Windows使命办理器是各人对历程停止办理的次要东西,在它的“历程”选项卡中能查看当前系统历程信息。在默认设置下,一般只能看到映像名称、用户名、CPU占用、内存利用等几项,而更多如I/O读写、虚拟内存大小等信息却被隐藏了起来。可别小看了那些被隐藏的信息,当系统呈现不明不白的毛病时,没准就能从它们中间找出打破口。
1.查杀会主动消逝的双历程木马
前段时间伴侣的电脑中了某木马,通过使命办理器查出该木马历程为“system.exe”,末行它后再刷新,它又会新生。进入平安形式把c:\windows\system32\system.exe删除,重启后它又会从头加载,怎么也无法彻底肃清它。从此现象来看,伴侣中的应该是双历程木马。那种木马有监护历程,会按时停止扫描,一旦发现被监护的历程遭到查杀就会新生它。并且如今良多双历程木马互为监视,互相新生。因而查杀的关键是找到那“互相依靠”的两个木马文件。借助使命办理器的PID标识能够找到木马历程。()
调出Windows使命办理器,起首在“查看→选择列”中勾选“PID(历程标识符)”,如许返回使命办理器窗口后能够看到每一个历程的PID标识。如许当我们末行一个历程,它再生后通过PID标识就能够找到再生它的父历程。启动号令提醒符窗口,施行“taskkill /im system.exe /f”号令。刷新一下电脑后从头输入上述号令,能够看到此次末行的system.exe历程的PID为1536,它属于PID为676的某个历程。也就是说PID为1536的system.exe历程是由PID为676的历程创建的。返回使命办理器,通过查询历程PID得知它就是“internet.exe”历程。
找到了元凶就好办了,如今从头启动系统进入平安形式,利用搜索功用找到木马文件c:\windows\internet.exe ,然后将它们删除即可。前面无法删除system.exe,次要是因为没有找到internet.exe(且没有删除其启动键值),招致从头进入系统后internet.exe新生木马。
2.揪出狂写硬盘的P2P法式
单元一电脑一开机上彀就发现硬盘灯不断闪个不断,硬盘狂扭转。显然是本机有什么法式正在停止数据的读取,但是频频杀毒也没发现病毒、木马等歹意法式。
翻开该电脑并上彀,按Ctrl+Alt+Del键启动了使命办理器,切换到“历程”选项卡,点击菜单号令“查看→选择列”,同时勾选上“I/O写入”和“I/O写入字节”两项。确定后返回使命办理器,发现一个生僻的历程hidel.exe,固然它占用的CPU和内存并非出格大,但是I/O的写入量却大得惊人,看来就是它在捣乱了,赶紧右击它并选择“完毕历程”末行,公然硬盘读写恢复一般了。