快捷搜索:

循序渐进 教你揪出伪装并清除木马

曾经陪伴我们多年的杀毒软件,面对日月牙异的病毒和木马,它们显得很“薄弱”,是乎很难再将其驱除出境,有的以致连病毒及木马的存在都无法发明,更别提若何进行清除。是以无意偶尔使用手工反省及清除病毒,照样有需要的,本文以冒充成系统的Wmiprvse.exe进程木马为例,来对其木马的清除做以循规蹈矩的解说。

某日笔者憧憬常一样,按住键盘上的“Ctrl+Alt+Del”键,将“义务治理器”打开,并且切入至“进程”标签。不过今日与以往不合的是,从“进程”标签里,却忽然发明多出一个Wmiprvse.exe进程。于是使用百度搜索了一下Wmiprvse.exe进程的相关资料,给出的谜底是wmiprvse.exe是微软Windows操作系统的一部分。用于经由过程WinMgmt.exe法度榜样处置惩罚WMI操作,这个法度榜样对你系统的正常运行是异常紧张的。

看到这里信托大年夜家跟笔者的设法主见一样,感觉这是一个正常安然的法度榜样进程,于是笔者也没当回事,又开始了自己的网游“生涯”,然则好景不长没过多久,电脑开始自动从新启动,而且之后又断断续续的重启了几次。在没有任何可狐疑的工具处,笔者选择使用系统的搜索功能,来查看一下这个忽然呈现的Wmiprvse.exe法度榜样文件,结果却呈现了两个同样的Wmiprvse.exe文件并存的征象(图1)。

仔细察看一下,发明两个法度榜样文件大年夜小相同,不过有个Wmiprvse.exe文件在Windows2目录下,接着进一步看了两个文件夹的创建光阴,Windows2确凿是在自己重装系统光阴内,以是两个都是系统目录,只是前一个在着末一次没有删除干净。此时笔者再打开“义务治理器”对话框,发明系统里存在两个Wmiprvse.exe进程,分手由不合权限的用户运行。于是上网又查了查资料,里面说位于\System32\wbem文件下的文件才是正常的文件,换句话说没有直接删除的Windows\System32\wbem下的Wmiprvse.exe文件是病毒文件。接着笔者在“义务治理器”对话框内,将其进程竣过后,又进入到了该进程文件夹内,将其病毒文件删除。本以为病毒就这样被祛除了,还没等笔者从新启动,也就过了十分钟阁下,这个病毒进程又呈现在了义务治理器上。

于是笔者下了狠心,抱着宁肯错杀一个,毫不放过一个病毒文件的生理,再次竣事该木马进程,将Windows2目录里的文件整个删除后,又在注册表编辑器里,搜索将相关键值进行删除,接侧从新启动了一下谋略机,然后打开“义务治理器”对话框,发明Wmiprvse.exe进程已经不见了,并且系统总自动从新启机的征象也以消掉了,这样一来真假“美猴王”就见了分晓。假如你跟笔者一样碰着了冒充Wmiprvse.exe法度榜样的木马,不如按照本文的思路将病毒清除,何必又采纳费时辛勤的重装规划。

您可能还会对下面的文章感兴趣: