1、首先,在“Winrtows任务管理器”窗口中切换到“进程”选项卡,依次单击“查看”一“选择列”菜单,在弹出的窗口中单击勾选“PID(进程标识符)”项。 接着,在“命令提示符”窗口中,就可以使用“ntsri”命令进行进程关闭橾作了。除了System等纯内核、ntsd命令本身需要的进程不能关闭,其他的任意进程都可以强制关闭。假设,现在要关闭PID为1404的进程,那么,在“命令提示符”窗口中使用“NTSD-cq-p1404”这个命令就可以了。 如果要关闭其它进程,那么只需将上述命令的1404換成相应的PID号即可。 此外,也可以使用命令“Taskkill/im进程名”在DOS下杀除进程,如“askldll/imExpiorer.exe”。 在下表中将列出曾经一度最流行的病毒或木马的进程列表,供读者们遇到有疑问的进程时参考,如表所示。 表常见病毒、木马进程
2、在清除进程时,有一个名词需要注意,即“进程树”。当一个进程被创建后,它可能还会需要一些直接或间接与其发生联系的进程的支持,这一组进程就可以称之为进程树。使用ProcessExplorer等工具可以轻松检査出一个进程的父进程和子进程(即进程树的结构)。
3、在“Windows任务管理器”窗口中,选中一个父进程并单击鼠标右键后,在弹出的菜单中选择“结束进程树”后,可以结束指定进程及其相关进程。 三是可以使用ProcessExplorer直接检査进程的映像路径等信息,例如,系统中突然出现了Rundii32.exe进程时,就可以使用此工具找到类似于“"D:WINDOWSsystem32rundii32.exe"/dD:WINDOWSsystem32sllell32.fill,ControLRunDLLtimedatercpl”这样的信息,从中可以看出此进程是因为调用xp系统时间组件而创建的,并不是恶意进程。
4、在找到可疑进程后,并不是说把此进程关闭就可以解决问题的——关闭进程只是解决问题的一个前奏,关键还在于要删除真正的恶意程序。