挖礦病毒在電腦任務管理器如何顯示的
1. 電腦任務管理器上怎麼看那些是病毒
1.你首先要對常見的系統進程比較了解,其次就是你的正在運行的一些進程,排除了這些以後,其它的進程都是直得懷疑的. 這時候你就可以用一些殺毒軟體,如360,進行你的進程檢測.
2.
這個主要是熟悉正常進程有哪些,如果有未知進程就在網路上一搜,主要來說系統進程有:
csrss.exe 子系統伺服器進程
winlogon.exe 管理用戶登錄
services.exe 包含很多系統服務
lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統服務)
產生會話密鑰以及授予用於互動式客戶/伺服器驗證的服務憑據(ticket)。(系統服務)
svchost.exe 包含很多系統服務
svchost.exe
SPOOLSV.EXE 將文件載入到內存中以便遲後列印。(系統服務)
explorer.exe 資源管理器
internat.exe 托盤區的拼音圖標
附加的系統進程(這些進程不是必要的,你可以根據需要通過服務管理器來增加或減少):
mstask.exe 允許程序在指定時間運行。(系統服務)
regsvc.exe 允許遠程注冊表操作。(系統服務)
winmgmt.exe 提供系統管理信息(系統服務)。
inetinfo.exe 通過 Internet 信息服務的管理單元提供 FTP 連接和管理。(系統服務)
tlntsvr.exe 允許遠程用戶登錄到系統並且使用命令行運行控制台程序。(系統服務)
允許通過 Internet 信息服務的管理單元管理 Web 和 FTP 服務。(系統服務)
tftpd.exe 實現 TFTP Internet 標准。該標准不要求用戶名和密碼。遠程安裝服務的一部分。(系統服務)
termsrv.exe 提供多會話環境允許客戶端設備訪問虛擬的 Windows 2000 Professional 桌面會話以及運行在伺服器上的基
於 Windows 的程序。(系統服務)
dns.exe 應答對域名系統(DNS)名稱的查詢和更新請求。(系統服務)
以下服務很少會用到,上面的服務都對安全有害,如果不是必要的應該關掉
tcpsvcs.exe 提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows 2000 Professional 的能力。(系統服務)
支持以下 TCP/IP 服務:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系統服務)
ismserv.exe 允許在 Windows Advanced Server 站點間發送和接收消息。(系統服務)
ups.exe 管理連接到計算機的不間斷電源(UPS)。(系統服務)
wins.exe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務。(系統服務)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多個伺服器間維護文件目錄內容的文件同步。(系統服務)
RsSub.exe 控制用來遠程儲存數據的媒體。(系統服務)
locator.exe 管理 RPC 名稱服務資料庫。(系統服務)
lserver.exe 注冊客戶端許可證。(系統服務)
dfssvc.exe 管理分布於區域網或廣域網的邏輯卷。(系統服務)
clipsrv.exe 支持「剪貼簿查看器」,以便可以從遠程剪貼簿查閱剪貼頁面。(系統服務)
msdtc.exe 並列事務,是分布於兩個以上的資料庫,消息隊列,文件系統,或其它事務保護資源管理器。(系統服務)
faxsvc.exe 幫助您發送和接收傳真。(系統服務)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁碟管理請求的系統管理服務。(系統服務)
mnmsrvc.exe 允許有許可權的用戶使用 NetMeeting 遠程訪問 Windows 桌面。(系統服務)
netdde.exe 提供動態數據交換 (DDE) 的網路傳輸和安全特性。(系統服務)
smlogsvc.exe 配置性能日誌和警報。(系統服務)
rsvp.exe 為依賴質量服務(QoS)的程序和控制應用程序提供網路信號和本地通信控制安裝功能。(系統服務)
RsEng.exe 協調用來儲存不常用數據的服務和管理工具。(系統服務)
RsFsa.exe 管理遠程儲存的文件的操作。(系統服務)
grovel.exe 掃描零備份存儲(SIS)卷上的重復文件,並且將重復文件指向一個數據存儲點,以節省磁碟空間。(系統服務)
SCardSvr.exe 對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。(系統服務)
snmp.exe 包含代理程序可以監視網路設備的活動並且向網路控制台工作站匯報。(系統服務)
snmptrap.exe 接收由本地或遠程 SNMP 代理程序產生的陷阱消息,然後將消息傳遞到運行在這台計算機上 SNMP 管理程序
。(系統服務)
UtilMan.exe 從一個窗口中啟動和配置輔助工具。(系統服務)
msiexec.exe 依據 .MSI 文件中包含的命令來安裝、修復以及刪除軟體。(系統服務)
一般來說cpu和內存佔用率高的進程要麼是殺軟的進程要麼是未響應的程序進程,和病毒進程
2. 電腦病毒運行時在任務管理器中看得到嗎
可以的
任務管理器里的「進程」選項卡里,可以看見
360安全衛士在「高級」里,可以查看當前進程
有進程的說明和安全性介紹
還有,360沒有的,將文件名全部復制到網路,搜一下可以查到
windows優化大師也有相同的功能
VISTA中的任務管理器自帶介紹
3. 怎麼樣才能識別電腦有沒有中毒或木馬,在任務管理器里可以看到嗎
您好:
並不能根據進程的名稱、數量、大小寫等准確的判斷是否中毒,建議您使用瑞星殺毒軟體進行病毒查殺。
4. 如何查看電腦是否被植入了挖礦程序
如何判斷自己的電腦是否被挖礦,怎樣預防?
電腦開機後,所有程序都不打開的情況下。按Ctrl+ALT+Del調出任務管理器,在「進程」卡項中,查看CPU的使用情況。如果看到某個進程佔用了大量的cpu使用情況,並且幾分鍾後都沒有降低的趨勢,這個程序就可能是病毒了。
想要預防自己的電腦被挖礦也很簡單,只要安裝正規的安全軟體,使用安全的瀏覽器,添加安全合適的插件,就可以防止電腦被挖礦了。
當然,如果不瀏覽不正規不健康的網站,不下載盜版游戲,盜版軟體等就更能從根源杜絕電腦被不法分子挖礦的風險。
5. 電腦:怎麼通過任務管理器查出病毒啊
么在任務管理器中的進程一欄中查出那個是病毒程序?
現在病毒、木馬可以把自己弄成任意名字
使用電腦有沒有病毒
不需要也不應該到進程里看;
正確的方法是使用安全工具來檢查:
一般來講,四個工具全面查殺後應該就沒問題了(病毒庫必須是最新的):
建議小紅傘或NOD32查毒、AVG
Anti-Spyware查木馬、Windows清理助手查惡意軟體、360安全衛士修復系統漏洞
工具到這里找:
http://www.17ai.org.cn/
都是免費的、正版的、可以更新的
平時只開小紅傘或NOD32
其他工具偶爾一用
6. 怎樣在任務管理器中看病毒
任何病毒和木馬存在於系統中,都無法徹底和進程脫離關系,即使採用了隱藏技術,也還是能夠從進程中找到蛛絲馬跡,因此,查看系統中活動的進程成為我們檢測病毒木馬最直接的方法。但是系統中同時運行的進程那麼多,哪些是正常的系統進程,哪些是木馬的進程,而經常被病毒木馬假冒的系統進程在系統中又扮演著什麼角色呢?請看本文。
病毒進程隱藏三法
當我們確認系統中存在病毒,但是通過「任務管理器」查看系統中的進程時又找不出異樣的進程,這說明病毒採用了一些隱藏措施,總結出來有三法:
1.以假亂真
系統中的正常進程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你發現過系統中存在這樣的進程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。對比一下,發現區別了么?這是病毒經常使用的伎倆,目的就是迷惑用戶的眼睛。通常它們會將系統中正常進程名的o改為0,l改為i,i改為j,然後成為自己的進程名,僅僅一字之差,意義卻完全不同。又或者多一個字母或少一個字母,例如explorer.exe和iexplore.exe本來就容易搞混,再出現個iexplorer.exe就更加混亂了。如果用戶不仔細,一般就忽略了,病毒的進程就逃過了一劫。
2.偷梁換柱
如果用戶比較心細,那麼上面這招就沒用了,病毒會被就地正法。於是乎,病毒也學聰明了,懂得了偷梁換柱這一招。如果一個進程的名字為svchost.exe,和正常的系統進程名分毫不差。那麼這個進程是不是就安全了呢?非也,其實它只是利用了「任務管理器」無法查看進程對應可執行文件這一缺陷。我們知道svchost.exe進程對應的可執行文件位於「C:\WINDOWS\system32」目錄下(Windows2000則是C:\WINNT\system32目錄),如果病毒將自身復制到「C:\WINDOWS\」中,並改名為svchost.exe,運行後,我們在「任務管理器」中看到的也是svchost.exe,和正常的系統進程無異。你能辨別出其中哪一個是病毒的進程嗎?
3.借屍還魂
除了上文中的兩種方法外,病毒還有一招終極大法——借屍還魂。所謂的借屍還魂就是病毒採用了進程插入技術,將病毒運行所需的dll文件插入正常的系統進程中,表面上看無任何可疑情況,實質上系統進程已經被病毒控制了,除非我們藉助專業的進程檢測工具,否則要想發現隱藏在其中的病毒是很困難的。
系統進程解惑
上文中提到了很多系統進程,這些系統進程到底有何作用,其運行原理又是什麼?下面我們將對這些系統進程進行逐一講解,相信在熟知這些系統進程後,就能成功破解病毒的「以假亂真」和「偷梁換柱」了。
svchost.exe
常被病毒冒充的進程名有:svch0st.exe、schvost.exe、scvhost.exe。隨著Windows系統服務不斷增多,為了節省系統資源,微軟把很多服務做成共享方式,交由svchost.exe進程來啟動。而系統服務是以動態鏈接庫(DLL)形式實現的,它們把可執行程序指向scvhost,由cvhost調用相應服務的動態鏈接庫來啟動服務。我們可以打開「控制面板」→「管理工具」→服務,雙擊其中「ClipBook」服務,在其屬性面板中可以發現對應的可執行文件路徑為「C:\WINDOWS\system32\clipsrv.exe」。再雙擊「Alerter」服務,可以發現其可執行文件路徑為「C:\WINDOWS\system32\svchost.exe -k LocalService」,而「Server」服務的可執行文件路徑為「C:\WINDOWS\system32\svchost.exe -k netsvcs」。正是通過這種調用,可以省下不少系統資源,因此系統中出現多個svchost.exe,其實只是系統的服務而已。
在Windows2000系統中一般存在2個svchost.exe進程,一個是RPCSS(RemoteProcereCall)服務進程,另外一個則是由很多服務共享的一個svchost.exe;而在WindowsXP中,則一般有4個以上的svchost.exe服務進程。如果svchost.exe進程的數量多於5個,就要小心了,很可能是病毒假冒的,檢測方法也很簡單,使用一些進程管理工具,例如Windows優化大師的進程管理功能,查看svchost.exe的可執行文件路徑,如果在「C:\WINDOWS\system32」目錄外,那麼就可以判定是病毒了。
explorer.exe
常被病毒冒充的進程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我們經常會用到的「資源管理器」。如果在「任務管理器」中將explorer.exe進程結束,那麼包括任務欄、桌面、以及打開的文件都會統統消失,單擊「任務管理器」→「文件」→「新建任務」,輸入「explorer.exe」後,消失的東西又重新回來了。explorer.exe進程的作用就是讓我們管理計算機中的資源。
explorer.exe進程默認是和系統一起啟動的,其對應可執行文件的路徑為「C:\Windows」目錄,除此之外則為病毒。
iexplore.exe
常被病毒冒充的進程名有:iexplorer.exe、iexploer.exeiexplorer.exe進程和上文中的explorer.exe進程名很相像,因此比較容易搞混,其實iexplorer.exe是Microsoft Internet Explorer所產生的進程,也就是我們平時使用的IE瀏覽器。知道作用後辨認起來應該就比較容易了,iexplorer.exe進程名的開頭為「ie」,就是IE瀏覽器的意思。
iexplore.exe進程對應的可執行程序位於C:\ProgramFiles\InternetExplorer目錄中,存在於其他目錄則為病毒,除非你將該文件夾進行了轉移。此外,有時我們會發現沒有打開IE瀏覽器的情況下,系統中仍然存在iexplore.exe進程,這要分兩種情況:1.病毒假冒iexplore.exe進程名。2.病毒偷偷在後台通過iexplore.exe干壞事。因此出現這種情況還是趕快用殺毒軟體進行查殺吧。
rundll32.exe
常被病毒冒充的進程名有:rundl132.exe、rundl32.exe。rundll32.exe在系統中的作用是執行DLL文件中的內部函數,系統中存在多少個Rundll32.exe進程,就表示Rundll32.exe啟動了多少個的DLL文件。其實rundll32.exe我們是會經常用到的,他可以控制系統中的一些dll文件,舉個例子,在「命令提示符」中輸入「rundll32.exe user32.dll,LockWorkStation」,回車後,系統就會快速切換到登錄界面了。rundll32.exe的路徑為「C:\Windows\system32」,在別的目錄則可以判定是病毒。
spoolsv.exe
常被病毒冒充的進程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系統服務「Print Spooler」所對應的可執行程序,其作用是管理所有本地和網路列印隊列及控制所有列印工作。如果此服務被停用,計算機上的列印將不可用,同時spoolsv.exe進程也會從計算機上消失。如果你不存在列印機設備,那麼就把這項服務關閉吧,可以節省系統資源。停止並關閉服務後,如果系統中還存在spoolsv.exe進程,這就一定是病毒偽裝的了。
限於篇幅,關於常見進程的介紹就到這里,我們平時在檢查進程的時候如果發現有可疑,只要根據兩點來判斷:
1.仔細檢查進程的文件名;
2.檢查其路徑。
通過這兩點,一般的病毒進程肯定會露出馬腳。
找個管理進程的好幫手
系統內置的「任務管理器」功能太弱,肯定不適合查殺病毒。因此我們可以使用專業的進程管理工具,例如Procexp。Procexp可以區分系統進程和一般進程,並且以不同的顏色進行區分,讓假冒系統進程的病毒進程無處可藏。
運行Procexp後,進程會被分為兩大塊,「System Idle Process」下屬的進程屬於系統進程,explorer.exe」下屬的進程屬於一般進程。我們介紹過的系統進程svchost.exe、winlogon.exe等都隸屬於「System Idle Process」,如果你在「explorer.exe」中發現了svchost.exe,那麼不用說,肯定是病毒冒充的。
7. 怎樣在任務管理器里認出病毒文件
1.必須關閉病毒進程.方法如下:任務管理器的進程表示我們目前電腦正在運行的程序。那這些程序哪些是合法的,哪些是系統必須的,不能關閉;哪些可能是病毒程序呢?下面以圖簡單談談識別的技巧。 1。用任何管理器。看圖: a. 系統文件:進程中用戶名標為system,network service,local service 一般是系統進程,不可關閉,關閉會出現提示禁止關閉就算能關閉也可能造成系統不穩定,或一些服務無法使用。 b.合法軟體:進程中用戶名為用戶名字的,圖中的liu就是本人的用戶名,那麼那些進程就不是系統進程,那是你啟動的一些軟體的名字 c.可能的病毒木馬:如果用戶名為LIU的,除去你自己打開的軟體,剩下的就可能有問題。特別是病毒喜歡把自己的名字弄的與系統文件 一樣。但用戶名中卻一目瞭然。 註:很多人說到打開任務管理器沒有顯示打開的用戶名,是因為服務被關閉。打開方法:開始菜單-控制面板-管理工具-服務,在打開的服務窗口中找到Terminal Services,啟用它就可以看到用戶名了。但這個命令關系遠程式控制制的,建議還是關閉為好。 當然系統自帶的任務管理器太爛,網上有很多進程軟體,希望大 家推薦幾個.我這里介紹PrcMgr.他能辨認大部分系統進程,只要是系統 進程,在右邊的窗口中會介紹這個進程的作用.如果不是系統文件,會 用紅色的字顯示程序不認識.當然你也可以把自己常用的軟體加進程 序的資料庫,下次程序就能認出是合法進程.而那些病毒非法侵入,當然 程序不認識,我們也可以一眼判斷出來. 3.上面講得是如何查看進程。下面說說如何禁止病毒進程。 一般直接在任務管理器或進程管理軟體中點擊,關閉即可。 上面圖1共有6個病毒進程,分別是lsas32.exe,winmgr.exe,inte.exe, syslog.exe,csrss32.exe ,csrss.exe,剩下的以LIU為用戶名的進程都是我打開的軟體。 用任務管理器能殺死前5個,但CSRSS.EXE關閉時卻提示 「系統重要進程,無法關閉」,如上面圖2所示,就因為它與真正的系統進程CSRSS.EXE同名。可能有很多進程軟體可以強制查殺,我用的是脫殼軟體PEiD的任務管理器,強制查殺。如圖1: 二。修正注冊表。 主要是以下方面: 1.刪除病毒的自啟動。 a.運行--MSCONFIG,如圖2。不僅「啟動」頁要查,SYSTEM.INI, WIN.INI,BOOT.INI頁要逐項認真查看,特別注意LOAD=,RUN=的值,最重要的還有服務那一頁。看圖中解說。 B.運行--REGEDIT,啟動注冊表。查找所有啟動的項目。主要有以下鍵值: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run (以上各項,可以進注冊表查找所有「RUN"項,刪除右邊窗口鍵值) 所有RUNservicesOnce鍵 所有RUNservices鍵。 查找所有RUNONCE鍵. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的兩個 重要鍵值,很隱秘: SHELL=EXPLORER.EXE(後面可以跟上其他程序,會自啟動。格式:EXPLORER.EXE *.EXE userinit=userinit.exe(格式:userinit=userinit.exe,*.exe,*.exe 可以跟很多程序,以逗號隔開)