walkerxk

电脑不知何故，运行起来特慢，程序根本无法运行。身为网管的我飞身拍马赶到，首先查看Windows任务管理器，马上发现了原因:进程“KERNEL32.EXE”居然占用了CPU的90%以上资源!怀疑是木马或病毒在作怪。如何来确定它一定是木马病毒，并知道它打开了电脑哪个端口呢?

　　查找原因

　　我们从如图1所示的进程图可以看到进程项“KERNEL32.EXE”的PID(进程标识符)是888，因为每个标识符都是不同的，所以根据这一点我们就可以查看到该进程更进一步的详细内容。

[attach]609[/attach]
图1

　　小提示:默认情况下进程中是没有“PID”项显示的，我们选择“查看→选择列”，然后将“PID(进程标识符)”复选框选择上就可以了。

　　打开命令提示符窗口，输入命令:“netstat -ano -p tcp”(小王用的是Windows XP，如果是Windows 2000系统，就输入“netstat -an -p tcp”命令)，这时就会显示本机开放的所有端口，仔细找找看，发现问题了，果然有一个PID为888的项，如图2所示。这样，我们就明白了KERNEL32.EXE程序正在通过电脑7626端口进行监听，造成了现在电脑运行起来特慢，程序无法运行。

[attach]610[/attach]
图2

　　解决故障

　　知道了KERNEL32.EXE进程在搞鬼，先在任务进程中将它结束掉。别以为这样就问题解决了，重新启动电脑，该进程就又会起死回生了!看来它在启动中也做了手脚，打开注册表找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，发现了一个键值的数据位置指向了“C:WindowsSystem32KERNEL32.EXE”文件，就是它了，将该项删除，然后再到C盘WindowsSystem32目录下将KERNEL32.EXE文件删除。OK，到这里这个木马病毒就被解决掉了.

血色眼泪

似乎不因该在linux论坛说windows下的东西吧？
linux下面也有病毒的～

walkerxk

其实在LINUX下也可以用命令达到同样的目的，NETSTAT -ANP查看网络连接 PS -EF查看进程的信息。

血色眼泪

引用:

下面是引用walkerxk于2006-01-14 21:59发表的:
其实在LINUX下也可以用命令达到同样的目的，NETSTAT -ANP查看网络连接 PS -EF查看进程的信息。

用PID linux感觉同样奏效

那样用linux来讲因该更好阿...

对于新手来说更容易也更明白

这里好像是高校推进联盟

不是工程师推进联盟哦

对不对？

walkerxk

引用:

下面是引用血色眼泪于2006-01-14 22:01发表的:

用PID linux感觉同样奏效

那样用linux来讲因该更好阿...

.......

我的本意是想讲LINUX和WINDOWS下面有些方法是通用的，而且一般人比较习惯图形界面，而不是命令行界面，可能没有考虑清楚，下次我会注意的，谢谢楼上提醒。

血色眼泪

引用:

下面是引用walkerxk于2006-01-14 22:17发表的:

我的本意是想讲LINUX和WINDOWS下面有些方法是通用的，而且一般人比较习惯图形界面，而不是命令行界面，可能没有考虑清楚，下次我会注意的，谢谢楼上提醒。

呵呵

切记哦

1.这里只是高校推进联盟

sanool也说这边可能没什么技术

但是希望让更多的高校学生喜欢开源

2.这里不是一般的一个小论坛

可以说这个论坛是比较有针对性的

而不是综合型的学校论坛

可能有些方面会很不一样

最后希望walkerxk老兄能在lupa里面...一下省略N的N次方字...

红色小魔鬼

在win2k下netstat -an -p tcp会列出进程及其pid？
我试验了一下怎么不行啊？

大家试试看可不可以的？

大海不盖盖

学习一下,谢谢楼主,XP下可以看到端口,但是看不到进程

walkerxk

引用:

下面是引用红色小魔鬼于2006-01-14 23:43发表的:
在win2k下netstat -an -p tcp会列出进程及其pid？
我试验了一下怎么不行啊？

大家试试看可不可以的？

－P是LINUX下的，WIN下面是－O，你LINUX用太多了。

walkerxk

引用:

下面是引用大海不盖盖于2006-01-15 00:53发表的:
学习一下,谢谢楼主,XP下可以看到端口,但是看不到进程

WIN下面要任务管理器和NETSTAT结合才可以，我在LINUX也是一直用PS和NETSTAT结合的，才发现不用PS也可以的。