原文:http://slgaly.sljh.tcc.edu.tw/lifetype/index.php?op=ViewArticle&articleId=350&blogId=41
工作管理員中的 SVCHOST.EXE 是真或是假,有一個觀察的方法,就是檢查它的組員(services)是誰。
要怎麼檢查呢?首先在 開始 →執行,輸入 CMD 進入命令提示字元(即附屬應用程式 → 命令提示字元),在裏面輸入:
Win2000 用戶
TLIST /SVC
Win XP 用戶
TASKLIST /SVC
會顯示你所有處理程序的services,你可以觀察在你電腦上執行中的 SVCHOST.EXE 到底是為了什麼而載入的
一般的 SVCHOST.EXE 病毒因為在載入時不會牽動服務,所以是不會載入服務的,即Services 是 N/A (None Available, 不存在) 這是最基本辨別 SVCHOST.EXE 真偽的方法。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
中招了要怎麼做呢?
要如何刪除假的 SVCHOST.EXE 呢?XP 和 2000 用戶相同,輸入以下指令:
WinXP & Win2000 用戶
TSKILL 假SVCHOST.EXE的PID(執行編號)
例如假的 SVCHOST.EXE 它的 PID 是 1384,你只要輸入 TSKILL 1384 就可以殺掉這個假進程了。
**************************************************************************
這是網路上找的文章,可以大概提供網友一個搜尋svchost.exe病毒的方向,但實際上運用起來算是個很古老的方法,也只能補充windows工作管理員的不足,對江民防毒的使用者幫助不大,因為江民防毒內建的進程查看器可以很方便的查看進程(process)的檔案位置,不是位於c:\windows\system32下的svchost.exe一定是假的,直接刪除吧!
留言列表
