巧妙利用系統工作手工殺毒

[psac]

高手支招 巧妙利用系統工作手工殺毒

　　一款好的防火牆並不能發現所有病毒；一個好的殺毒軟體並不能殲滅所有的帶毒程序！遇到這些情況我們該做何處理呢？很簡單——手工殺毒。而要論到手工殺毒，就不能不提到系統工作的妙用了。

　　工作、病毒？

　　書上說：「工作為應用程式的執行實例，是應用程式的一次動態執行。」看似高深，我們可以簡單地理解為：它是操作系統當前執行的執行程序。在系統當前執行的執行程序裡包括：系統管理電腦個體和完成各種操作所必需的程序；用戶開啟、執行的額外程序，當然也包括用戶不知道，而自動執行的非法程序(它們就有可能是病毒程序)。

　　危害較大的可執行病毒同樣以「工作」形式出現在系統內部(一些病毒可能並不被工作列表顯示，如「巨集病毒」)，那麼及時檢視並準確殺掉非法工作對於「手工殺毒有起著關鍵性的作用。

　　操作系統如何開啟工作列表？

　　要通過工作列表檢視系統是否染毒，必須開啟當前的執行程序工作列表，Microsoft的每種系統都有相應的開啟方法，但能夠顯示的能力卻因(系統)不同，有所差異：

　　1.　Windows 98 /Me系統

　　開啟系統工作的方式很簡單，快捷鍵「Ctrl+Alt+Delete」(如圖1)，這個視窗大家應該比較熟悉，使用Windows系統的用戶都知道用這個方法來關閉程序，不過它同樣用於顯示系統工作，只是Windows 98系統較初級，對工作的顯示局限於名稱，且裡面所顯示的還有開啟的文件及目錄名，檢視時易混淆。Windows Me的工作開啟方式和Windows 98相同。

　　Windows 9x系統開啟的工作列表混亂且不完全，顯然不便於檢視系統的具體工作狀況，所以建議使用一些工具程序來為Windows 9x系統顯示工作，如「Windows最佳化大師」，在「最佳化大師」的「系統安全最佳化」項內開啟「工作管理」，在圖2所顯示的「Windows 工作管理」視窗內，可以詳細檢視當前電腦所執行的所有工作，及具體程序所在的位置，這樣更方便完成後面要介紹的如何利用工作進行查毒、殺毒。

　　2.　Windows 2000/ XP/2003系統

　　Windows 2000、Windows XP、Windows 2003開啟工作視窗的方式與Windows 9x系統相同，只是三鍵後開啟的是「Windows 工作管理器」視窗，需要選項裡面的「工作」項。Windows 2000系統只顯示具體工作的全名，佔用的記憶體量；Windows XP、Windows 2003系統相比Windows 2000會顯示該工作歸屬於那個用戶下，如操作系統所必須的基礎程序，會在後面的「用戶名」內顯示為「SYSTEM」，由用戶另外開啟的程序則用戶名為當前的系統登入用戶名。

　　通過工作發現、處理病毒

　　在介紹具體的查毒和殺毒前，筆者先回答開篇提出的兩個問題。為什麼殺毒軟體並不能全面的搜尋和殺掉病毒？首先，病毒防火牆是通過對程序進行反彙編，然後與自己的病毒庫進行對比來搜尋病毒，如果病毒較新，而殺毒軟體又未能及時昇級便不能識別病毒。其次，殺毒軟體在發現病毒後，如果是獨立的可執行病毒程序，會選項直接移除的處理方式，而病毒如果被當作工作執行了，殺毒軟體就無能為力了，因為它沒有功能和權限先停止掉系統的這些工作，被當作工作執行的程序是不能被移除的(這也是大家在移除一個程序時，提示該程序正在被使用不能移除的原因)。所以在使用殺毒軟體殺毒時，才會有殺毒完成後，又出現病毒提示的原因。

　　回到原來話題上！通過工作如何發現和殺掉病毒呢？由前面的知識介紹可知，Windows 9X和Windows 2000系統只能顯示工作的名稱，這對判斷該工作是否是病毒還不夠，如果要準確的斷定病毒，最好使用前面介紹的「Windows最佳化大師」來檢視工作程序的源路徑，如果是「C:\windows\system」下的一些未知的「EXE」那便極有病毒的可能性了。Windows XP和Windows 2003系統，工作後會有「用戶名」的顯示，病毒是不可能獲得「SYSTEM」權限的，所以應注意「用戶名」是當前登入用戶的工作，一旦發現是病毒，可以立即「殺掉」。這裡介紹兩個技巧：

　　1.發現可疑工作後，利用Windows的搜尋功能，搜尋該工作所在的具體路徑，通過路徑可以知道該工作是否合法，譬如由路徑「C:\Program Files\3721\assistse.exe」知道該程序是3721的工作，是合法的。

　　2.在對工作是否病毒拿不定主意時，可以複製該工作的全名，如：「xxx.exe」到googl.com或baidu.com這樣的全球搜查引擎上進行搜查，如果是病毒會有相關的介紹網頁。

　　確定了該工作是病毒，首先應該殺掉該工作，對於Windows 9x系統，選該工作後，點擊下面的「結束工作」按鈕，Windows 2000、Windows XP、Windows 2003系統則在工作上按下右鍵在彈出表單上選項「結束工作」。「殺掉」工作後找到該工作的路徑移除掉即可，完成後最好在進行一次殺毒，這樣就萬無一失了。

　　一次利用工作殺毒的具體程序是這樣的：「通過工作名及路徑判斷是否病毒——殺掉工作——移除病毒程序」，為了讓讀者更好的判斷工作，在這裡補充一些Windows的工作資料給大家：

　　工作名帤y述

　　smss.exe垤ession呲anager

　　csrss.exe 峇l系統伺服器工作

　　winlogon.exe庥瑊z用戶登入

　　services.exe峊]含很多系統服務

　　lsass.exe 庥瑊z IP 安全原則以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程式。

　　svchost.exe Windows 2000/XP 的文件保護系統

　　SPOOLSV.EXE 帢N文件載入到記憶體中以便遲後列印。

　　explorer.exe怹仵袬`管

　　internat.exe峖娃L區的拼音圖示

　　mstask.exe峇像\程序在指定時間執行。

　　regsvc.exe峇像\遠端註冊表操作。(系統服務)→remoteregister

　　tftpd.exe 庣窶{ TFTP Internet 標準。該標準不要求用戶名和密碼。

　　llssrv.exe恞珖扆O錄服務

　　ntfrs.exe 峖b多個伺服器間維護文件目錄內容的文件同步。

　　RsSub.exe 帢惆謋峔蚖滓暌x存資料的媒體。

　　locator.exe 庥瑊z RPC 名稱服務資料庫。

　　clipsrv.exe 峇銕龤u剪貼簿檢視器」，以便可以從遠端剪貼簿查閱剪貼頁面。

　　msdtc.exe 峔疆C事務，是分佈於兩個以上的資料庫，消息貯列，文件系統或其他事務保護檔案總管。

　　grovel.exe帢蝶佴s制作備份存儲(SIS)捲上的重複文件，並且將重複文件指向一個資料存儲點，以節省磁牒空間(只對 NTFS 文件系統有用)。

　　snmp.exe峊]含代理程序可以監視網路設備的活動並且向網路控制台工作站匯報。

　　以上這些工作都是對電腦執行起至關重要的，千萬不要隨意「殺掉」，否則可能直接影響系統的正常執行。