进程关闭不完全攻略

2006年9月的QQ日志

不论是病毒还是木马,他都是程序.是程序,就必然会有进程.
木马发展到今天,已经拥有了线程插入,隐藏进程,多进程保护等花样繁多的手段,不是简单地打开进程管理器,单击进程–关闭进程就完事了,他给你弹出个”无法关闭进程’的消息框,嘿嘿,你就哭吧不是罪了.

第一招:
还是要提到WINDOWS自带的进程管理器,毕竟广大中国网民中仍有大量的”图标双击者”.
XP用户打开进程管理器方法,同时按下CTRL ALT DELETE(或小键盘区的小数点)三个键(以先用左手按住CTRL和ALT键,再用右手按DELETE),看到出来个任务管理器了吧,在”文件” “察看”等一排菜单的下面一行,有一排标签,看见”进程”那个标签了吗,点一下看见下面框子里的一排排英文了吧,那就是进程.
2000用户打开方法,还是同时按CTRL ALT DELETE,然后桌面消失了,只有一个对话框,上有6个按钮,在下面一排的中间有个任务管理器,点一下,桌面回来了,任务管理器也出现了,下面的操作同XP,省略:)
98及ME打开方法:98本身的任务管理器不带进程管理器,建议升级到XP或2K,你说你机子差,装不了2K,那么,请安装WINDOWS优化大师,在系统安全优化的界面右边有个”进程管理的标签”,点一下,就出现了WINDOWS优化大师的进程管理器,比WINDOWS的好用点击进程还可以看到具体文件(对付线程插入木马时及有效)
关闭进程方法:单击进程,使之成为选中状态(变蓝),再点下面的关闭进程按钮,然后你就看到进程消失了,没反应就多操作几次,要是跳出无法关闭进程之类的信息或关闭不了,请看第二式.

第二式:
有些木马通过修改你的权限或提高他自身的级别使你无法关闭该进程,微软公司似乎意识到这一点,在WINDOWS中集成了一个小工具”NTSD”可以查杀除LSASS,CSRSS,smss 以外的所有进程
使用方法:首先保证你是管理员账户,单击开始–运行–输入CMD然后回车,看到一个黑底白字的窗口了吗,表紧张,继续我们的关进程工作,在CMD窗口中输入”NTSD -C Q -P 进程PID号”(不包含引号),如”NTSD -C Q -P 200″
这里补充给新手察看进程PID方法,在进程管理器窗口中单击”察看”菜单,在下拉菜单中点”选择列”在之后弹出的对话框中把”PID”勾选,然后确定,在进程列表中,就可以看到PID了

第三招,有些进程会自动创建,有些BT的别说关了会复活,就是不关他也无限复制,占用咱的系统资源,这里不得不提到”PROKILLER”这个工具,说实在的,有了他,上网裸奔不是梦啊,
‘进程封锁”功能,可以把进程放进黑名单,使其再也不能产生, 另外他的关进程能力也很强,虽然不如NTSD,但从实用角度讲,不比NTSD差,而且只要动动鼠标,
“删除文件”功能,可以把进程关闭后立即删除进程所包含的文件,这回看他怎么复活,不过成功率不是100%,优势要多用几次,
在他的进程列表中,每个进程后面都有说明,告诉你这是系统进程还是应用程序进程,可以方便小菜不致关了系统进程,在对付生成与进程的系统进程同名木马时及有效,而此时如果用WINDOWS自带的进程管理器,就只能赌运气了
如果遇到有同名进程但又无法在PROKILLER中关闭的话,可以察看进程信息,进程ID就是PID(PROCESS ID),然后重复第二式

第四式:
有些木马采用多进程保护,其中含有隐藏进程,一旦显进程被关,隐藏进程就自动生成显进程,如果显进程文件被删,没准这木马还在某隐避处给安装文件做了备份,你删他就装,看看谁更强,这时要祭出另一把利刃”ICE SWORD”他拥有显示隐藏进程的功能,另外他的禁止生成新进程功能在杀马时是大有裨益的,下面你要做的就是把几个木马进程都关了,然后删除相关文件,这里有个小技巧,找到一个木马文件,记下他的创建日期,然后搜索计算机上所有文件(搜索*.*),点”察看”菜单,选择列,勾选创建日期然后再点”察看”–详细资料,再”察看”–排列图标–按创建时间,把和那个木马创建时间相同的文件全删了(先打开显示所有文件并去除隐藏系统文件的勾),如果有EXE文件删不了,请再检查是否关闭了所有木马进程,另外时下流行木马捆绑流氓软件,用各种手段卸载所有流氓软件,重启,再卸载一遍,再重启,继续我们的文件删除之路,如果还有EXE删不了,重复以上四步,正常情况下现在可能只剩为数不多几个DLL拒绝删除,这一般是线程插入,我不是很擅长对付他,可以进注册表,搜索与该文件有关项清除后重启再删,不过本人自己有一套小技巧,你可以修改DLL的拓展名为TXT(注意要把工具–文件夹选项–查看–”隐藏已知文件的拓展名”前的勾去了,这样下次开机他就无法启动了,重启,删之
根据我微薄的经验,可能还有个OCX文件无法删除,请使用多个IE修复软件卸载IE插件和ACTIVE控件,个人建议用超级兔子,然后再回去删OCX(有时可能已经被软件删除)

收招:
所谓斩草不除根,春风吹又生,很多木马都拿IE做窝,清玩马请立即使用你所有的IE修复软件轮流修复IE,
很多木马行径更恶劣,你删了他就无法上网或者打开一些文件了,对于前者,用超级兔子的强力修复WINSOCK轻松解决,后者可以用SYSTEM REPAIR ENGINEER(系统修复工程师,简称SRG)或UPIEA之类的软件修复文件关联.
如果这几招还不能解决,请联系本人,我将罄尽所能免费为你手工杀毒

正所谓木马猛于虎,被动地杀毒永远比不上良好的防御,请小菜们谨记,,,