挖矿病毒在电脑任务管理器如何显示的
1. 电脑任务管理器上怎么看那些是病毒
1.你首先要对常见的系统进程比较了解,其次就是你的正在运行的一些进程,排除了这些以后,其它的进程都是直得怀疑的. 这时候你就可以用一些杀毒软件,如360,进行你的进程检测.
2.
这个主要是熟悉正常进程有哪些,如果有未知进程就在网络上一搜,主要来说系统进程有:
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
svchost.exe
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少):
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表操作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基
于 Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)
支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序
。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)
一般来说cpu和内存占用率高的进程要么是杀软的进程要么是未响应的程序进程,和病毒进程
2. 电脑病毒运行时在任务管理器中看得到吗
可以的
任务管理器里的“进程”选项卡里,可以看见
360安全卫士在“高级”里,可以查看当前进程
有进程的说明和安全性介绍
还有,360没有的,将文件名全部复制到网络,搜一下可以查到
windows优化大师也有相同的功能
VISTA中的任务管理器自带介绍
3. 怎么样才能识别电脑有没有中毒或木马,在任务管理器里可以看到吗
您好:
并不能根据进程的名称、数量、大小写等准确的判断是否中毒,建议您使用瑞星杀毒软件进行病毒查杀。
4. 如何查看电脑是否被植入了挖矿程序
如何判断自己的电脑是否被挖矿,怎样预防?
电脑开机后,所有程序都不打开的情况下。按Ctrl+ALT+Del调出任务管理器,在“进程”卡项中,查看CPU的使用情况。如果看到某个进程占用了大量的cpu使用情况,并且几分钟后都没有降低的趋势,这个程序就可能是病毒了。
想要预防自己的电脑被挖矿也很简单,只要安装正规的安全软件,使用安全的浏览器,添加安全合适的插件,就可以防止电脑被挖矿了。
当然,如果不浏览不正规不健康的网站,不下载盗版游戏,盗版软件等就更能从根源杜绝电脑被不法分子挖矿的风险。
5. 电脑:怎么通过任务管理器查出病毒啊
么在任务管理器中的进程一栏中查出那个是病毒程序?
现在病毒、木马可以把自己弄成任意名字
使用电脑有没有病毒
不需要也不应该到进程里看;
正确的方法是使用安全工具来检查:
一般来讲,四个工具全面查杀后应该就没问题了(病毒库必须是最新的):
建议小红伞或NOD32查毒、AVG
Anti-Spyware查木马、Windows清理助手查恶意软件、360安全卫士修复系统漏洞
工具到这里找:
http://www.17ai.org.cn/
都是免费的、正版的、可以更新的
平时只开小红伞或NOD32
其他工具偶尔一用
6. 怎样在任务管理器中看病毒
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
病毒进程隐藏三法
当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:
1.以假乱真
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
2.偷梁换柱
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录),如果病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
3.借尸还魂
除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。
系统进程解惑
上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
svchost.exe
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcereCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了。
explorer.exe
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。
iexplore.exe
常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。
iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。
rundll32.exe
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\Windows\system32”,在别的目录则可以判定是病毒。
spoolsv.exe
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:
1.仔细检查进程的文件名;
2.检查其路径。
通过这两点,一般的病毒进程肯定会露出马脚。
找个管理进程的好帮手
系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具,例如Procexp。Procexp可以区分系统进程和一般进程,并且以不同的颜色进行区分,让假冒系统进程的病毒进程无处可藏。
运行Procexp后,进程会被分为两大块,“System Idle Process”下属的进程属于系统进程,explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“System Idle Process”,如果你在“explorer.exe”中发现了svchost.exe,那么不用说,肯定是病毒冒充的。
7. 怎样在任务管理器里认出病毒文件
1.必须关闭病毒进程.方法如下:任务管理器的进程表示我们目前电脑正在运行的程序。那这些程序哪些是合法的,哪些是系统必须的,不能关闭;哪些可能是病毒程序呢?下面以图简单谈谈识别的技巧。 1。用任何管理器。看图: a. 系统文件:进程中用户名标为system,network service,local service 一般是系统进程,不可关闭,关闭会出现提示禁止关闭就算能关闭也可能造成系统不稳定,或一些服务无法使用。 b.合法软件:进程中用户名为用户名字的,图中的liu就是本人的用户名,那么那些进程就不是系统进程,那是你启动的一些软件的名字 c.可能的病毒木马:如果用户名为LIU的,除去你自己打开的软件,剩下的就可能有问题。特别是病毒喜欢把自己的名字弄的与系统文件 一样。但用户名中却一目了然。 注:很多人说到打开任务管理器没有显示打开的用户名,是因为服务被关闭。打开方法:开始菜单-控制面板-管理工具-服务,在打开的服务窗口中找到Terminal Services,启用它就可以看到用户名了。但这个命令关系远程控制的,建议还是关闭为好。 当然系统自带的任务管理器太烂,网上有很多进程软件,希望大 家推荐几个.我这里介绍PrcMgr.他能辨认大部分系统进程,只要是系统 进程,在右边的窗口中会介绍这个进程的作用.如果不是系统文件,会 用红色的字显示程序不认识.当然你也可以把自己常用的软件加进程 序的资料库,下次程序就能认出是合法进程.而那些病毒非法侵入,当然 程序不认识,我们也可以一眼判断出来. 3.上面讲得是如何查看进程。下面说说如何禁止病毒进程。 一般直接在任务管理器或进程管理软件中点击,关闭即可。 上面图1共有6个病毒进程,分别是lsas32.exe,winmgr.exe,inte.exe, syslog.exe,csrss32.exe ,csrss.exe,剩下的以LIU为用户名的进程都是我打开的软件。 用任务管理器能杀死前5个,但CSRSS.EXE关闭时却提示 “系统重要进程,无法关闭”,如上面图2所示,就因为它与真正的系统进程CSRSS.EXE同名。可能有很多进程软件可以强制查杀,我用的是脱壳软件PEiD的任务管理器,强制查杀。如图1: 二。修正注册表。 主要是以下方面: 1.删除病毒的自启动。 a.运行--MSCONFIG,如图2。不仅“启动”页要查,SYSTEM.INI, WIN.INI,BOOT.INI页要逐项认真查看,特别注意LOAD=,RUN=的值,最重要的还有服务那一页。看图中解说。 B.运行--REGEDIT,启动注册表。查找所有启动的项目。主要有以下键值: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run (以上各项,可以进注册表查找所有“RUN"项,删除右边窗口键值) 所有RUNservicesOnce键 所有RUNservices键。 查找所有RUNONCE键. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的两个 重要键值,很隐秘: SHELL=EXPLORER.EXE(后面可以跟上其他程序,会自启动。格式:EXPLORER.EXE *.EXE userinit=userinit.exe(格式:userinit=userinit.exe,*.exe,*.exe 可以跟很多程序,以逗号隔开)