根据PID查杀木马

l520ove · 发表于 2013-6-4 18:59

故障问题：xp系统最近发现系统进程中有一个名为“kernel32.exe”的进程，该进程占用了90%左右的CPU资源，这是不是木马程序，如何查杀呢？故障处理：可以根据任务管理器PID（进程标识符）线索来确认和查杀木马。默认情况下任务管理器进程列表中是没有“PID”项显示的，单击“查看”-“选择列”菜单命令，然后勾选“PID”复选框即可。
例如，通过查看确认kernel32.exe进程的PID是888。打开命令提示符窗口，输入命令“netstat –ano –p tcp”（如果是Windows 2000系统，就输入“netstat –ano –p tcp”命令），这时就会显示本机开放的所有端口，发现PID为888的进程正在通过电脑7626端口进行监听。已知7626端口是“冰河”木马的监听端口，因此可以判断该进程就是“冰河”木马。
首先结束kernel32.exe进程。通过查找，从c:\windows\system32\目录下发现原程序，将其删除。然后打开注册表编辑器，展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run子键，将有关该木马的启动项删除，即可清除该木马。感谢ghost338.com提供技术文章。