进程的重要性体现在可以通过观察它,来判断系统中到底运行了哪些程序,以及判断系统中是否入驻了非法程序。正确地分析进程能够帮助我们在杀毒软件不起作用时,手动除掉病毒或木马。
瞭望进程
如何知道系统中目前有哪些进程?在Windows98/Me/2000/XP/2003中,按下“Ctrl+Alt+Delete”组合键就可以直接查看进程,或打开“Windows 任务管理器”的“进程”选项来查看进程。通常来说,系统常见的进程有winlogon.exe,services.exe,explorer.exe,svchost.exe等。要熟悉进程,首先就要熟悉最常见的系统进程,这样当发现其他奇怪的进程名(如HELLO,GETPASSWORD,WINDOWSSERVICE等等)时就方便判断了。
常规杀灭进程法
1.有的进程在进程选项中无法删除,这时可以打开注册表编辑器(在“开始→运行”中键入regedit),找到“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下面的键,将可疑的选项删除。WWW.ItCOmPUTeR.cOM.CN
2.另外,还可以通过系统的“管理工具”里面的“服务”查看目前的全部进程。这里重点要看服务中启动选项为“自动”的那部分进程,检查它们的名字、路径以及登录账户、服务属性的“恢复“里面有没有重启计算机的选项(有些机器不断属性的重新启动的秘密就在这里)。一旦发现可疑的名字需要马上禁止此进程的运行。
而要彻底删除这些程序进程可以用下面的办法:
打开注册表编辑器,展开分支“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services”,在右侧窗格中显示的就是本机安装的服务项,如果要删除某项服务,只要删除注册表中相关键值即可。
3.除了上面两种方法,我们还可以先查看这个进程文件所在的路径和名称。重启系统,按F8键进入安全模式,然后在安全模式下删除这个程序。
这里,笔者编写了容易被大家认出来的非法进程服务(系统进程)举例说明:HELLO-WORLD SERVICE 1。我们可以轻松地在进程列表和“服务”中找到它(如图1、2)。根据上面的方法,我们可以把这个进程杀掉或禁用。
不少病毒和木马是以用户进程的形式出现的,所以大部分人认为“病毒是不可能获得‘SYSTEM’权限的”。其实,这是个错误的想法,很多病毒或木马也能获得SYSTEM权限,并伪装成系统进程出现在你面前。所以这类病毒就相当容易迷惑人,遇到这种情况,只有不断提高并关注系统安全方面的知识,才能准确判断该进程是否安全。
电脑启动黑屏故障的分析与解决 “启动黑屏”是较常见的故障,大多是由于接触不良或硬件损坏造成的,可采用“最小系统法”并结合替换法检查维修。新装机或更换硬件不当较容易发生黑屏,如果故障是更换硬件后产生的,请检查是否是由于下述原因造成:.硬盘或光驱数据线接反;.系统检测CPU出错(超频时较易发生);.板卡斜插导致的短路和接触不良;.扩充的内存条不符合主板要求。
说明:早期有些586主板只能使用5V的168线EDO内存条,较新的586主板只能使用3.3V的SDRAM内存条;有些使用Intel440BX芯片组的主板要求SDRAM必须带有SPD,有些486主板不能识别72线EDO内存,只能使用普通FP内存;大多原装机对内存条要求苛刻,在扩充原装机的内存前,建议打电话向经销商咨询。一、供电系统故障导致黑屏故障现象:开机后主机面板指示灯不亮,听不到主机内电源风扇的旋转声和硬盘自检声,整个系统无声无息。此为主机内设备未获得正常供电的现象。检查处理方法:供电系统故障可由交流供电线路断路、交流供电电压异常、微机电源故障或主机内有短路现象等原因造成。供电系统故障不一定是主机电源损坏所致,当交流供电电压异常(超压或欠压)、主机电源空载和机内有短路现象时,主机电源内部的保护电路启动,自动切断电源的输出以保护主机内的设备。1、供电系统出现故障时,首先检查交流供电电源是否接入主机。2、确认交流供电电源接入主机后,将耳朵靠近开关电源,短时间打开电源开关通电并注意听,如果听到电源内部发出“滋滋滋…”的响声,说明电源处于“自保护”工作状态,其原因是交流供电电源不正常或机内有短路现象,导致电源内部的保护电路启动。请按下述步骤检查处理:·先用万用表交流电压档250V档检查接主机电源插头的交流供电电压,如果交流电压超过240V或低于150V,主机电源中的超压和欠压保护电路将启动,停止对机内设备供电,请换用稳压电源或UPS电源为主机供电。·如交流供电电压正常,逐一拔去主机内接口卡和其它设备电源线、信号线,再通电试机,如拔除某设备时主机电源恢复工作,则是刚拔除的设备损坏或安装不当导致短路,使电源中的短路保护电路启动,停止对机内设备供电。·如拔去所有设备的电源线后,电源仍处于无输出状态,说明是电源故障,请维修电源。说明:检修电源时至少应连接一个负载(如光驱或硬盘),如空载接通微机电源,微机电源空载保护电路将启动,停止输出。3、如果主机电源未工作,请先检查安装在主机内机箱前面板上的主机电源开关是否正常,如电源开关完好,一般是电源故障。二、不自检黑屏故障故障现象:开机后主机面板指示灯亮,机内风扇正常旋转,但显示器无显示。启动时键盘右上角三个指示灯不闪亮,听不到自检内存发出的“嗒嗒嗒…”声和PC喇叭报警声。检查处理方法:由故障现象可以看出,主机电源供电基本正常(不排除主机电源有故障),但未能启动BIOS中的自检程序就发生了死机。应该主要检查显示器、显示卡、内存、CPU和主板。由于不自检黑屏故障没有任何提示信息,通常只能采用“最小系统法”检查处理。“最小系统法”是指只保留主板、内存条、CPU、显示卡、显示器和电源等基本设备,先通电检查这些基本设备组成的最小系统,经检查确认保留的最小系统能正常工作以后,再进一步检查其它设备。使用“最小系统法”时,在打开机箱拔去其它设备前,建议先用替换法检查显示器是否能正常工作。如果仅保留最小系统,通电后电脑还是不能正常工作,一般用替换法依次检查内存条、显示卡和CPU。确认显示器、内存条、显示卡和CPU能够工作后,故障源只剩下主板和电源,区分是主板故障还是电源故障的最简单方法是换一只好电源试试。三、自检失败黑屏故障故障现象:开机后主机面板指示灯亮,机内风扇正常旋转,能听到硬盘盘片的旋转声、自检内存发出的“嗒嗒嗒…”声和PC喇叭的报警声。看到主启动时键盘右上角三个指示灯闪亮,但显示器无显示。检查处理方法:由故障现象说明主机电源供电基本正常,主板的大部分电路没有故障,且内存的前64KB可以正常读写,BIOS故障诊断程序开始运行,且能够通过PC喇叭发出报警信号。此故障主要源于显示器、显示卡、内存、主板和电源等硬件出现问题所致。此类故障大多能通过喇叭报警声判断故障的大概部位,由于不同版本的BIOS声音信号编码方式不同,本文以微星5158主板(AWARDBIOS)为例子,介绍其检查处理方法。1、如果听到的是“嘟嘟嘟…”连续短声,说明机内有轻微短路现象,请立即关机,打开机箱,逐一拔去主机内的接口卡和其它设备电源线、信号线通电试机,如拔除某设备时系统恢复正常,则是刚拔除某设备损坏或安装不当导致的适中故障。如只保留连接主板电源线通电试机,仍听到的是“嘟嘟嘟…”连续短声,故障原因有三:①主板与机箱短路,可取下主板通电检查;②电源过载能力差,换只电源试试;③主板有短路故障,请维修主板。警告:插拔设备请关闭电源,带电插拔会损坏设备。2、如果听到的是间断超长声(有些机器间断时间较长),说明是内存检测出错,使用ATX电源的用户此时用机箱面板下,用橡皮擦为内存条的“金手指”打扫卫生后,仅保留一条168线内存条或一组72线内存条(在586主板上安装72线内存条需2根为一组),重新插入安装好试试,如果还是不行,请用替换法检查内存条。3、如果听到自检内存发出的“嗒嗒嗒…”声,看到键盘右上角三个指示灯闪亮后,PC喇叭不再发出其它响声,且能感受到硬盘在启动操作,说明自检通过,很可能是显示器故障,请检查显示器电源是否接通、显示器电源开头是否打开、显示器的亮度和对比度旋钮是否被意外“关死”,排除上述可能后,最好将显示器联接到其它电脑上试试。4、如果听到的PC喇叭声为一长三短(或一长二短),属显示系统故障;快速一长三短(或一长二短)则是检测显示卡出错,通常是显示卡与主板插槽接触不良所致(有些486机为一长八短);慢速成一长三短是检测显示器出错,请检查显示器与显示卡的信号线插头是否接触良好,显示器接显示卡插头插针是否有折、断现象(有些显示器插头插针只有12根)。请用橡皮为显示卡的“金手指”打扫卫生后重新插入或换只插槽试,若还是无显示,换一块好显示卡插上试试。5、如果听到的是其它报警声,请注意不同BIOS检测出硬件故障时PC喇叭响声是不相同的,在确认显示器能正常工作后打开机箱,听听拔下显示卡前后PC喇叭的响声是否有变化,可帮助你进一步判断故障源。6、经过上述检查之后,如果还不能解决问题,请参见前“最小系统法”检查处理。
From: