木馬並清除的妙招

揪出偽裝系統木馬並清除的妙招

日期:2017/1/24 20:14:37      編輯:Win7系統應用技巧

  黑客入侵電腦後要做的事就是上傳木馬後門,為了能夠讓上傳的木馬不被發現,他們會想盡種種方法對其進行偽裝。而作為被害者,我們又該如何識破偽裝,將系統中的木馬揪出來並統統清除掉呢!用殺毒軟件,no,no,no,還是利用手工檢查及清除病毒.

  曾經陪伴我們多年的殺毒軟件,面對日新月異的病毒和木馬,它們顯得很“單薄”,是乎很難再將其驅除出境,有的甚至連病毒及木馬的存在都無法發現,更別提如何進行清除。因此有時利用手工檢查及清除病毒,還是有必要的,本文以偽裝成系統的Wmiprvse.exe進程木馬為例,來對其木馬的清除做以循序漸進的講解。

  首先,按住鍵盤上的“Ctrl+Alt+Del”鍵,將“任務管理器”打開,並且切入至“進程”標簽。不過今日與以往不同的是,從“進程”標簽裡,卻突然發現多出一個Wmiprvse.exe進程。於是利用百度搜索了一下Wmiprvse.exe進程的相關資料,給出的答案是wmiprvse.exe是微軟Windows操作系統的一部分。用於通過WinMgmt.exe程序處理WMI操作,這個程序對你系統的正常運行是非常重要的。

  看到這裡可能覺得這是一個正常安全的程序進程,於是也就沒當回事,又開始了自己的網游“生涯”,但是好景不長沒過多久,電腦開始自動重新啟動,而且之後又斷斷續續的重啟了幾回。在沒有任何可懷疑的對象時,可以選擇利用系統的搜索功能。查找一下這個突然出現的Wmiprvse.exe程序文件,結果卻出現了兩個同樣的Wmiprvse.exe 文件並存的現象。

  仔細觀察一下,發現兩個程序文件大小相同,不過有個Wmiprvse.exe文件在Windows2 目錄下,接著進一步看了兩個文件夾的創建時間,Windows2確實是在自己重裝系統時間內,所以兩個都是系統目錄,只是前一個在最後一次沒有刪除干淨。再打開“任務管理器”對話框,發現系統裡存在兩個Wmiprvse.exe進程,分別由不同權限的用戶運行。位於\System32\wbem文件下的文件才是正常的文件,換句話說沒有直接刪除的Windows\System32\wbem下的Wmiprvse.exe文件是病毒文件。接著在“任務管理器”對話框內,將其進程停止後,又進入到了該進程文件夾內,將其病毒文件刪除。本以為病毒就這樣被消滅了,還沒等重新啟動,也就過了十分鐘左右,這個病毒進程又出現在了任務管理器上。

  抱著寧可錯殺一個,絕不放過一個病毒文件的心理,再次停止該木馬進程,將Windows2目錄裡的文件全部刪除後,又在注冊表器裡,搜索將相關鍵值進行刪除,接著重新啟動了一下計算機,然後打開“任務管理器”對話框,發現Wmiprvse.exe進程已經不見了,並且系統總自動重新啟機的現象也以消失了,這樣一來真假“美猴王”就見了分曉。如果你一樣碰到了偽裝Wmiprvse.exe程序的木馬,不如按照本文的思路將病毒清除,何必又采用費時費力的重裝方案。

  系統中“木馬”是一件很頭疼的事情,上面小編就先介紹這些木馬程序的隱藏伎倆、自動加載方法, 及其針對這些伎倆的應對辦法,希望對大家有所幫助.

Copyright © Windows教程網 All Rights Reserved