面對(duì)日新月異的病毒和木馬,有時(shí)利用手工檢查及清除病毒,還是有必要的����,本文以偽裝成系統(tǒng)的Wmiprvse.exe進(jìn)程木馬為例,來(lái)對(duì)其木馬的清除做以循序漸進(jìn)的講解��。
首先����,按住鍵盤(pán)上的"Ctrl+Alt+Del"鍵,將"任務(wù)管理器"打開(kāi)����,并且切入至"進(jìn)程"標(biāo)簽�����。不過(guò)今日與以往不同的是��,從"進(jìn)程"標(biāo)簽里����,卻突然發(fā)現(xiàn)多出一個(gè)Wmiprvse.exe進(jìn)程。于是利用百度搜索了一下Wmiprvse.exe進(jìn)程的相關(guān)資料��,給出的答案是wmiprvse.exe是微軟Windows操作系統(tǒng)的一部分。用于通過(guò)WinMgmt.exe程序處理WMI操作�����,這個(gè)程序?qū)δ阆到y(tǒng)的正常運(yùn)行是非常重要的�����。
看到這里可能覺(jué)得這是一個(gè)正常安全的程序進(jìn)程�,于是也就沒(méi)當(dāng)回事,又開(kāi)始了自己的網(wǎng)游"生涯"�,但是好景不長(zhǎng)沒(méi)過(guò)多久,電腦開(kāi)始自動(dòng)重新啟動(dòng)���,而且之后又?jǐn)鄶嗬m(xù)續(xù)的重啟了幾回��。在沒(méi)有任何可懷疑的對(duì)象時(shí)����,可以選擇利用系統(tǒng)的搜索功能�����。查找一下這個(gè)突然出現(xiàn)的Wmiprvse.exe程序文件��,結(jié)果卻出現(xiàn)了兩個(gè)同樣的Wmiprvse.exe文件并存的現(xiàn)象(圖1)。
仔細(xì)觀察一下���,發(fā)現(xiàn)兩個(gè)程序文件大小相同��,不過(guò)有個(gè)Wmiprvse.exe文件在Windows2目錄下����,接著進(jìn)一步看了兩個(gè)文件夾的創(chuàng)建時(shí)間��,Windows2確實(shí)是在自己重裝系統(tǒng)時(shí)間內(nèi)�����,所以兩個(gè)都是系統(tǒng)目錄�,只是前一個(gè)在最后一次沒(méi)有刪除干凈。再打開(kāi)"任務(wù)管理器"對(duì)話框�,發(fā)現(xiàn)系統(tǒng)里存在兩個(gè)Wmiprvse.exe進(jìn)程����,分別由不同權(quán)限的用戶運(yùn)行。位于\System32\wbem文件下的文件才是正常的文件�����,換句話說(shuō)沒(méi)有直接刪除的Windows\System32\wbem下的Wmiprvse.exe文件是病毒文件。接著在"任務(wù)管理器"對(duì)話框內(nèi)���,將其進(jìn)程停止后�,又進(jìn)入到了該進(jìn)程文件夾內(nèi)����,將其病毒文件刪除。本以為病毒就這樣被消滅了��,還沒(méi)等重新啟動(dòng)����,也就過(guò)了十分鐘左右,這個(gè)病毒進(jìn)程又出現(xiàn)在了任務(wù)管理器上���。
抱著寧可錯(cuò)殺一個(gè)����,絕不放過(guò)一個(gè)病毒文件的心理�,再次停止該木馬進(jìn)程,將Windows2目錄里的文件全部刪除后�����,又在注冊(cè)表編輯器里,搜索將相關(guān)鍵值進(jìn)行刪除��,接著重新啟動(dòng)了一下計(jì)算機(jī)�,然后打開(kāi)"任務(wù)管理器"對(duì)話框,發(fā)現(xiàn)Wmiprvse.exe進(jìn)程已經(jīng)不見(jiàn)了��,并且系統(tǒng)總自動(dòng)重新啟機(jī)的現(xiàn)象也以消失了���,這樣一來(lái)真假"美猴王"就見(jiàn)了分曉��。如果你一樣碰到了偽裝Wmiprvse.exe程序的木馬���,不如按照本文的思路將病毒清除,何必又采用費(fèi)時(shí)費(fèi)力的重裝方案����。
關(guān)鍵詞標(biāo)簽:系統(tǒng)木馬,病毒,木馬
