以前守候大家很多年的电脑杀毒软件,应对日新月异的病毒和木马,他们看起来很“薄弱”,是乎难以再将其祛除出国,有的甚至是连病毒及木马的出现都没法发觉,更别说怎样开展消除。因而有时候利用手工制作查验及消除病毒,或是需要的,文中以装扮成系统软件的Wmiprvse.exe进程木马为例子,来对其木马的消除作以由浅入深的解读。
某日笔者向以往一样,按着键盘上的“Ctrl Alt Del”键,将“任务管理器”开启,而且进入至“进程”标识。但是今日与过去不一样的是,从“进程”标识里,却忽然发觉空出一个Wmiprvse.exe进程。因此利用网页搜索了一下Wmiprvse.exe进程的相关资料,得出的结果是wmiprvse.exe是微软公司Windows电脑操作系统的一部分。用以根据WinMgmt.exe程序执行WMI实际操作,这一程序流程对你系统软件的正常的运作是十分关键的。
见到这儿想必各位跟笔者的念头一样,感觉这是一个一切正常可靠的程序流程进程,因此笔者也没当回事,又开始了自已的网络游戏“职业生涯”,可是好景不常没多久,计算机逐渐全自动重启,并且以后又时断时续的重新启动了几次。在没有可猜疑的目标处,笔者挑选利用系统软件的查找作用,来查询一下这一出现的Wmiprvse.exe体系文件,結果却发生了2个一样的Wmiprvse.exe文件共存的状况(图1)。
认真观察一下,发觉2个程序流程图片大小同样,但是有一个Wmiprvse.exe文件在Windows2文件目录下,然后进一步看过2个文件夹名称的创立時间,Windows2的确是在自身重做系统時间内,因此2个全是系统目录,仅仅前一个在***一次沒有删掉整洁。这时笔者再开启“任务管理器”提示框,发觉系统软件里出现2个Wmiprvse.exe进程,各自由不一样管理权限的客户运作。
因此网上又查了搜集资料,里边说坐落于\System32\wbem文档下的文件才算是正常的的文档,也就是说沒有同时删掉Windows\System32\wbem下的Wmiprvse.exe文件是病毒文档。然后笔者在“任务管理器”提示框内,将其进程终止后,又进到到了该进程文件夹名称内,将其病毒删除文件。本认为病毒就是这样被解决了,还没等笔者重启,也就过去了十分钟上下,这一病毒进程又出現在了任务管理器上。
因此笔者下了绝情,怀着宁可错杀一个,绝不放过你一个病毒文档的心理状态,再度终止该木马进程,将Windows2文件目录里的文档全删后,又在注册表编辑器里,检索将有关键值开展删掉,然后重启了一下电子计算机,随后开启“任务管理器”提示框,发觉Wmiprvse.exe进程早已不见了,而且系统软件总全自动再次启机的情况也以消失了,这样一来真伪“齐天大圣”就见了分晓。假如你跟笔者一样遇到了掩藏Wmiprvse.exe程序流程的木马,比不上依照文中的构思将病毒消除,何苦又选用耗时费力的重新安装计划方案。
【编辑推荐】