1、服务进程谁在调用
一般情况下,我们通过查看服务进程的用户名信息,就能知道可疑进程是否是病毒或木马了。要查看服务进程的具体用户名信息时,通常情况下只要打开系统的任务管理器界面,并进入到其中的“进程”标签页面,然后根据进程标识就能知道对应的“用户名称”了。倘若在进程标签设置页面中,无法看到对应的用户名称时,你不妨在任务管理器界面中依次单击菜单栏中的“查看”、“选择列”项目,在随后出现的如图1所示的设置窗口中,看看“用户名”选项有没有被选中,正常情况下,该选项被选中就能保证在进程标签页面中看到对应进程的用户名信息了;
图1
倘若通过上面的设置仍然无法查看具体的进程“用户名”时,你不妨再打开系统的“开始”菜单,然后依次选中“程序”、“管理工具”、“服务”选项,在接着打开的服务列表界面中,选中“Terminal Service”服务项目,并用鼠标双击之,在弹出的服务属性设置窗口中,看看“Terminal Service”服务项目是否被停止了,要是已经停止或没有被配置的话,必须将该服务重新启动起来,只有这样才能在进程标签页面中查看到具体进程的用户名。
2、“顽固”进程强行关闭
关闭服务进程最简单的方法,通常是在任务管理器的进程标签页面中,先选中目标进程,再单击“结束进程”命令就能实现关闭目的了。事实上,“结束进程”命令并不是万能的,因为正在使用的或一些“顽固”的服务进程,就无法通过结束进程的方式来关闭掉,这些进程多半具有自我保护功能,或正被具体的某个程序所调用。当然,这些非常规进程并不是不能被关闭,借助一些特殊的方法,我们完全可以将它们“强行”关闭。
如果你使用的是Windows 2000或Windows XP操作系统的话,那么你可以通过系统内置的“Ntsd”命令,来实现强行关闭顽固服务进程的目的。在关闭顽固进程时,可以依次执行“开始”/“运行”命令,在弹出的系统运行框中输入“cmd”字符串命令,单击“确定”按钮后,系统将被自动切换到MS-DOS运行环境;
接着在命令提示符下,输入字符串命令“ntsd -c q -p 进程标识”(其中进程标识可以通过系统任务管理器窗口查看获得),单击回车键后就可以将特定标识的服务进程“强行”关闭了;当然这种方法并不能把所有的服务进程都关闭掉,例如CSRSS.EXE进程、SMSS.EXE进程、System进程都是无法被关闭的。
如果你使用的是其他操作系统的话,那么你不妨借助一些专业的查杀工具来关闭顽固进程。目前这方面的专业工具有很多,例如Kill process、Icesword、进程杀手等,通过这些专业工具我们能很轻松地将绝大多数进程关闭掉。比方说,将“进程杀手”工具安装到服务器系统中后,该工具就能自动精简服务器中的进程,并且可以将服务器必需进程以外的其他进程全部自动停止掉。对于那些正在运行的任何服务进程,你可以在该程序的进程列表界面中选中它,再执行“中止进程”命令就可以了。
此外,一些病毒进程具有自身复制功能,它在发作时往往调用的进程数不止一个,如果强行关闭其中一个,它又会被其他相关子进程自动生成。要关闭这类顽固进程时,可以通过任务管理器窗口中的“结束进程树”功能来实现。例如,我们可以在服务进程标签页面中,选中病毒调用的一个进程,然后右击该进程的名称,再执行图2右键菜单中的“结束进程树”选项命令,如此一来就可以将病毒调用的一系列进程全部关闭了。
图2
3、从服务进程中寻找“祸害”
考虑到不少病毒或木马发作的时候,常常会在服务器系统中自动打开对应的进程;为了便于准确、快速地将潜藏在服务器中的“祸害”揪出,我们不妨把那些值得怀疑的服务进程名称,直接复制并粘贴到google.com搜索引擎中,然后通过该搜索引擎查找一下这些可疑进程的具体来历;一般情况下,可疑进程要是是病毒或木马的话,搜索引擎还会提示你用相应的查杀工具来清除它们,并且你还能知道对应病毒或木马在服务器系统中还生成了哪些进程。比方说,在google.com搜索引擎中搜索“avserve.exe”名字时,发现该进程名称是由“震荡波”病毒生成的(如图3所示),通过搜索你还会发现这种病毒还会在服务器中生成avserve2.exe进程、*_up.exe进程等,根据这些搜索结果我们就能有的放矢地关闭“祸害”进程了。
图3