教你辨别真伪 别让病毒进程瞒天过海

 现在的网络病毒已经越来越多了，病毒已经不仅仅只是搞破坏这么简单了。木马等病毒已经成为了很多攻击者的赢利工具，利用木马病毒盗取有用信息获取利润已经渐渐成为了一条黑色的产业链，现在网页挂马已经非常常见了，一不小心就会中毒，那么知道自己电脑中毒后怎么办呢？打开任务管理器关掉病毒进程呗，可有很多冒牌进程存在哦，它们和系统进程相似甚至相同，不仔细辨认的话病毒就会长留你的电脑了。

    今天笔者就给大家介绍几个常见的“李鬼”病毒进程，把它们从自己的电脑里揪出来，统统杀掉。

    1 svchost.exe

    svchost.exe是操作系统中的一个系统进程，微软官方对它的解释是：Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对你系统的正常运行是非常重要,而且是不能被结束的。细心的用户会发现任务管理器中不只有一个svchost啊，例如在Windows XP中有四个或四个以上的svchost进程，想要了解每个svchost进程到底提供了多少系统服务，可以在Windows xp中使用“tasklist /svc”命令来查看。

    由于svchost进程启动各种服务，所以它就成为了病毒、木马的模仿对象，病毒企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的。最初级的就是高仿，比如把病毒的进程名设为svch0st.exe、schvost.exe、scvhost.exe等，你不仔细看还真看不出来，一不小心就被这些病毒进程蒙混过关了，所以在这里建议大家看进程查病毒时一定要看清，别让李鬼有机可乘。

    不过别以为看清楚就没事了，有的病毒进程也是svchost.exe，这种病毒利用了“任务管理器”无法查看进程对应可执行文件的缺陷。在Windows XP中svchost.exe进程对应的可执行文件是位于“C:\WINDOWS\system32”目录下的，如果病毒将自身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异，这确实让人防不胜防啊。那么怎么区分病毒进程还是系统进程呢？

    正常的svchost文件存 在于“c:window\ssystem32”目录下，如果发现svchost.exe的目录变了的话，那就危险了，可以基本确认就是病毒了。另外，利用第三方管理软件如“Windows优化大师”的进程管理器就可以直接看到svchost.exe进程的路径了，一旦路径不对就要立刻进行杀毒。

    2 explore.exe

    explore.exe这个进程主要负责显示系统桌面上的图标以及任务栏的。常常被病毒进程冒充为explorer.exe、iexploer.exe、iexplorer.exe等进程。另外它也有相同名字的病毒进程，区别方法和svchost.exe基本相同，explore.exe进程位于C:\ProgramFiles\InternetExplorer目录中，如果在其他目录下，除非是你自己移动的，否则就是病毒，马上把它杀掉即可。

    3 rundll32.exe

    rundll32.exe是用于内存中运行DLL文件，它们会在应用程序中被使用，系统中存在多少个Rundll32.exe进程，就表示Rundll32.exe启动了多少个的DLL文件，这个程序对你系统的正常运行是非常重要的。正是由于重要，所以冒充者也很多，例如rundl132.exe、rundl32.exe等。另外，rundll32.exe也有可能是病毒，区别方法同上，该进程的正确路径是：“C:\Windows\system32”，在别的目录则可以判定是病毒。

    4 spoolsv.exe

    spoolsv.exe是Print Spooler的进程，职能为管理所有本地和网络打印队列及控制所有打印。如果此服务被停用，本地计算机上的打印将不可用。这个进程对于企业用户来说非常重要，所以也是病毒模仿的对象，例如spoo1sv.exe、spolsv.exe等进程名。而名字同为spoolsv.exe的进程也有可能是Backdoor.Ciadoor.B木马，该木马允许攻击者访问你的计算机，窃取密码和个人数据。辨别方法仍相同，spoolsv.exe的正常路径应该在C:\WINDOWS\system32目录下。如果在不使用打印机的情况下它的CPU占用率也很高的话那也是病毒在作怪，及时杀掉它才是上策。

   XP常用进程列表

　　smss.exe      会话管理子系统用以初始化系统变量。
　　csrss.exe     子系统服务器进程。
　　winlogon.exe  管理用户登录。
　　services.exe  包含很多系统服务。
　　lsass.exe     管理 IP安全策略以及启动和IP安全驱动程序。
　　svchost.exe   包含很多系统服务。
　　SPOOLSV.EXE   将文件加载到内存中以便迟后打印。
　　explorer.exe  资源管理器。
　　internat.exe  托盘区的拼音图标附加的系统进程。
　　mstask.exe    允许程序在指定时间运行。
　　regsvc.exe    允许远程注册表操作。
　　winmgmt.exe   提供系统管理信息。
　　inetinfo.exe  通过 Internet 信息服务的管理单元提供 FTP 连接和管理。
　　tlntsvr.exe   允许远程用户登录到系统并且使用命令行运行控制台程序。
　　termsrv.exe   提供多会话环境允许客户端设备访问虚拟的 Windows 2000
　　Professional  桌面会话以及运行在服务器上的基于 Windows 的程序。
　　dns.exe       应答对域名系统(DNS)名称的查询和更新请求。
　　tcpsvcs.exe   提供在 PXE 可远程启动客户计算机上远程安装Windows 2000
　　ismserv.exe   允许在 Windows Advanced Server 站点间发送和接收消息。
　　UPS.exe       管理连接到计算机的不间断电源(UPS)。
　　wins.exe      为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供名称服务。
　　ntfrs.exe     在多个服务器间维护文件目录内容的文件同步。
　　RsSub.exe     控制用来远程储存数据的媒体。
　　locator.exe   管理 RPC 名称服务数据库。
　　lserver.exe   注册客户端许可证。
　　dfssvc.exe    管理分布于局域网或广域网的逻辑卷。
　　clipsrv.exe   支持“剪贴簿查看器”。　　
　　faxsvc.exe    帮助您发送和接收传真。
　　dmadmin.exe   磁盘管理请求的系统管理服务。
　　mnmsrvc.exe   允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。
　　netdde.exe    提供动态数据交换 (DDE) 的网络传输和安全特性。
　　smlogsvc.exe  配置性能日志和警报。
　　rsvp.exe      为依赖质量服务(QoS)的程序和控制应用程序提供网络信号。　　
　　RsFsa.exe     管理远程储存的文件的操作。
　　SCardSvr.exe  对插入在计算机智能卡阅读器中的智能卡进行管理。　　　
    UtilMan.exe   从一个窗口中启动和配置辅助工具。
　　msiexec.exe   依据 .MSI 文件中包含的命令来安装、修复以及删除软件。

    总结：

    面对越来越多的病毒，我们除了做好日常的补丁更新以及查杀病毒外，认清这些病毒进程也是非常重要的，平时看到陌生进程或是cpu占用率突然很高的进程就一定要到网上查查，看看有没有可能是病毒进程，另外利用第三方软件来查看进程路径是非常有效的方法，可以帮你快速区分是系统进程还是病毒。另外仔细认真也是必不可少的，以防“李鬼”进程有机可乘。