; J, Y. @" E3 N6 ?1 _0 Q! z! Z8 a svchost.exe到底是做什幺用的呢? 9 V: Q) |- c0 W. l/ G ( M0 d/ Y, Q( R! m- E8 w; ]) ?6 [; T 首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。由于Windows系统中的服务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那svchost.exe在这中间是担任怎样一个角色呢? ( @: I5 B( d: @: k) q7 @. W! h, X7 s* o/ d6 j% h: Y
svchost.exe的工作就是作为这些服务的宿主,即由svchost.exe来启动这些服务。svchost.exe只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。 4 S- g" z5 }% N' [! Y8 c8 F. O 9 A* T5 z( m* g& U svchost.exe是病毒这种说法是任何产生的呢? # r J- v7 H0 j % n) ^8 ~1 e4 k# _0 u' m# F 因为svchost.exe可以作为服务的宿主来启动服务,所以病毒、木马的编写者也挖空心思的要利用svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。 3 ]/ t+ s. t& ?4 a0 E2 t; e ~( [. X: b* F( y; X# x
如何才能辨别哪些是正常的svchost.exe进程,而哪些是病毒进程呢?+ P0 u- ~/ h! i+ }. I9 d
* e9 S. ^/ `5 E2 q" ~ svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”,如图1所示。图1中每个键值表示一个独立的svchost.exe组。 , F! N6 P# h, B$ b5 A " \/ f2 D: s6 X8 z$ ~2 M1 w3 Y; U 微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。系统列出如图2所示的服务列表。图2中红框包围起来的区域就是svchost.exe启动的服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染,svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下的svchost.exe程序。如果你在其它目录下发现svchost.exe程序的话,那很可能就是中毒了。) `, E0 E0 ]6 I5 R% G6 O$ p" P
. s: c6 Q7 y" u5 P$ o) e" g
还有一种确认svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。 3 ^& [6 N2 p9 e2 f! C* c4 s7 Z1 |& J. g2 K3 a5 A
上面简单的介绍了svchost.exe进程的相关情况。总而言之,svchost.exe是一个系统的核心进程,并不是病毒进程。但由于svchost.exe进程的特殊性,所以病毒也会千方百计的入侵svchost.exe。通过察看svchost.exe进程的执行路径可以确认是否中毒。, X' y3 G5 Z1 z1 l
: v0 l/ I0 m1 j! Q, ]" y. b
3、Services.exe造成CPU使用率占用100% / A3 M: v8 z* \. g! ?/ k; S 8 f, p* }0 q: t& d! t( A 症状 i. E6 S* k9 n8 C1 d, Z+ w) j) j5 b
在基于 Windows 2000 的计算机上,Services.exe 中的 CPU 使用率可能间歇性地达到100 %,并且计算机可能停止响应(挂起)。出现此问题时,连接到该计算机(如果它是文件服务器或域控制器)的用户会被断开连接。您可能还需要重新启动计算机。如果 Esent.dll 错误地处理将文件刷新到磁盘的方式,则会出现此症状。4 T; i' ~ X1 y5 O& a4 x2 `
& e* @! ~% v( x/ C' { 解决方案 4 L9 X6 b' O% K1 G5 [$ q: _+ g% q
Service Pack 信息, k! G9 e5 ?, [6 `; [7 k
4 o4 h- n& [0 T2 Z: d7 Y' ]$ _
要解决此问题,请获取最新的 Microsoft Windows 2000 Service Pack。有关其它信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:& D+ A/ o" l: f8 t2 Y. s
5 a8 A4 r6 M, f
260910 如何获取最新的 Windows 2000 Service Pack - [* S; y, g0 g: k# e 2 q0 Q8 X$ H- u3 R" r# v- Q0 \ 修复程序信息 + c' E3 _5 F! c3 T. D0 |& _! l$ {: C" p5 x
Microsoft 提供了受支持的修补程序,但该程序只是为了解决本文所介绍的问题。只有计算机遇到本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其它一些测试。因此,如果这个问题没有对您造成严重的影响,Microsoft 建议您等待包含此修补程序的下一个 Windows 2000 Service Pack。! b a" D8 G2 `9 y" Q8 Y: i4 k( C
( g; n+ d- U/ x! ]$ V 要立即解决此问题,请与“Microsoft 产品支持服务”联系,以获取此修补程序。有关“Microsoft 产品支持服务”电话号码和支持费用信息的完整列表,请访问 Microsoft Web 站点:$ M4 [ `1 a6 g
6 V% C- n. T- I
注意 :特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定更新程序无法解决的其它支持问题和事项,将正常收取支持费用。& k* n( `; ?. e* |3 W5 h1 O# s
2 X# f, H+ @- d5 d- d, w% L5 U 下表列出了此修补程序的全球版本的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的 时区 选项卡。 ) e& y" ~7 n2 q' d2 f) T & {% [* v! I# l$ U 状态 3 z( R8 c" `3 W8 z' ]9 o . j! h- b0 J, \/ B. s* K Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。此问题最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。8 }+ A$ y, m- x: Z8 e$ Z
0 G. {, L- @% W. v0 E A5 X 4、正常软件造成CPU使用率占用100% $ e+ U& p6 B* c1 U0 v6 o$ ~8 D3 T' O7 a. g3 b
首先,如果是从开机后就发生上述情况直到关机。那幺就有可能是由某个随系统同时登陆的软件造成的。可以通过运行输入“msconfig”打开“系统实用配置工具”,进入“启动”选项卡。接着,依次取消可疑选项前面的对钩,然后重新启动电脑。反复测试直到找到造成故障的软件。或者可以通过一些优化软件如“优化大师”达到上述目的。另:如果键盘内按键卡住也可能造成开机就出现上述问题。 - D- _ [9 f0 H. m; S3 Z/ ` : F N$ D7 s; n 如果是使用电脑途中出项这类问题,可以调出任务管理器(WINXP CTRL+ALT+DEL WIN2000 CTRL+SHIFT“ESC),进入”进程“选项卡,看”CPU“栏,从里面找到占用资源较高的程序(其中SYSTEM IDLE PROCESS是属于正常,它的值一般都很高,它的作用是告诉当前你可用的CPU资源是多少,所以它的值越高越好)通过搜索功能找到这个进程属于哪个软件。然后,可以通过升级、关闭、卸载这个软件或者干脆找个同类软件替换,问题即可得到解决。9 {4 f" q2 e- l [3 z, \" w I; C
% [: ~" ?9 D7 _; c8 P9 A$ ] 5、病毒、木马、间谍软件造成CPU使用率占用100%/ G# W- |3 a- Y S7 V7 d) V
0 W5 s* D9 o4 E0 R
出现CPU占用率100% 的故障经常是因为病毒木马造成的,比如震荡波病毒。应该首先更新病毒库,对电脑进行全机扫描 。接着,在使用反间谍软件Ad—Aware,检查是否存在间谍软件。论坛上有不少朋友都遇到过svchost.exe占用CPU100%,这个往往是中毒的表现。$ m# F/ A5 ]# Y, k
/ U7 V$ I" S0 P0 B( C
svchost.exe Windows中的系统服务是以动态链接库(DLL)的形式实现的,其中一些会把可执行程序指向svchost.exe,由它调用相应服务的动态链接库并加上相应参数来启动服务。正是因为它的特殊性和重要性,使它更容易成为了一些病毒木马的宿主。* H; J3 r# ?0 O8 t
3 s. G+ ~ ] R* l: V- k8 w/ b
6、explorer.exe进程造成CPU使用率占用100%/ U1 K8 X! e6 x, [
% [" T7 ~' y/ ^/ b/ c* I
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。3 r: l, U: k: a; I6 B
; u) j3 Z8 B3 [7 t/ P
在注册表中的情况最复杂,通过regedit命令打开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的 5 m% K: n9 u8 y6 s2 Y6 }; o9 m) @& E* V) f' J
Explorer 键值改为Explorer=“C:\Windows\expiorer.exe”,“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马”程序的文件名,再在整个注册表中搜索即可。/ r. p4 ^- c7 F
6 B Y# L" x7 |* R; L" `0 M, b7、超线程导致CPU使用率占用100% " u7 p( _! M( g) k) L4 \ " n1 `; V* Y# F% Z, I$ E! T 这类故障的共同原因就是都使用了具有超线程功能的P4 CPU。我查找了一些资料都没有明确的原因解释。据一些网友总结超线程似乎和天网防火墙有冲突,可以通过卸载天网并安装其它防火墙解决,也可以通过在BIOS中关闭超线程功能解决。+ y! O# |- B9 R: h7 \0 U
# U7 R2 b# r1 f0 x 现在的杀毒软件一般都加入了,对网页、邮件、个人隐私的即时监空功能,这样无疑会加大系统的负担。比如:在玩游戏的时候,会非常缓慢。关闭该杀毒软件是解决得最直接办法。 & I2 B+ D; F' U' {! O/ g1 M) n% V) \: u 10、处理较大的Word文件时CPU使用率过高" f G# u2 \! w; \
: @/ p1 o2 \5 K
上述问题一般还会造成电脑假死,这些都是因为WORD的拼写和语法检查造成的,只要打开WORD的“工具—选项”,进入“拼写和语法”选项卡,将其中的“键入时检查拼写”和“键入时检查语法”两项前面的复选框中的钩去掉即可。: D) Y0 N* x# h* Z F' f
, ^% f9 n0 Y `( Z& c7 o11、网络连接导致CPU使用率占用100%+ `0 ~: L. f; d" {! `
) O! L" M* y7 k' O7 j! w% w
当你的Windows2000/xp作为服务器时,收到来自端口445上的连接请求后,系统将分配内存和少量CPU资源来为这些连接提供服务,当负荷过重,就会出现上述情况。要解决这个问题可以通过修改注册表来解决,打开注册表,找到HKEY—LOCAL—MACHNE\SYSTEM\CurrentControlSet\Services\lanmanserver,在右面新建一个名为";maxworkitems";的DWORD值.然后双击该值,如果你的电脑有512以上内存,就设置为";1024";,如果小于512,就设置为256. & i$ }) Z& ?" a* _' E$ O$ V/ Q ' C K1 H! Z. v; M, e; |一些不完善的驱动程序也可以造成CPU使用率过高 5 G* `' X( r Y; L2 A# _+ c, B; w* ?9 Y7 Z: d, m% n) ~
经常使用待机功能,也会造成系统自动关闭硬盘DMA模式。这不仅会使系统性能大幅度下降,系统启动速度变慢,也会使是系统在运行一些大型软件和游戏时CPU使用率100%,产生停顿。 ; ` w9 Z+ K, P. }) G D- J 5 @+ c* r5 l5 y3 {8 i0 e" I进程占用CPU 100%时可能中的病毒 0 v% h) G. \$ Q. q: f" j$ [
( o; {) O ^. M& h7 S. W
system Idle Process * N$ a7 @* R: J! T 0 z5 u" m- n8 T+ d# L 进程文件: [system process] or [system process]/ {& h7 \$ d: s5 W* f
- g! _7 C; h( s/ J3 p* M, {. s
进程名称: Windows内存处理系统进程 ; K$ `. h" R8 z C% k) X; _' s+ y0 {; d0 q# q1 y
描 述: Windows页面内存管理进程,拥有0级优先。 ; d S" c9 `( Y3 m # g0 j. D1 W! G; ^; S 介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。它的CPU占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。 / y" w( ^$ A$ v% F1 W ]7 U 7 q- j/ g7 p; G! V0 L Spoolsv.exe 8 j( g' \# j3 {7 g& d* k3 M% p( |4 i. z5 ]+ X7 C
进程文件: spoolsv or Spoolsv.exe ! Z! n; d! ^' T/ U2 @' U- ] 1 X8 K! j, r$ Z! t: u6 E 进程名称: Printer Spooler Service* o5 W4 x g9 [3 n. d$ C% m
7 b+ t H+ V- {. C/ n 描 述: Windows打印任务控制程序,用以打印机就绪。 $ w' `/ h5 J! ^0 l0 x# W3 s3 ~* i+ D9 d6 F$ N# m
介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。 9 ~+ v+ Y7 v, w. B+ I0 G1 _. R5 O* F% |8 X5 K
Spoolsv.exe→打印任务控制程序,一般会先加载以供列表机打印前的准备工作2 n) f$ h; j2 E4 T: F J
$ r4 Z) g2 @5 Q
Spoolsv.exe,如果常增高,有可能是病毒感染所致 ( J) ]2 h' N# z$ f: ` ' @4 X5 Y9 s5 h( f2 Q 目前常见的是: \' F) X: N/ X$ v% j: W ]2 a7 l1 d X! A/ `8 w R# `8 N/ J3 X Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒) ' L6 b( R) n4 k: P( Q- d/ [ % A0 N/ `* S% o+ C5 }+ {$ b 危害程度:中 . d. S& `/ g8 \* K% s, [. o/ w* \8 h% D2 N/ q) \8 h( D1 a' o
受影响的系统: Windows 2000, Windows XP, Windows Server 2003 ! W9 b1 @8 a! c/ N( b0 v8 m; v- x% M
未受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 3.x, Macintosh, Unix, Linux,9 [8 c+ O: X+ w
8 Y. b' t; u* Y/ Y 病毒危害:! `+ h: {$ Z3 z& p
9 ~( u3 B, H* |5 c, ?# @ 1. 生成病毒文件 ' ~& t/ u( ~- J: \ - x( F4 P; m+ D7 E 2. 插入正常系统文件中6 W% b$ J3 ~ t) [1 d
2 A: v( x8 f: `- |
3. 修改系统注册表 2 Q5 E1 Q* F0 |9 A) y. z $ z. F/ g5 A; N. [! ]# N6 H 4. 可被黑客远程控制 0 G, r- f J9 V5 ^% K / e# L* o* ~9 q. l/ }+ ~4 p$ { 5. 躲避反病毒软件的查杀, h$ s( f) b- ]9 _( M# M7 C# J
% |5 s' h g: N8 U b) Y3 J
简单的后门木马,发作会删除自身程序,但将自身程序套入可执行程序内(如:exe),并与计算机的通口(TCP端口138)挂钩,监控计算机的信息、密码,甚至是键盘操作,作为回传的信息,并不时驱动端口,以等候传进的命令,由于该木马不能判别何者是正确的端口,所以负责输出的列表机也是其驱动对象,以致Spoolsv.exe的使用异常频繁...... n8 R3 o$ Z9 @9 B4 ?- b; B [ * G Y8 o6 }4 q w! Z Backdoor.Win32.Plutor; P: z8 C/ K. g) v
1 C) _1 `0 F' B* }" ?% H6 ]2 W8 } 破坏方法:感染PE文件的后门程序 ! `. D% @$ C5 R- b& _! X8 Q) H* n 4 B0 `' h! w2 ]2 R: ^2 S 病毒采用VC编写。 * l$ T, N% y; m7 | ( r, k$ ~4 Z# x5 H5 b: x 病毒运行后有以下行为: 6 [0 H: x6 P3 m 8 _7 c9 D h, H$ j7 U9 l 1、将病毒文件复制到%WINDIR%目录下,文件名为";Spoolsv.exe";,并该病毒文件运行。";Spoolsv.exe";文件运行后释放文件名为";mscheck.exe";的文件到%SYSDIR%目录下,该文件的主要功能是每次激活时运行";Spoolsv.exe";文件。如果所运行的文件是感染了正常文件的病毒文件,病毒将会把该文件恢复并将其运行。' \3 m; v7 h0 r4 W7 @
5 Y4 g( R ~* f D; |1 ] 2、修改注册表以下键值: 3 p* Q& [: y7 i' `2 g* D+ r9 H0 Y8 `' |. }% R
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run' h1 y. Z! F# f# e8 H- T* o
- j: m' ?( [1 [& B. }, F 增加数据项:";Microsoft Script Checker"; 数据为:";MSCHECK.EXE /START";& f% d& q* P% n2 S* H
, E: G# N; @1 X7 S 修改该项注册表使";MSCHECK.EXE";文件每次系统激活时都将被运行,而";MSCHECK.EXE";用于运行";Spoolsv.exe";文件,从而达到病毒自激活的目的。 o d7 n/ |8 e3 E3 F4 ~1 o! R
. W L9 B; e q; c: x( C
3、创建一个线程用于感染C盘下的PE文件,但是文件路径中包含";winnt";、";Windows";字符串的文件不感染。另外,该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单,将正常文件的前0x16000个字节替换为病毒文件中的数据,并将原来0x16000个字节的数据插入所感染的文件尾部。 $ E2 I6 k4 ~/ A' ]6 O7 l$ ~ P6 X5 _9 Y# g/ A) O4 z6 v
4、试图与局域网内名为";admin";的邮槽联系,创建名为";client";的邮槽用于接收其控制端所发送的命令,为其控制端提供以下远程控制服务: - K W) j, x6 n& T + @, {' I2 t, l9 u5 i. a 显示或隐藏指定窗口、屏幕截取、控制CDROM、关闭计算器、注销、破坏硬盘数据。: A- S/ S% t x0 _
; C" v. A9 R5 `( y+ [- b- h2 T" P7 l 那些病毒会造成CPU占有率过高 `. R4 F, F4 O6 ?" f4 i
% m+ ^) V8 Y) |5 T震荡波蠕虫 3 Q U( \& z2 ^, E' @4 e) b0 O' a% C. I! S. A
利用微软操作系统的LSASS缓冲区溢出漏洞进行远程主动攻击和传染,导致系统异常和网络严重拥塞,具有极强的危害性,病毒如果攻击成功,则会占用大量系统资源,使CPU占用率达到100%,出现电脑运行异常缓慢的现象。' G) G$ K4 ?" P% i
0 X: A( v% |+ i7 ^ 如果中了这种病毒可采用下面的四种方法进行清除。9 Q, p$ Z! `- N3 p+ @% O
, g5 W2 X7 c' |) L- @* ^! [
1、断网打补丁. q% S1 @3 O7 h% _; ^ e
! l# E. }; T4 _+ M 如果不给系统打上相应的漏洞补丁,则连网后依然会遭受到该病毒的攻击,用户应该先下载相应的漏洞补丁程序,然后断开网络,运行补丁程序,当补丁安装完成后再上网。 % |" U1 s q: v& x! U2 Q # O) @$ j) w# t) F" c; z 2、清除内存中的病毒进程+ j' j, i( |2 `; L2 ]6 w
: y) J& W8 k5 U5 p' I8 Q
要想彻底清除该病毒,应该先清除内存中的病毒进程,用户可以按CTRL+SHIFT+ESC三或者右键单击任务栏,在弹出菜单中选择“任务管理器”打开任务管理器界面,然后在内存中查找名为“avserve.exe”的进程,找到后直接将它结束。 5 _9 g9 m1 Q; L- U4 F' j( x 7 V x4 G( I) _# Q2 g; @; j( [ 3、删除病毒文件 6 q. Q' q1 s* t5 p% @; P: B) r* F+ g0 l
病毒感染系统时会在系统安装目录(默认为C:\WINNT)下产生一个名为avserve.exe的病毒文件,并在系统目录下(默认为C:\WINNT\System32)生成一些名为;_UP.exe的病毒文件,用户可以查找这些文件,找到后删除,如果系统提示删除文件失败,则用户需要到安全模式下或DOS系统下删除这些文件。: H4 @3 m7 A% r; b Z
! `- s" B/ j5 }8 i 4、删除注册表键值2 D* D) G/ S, j9 `
z0 u$ c6 S4 X% I# T 该病毒会在电脑注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run项中建立名为“avserve.exe”,内容为:“%Windows%\avserve.exe”的病毒键值,为了防止病毒下次系统启动时自动运行,用户应该将该键值删除,方法是在“运行”菜单中键入“REGEDIT” 然后调出注册表编辑器,找到该病毒键值,然后直接删除。 & H% C, z. Q* E' v! T. t/ \: X/ V3 n9 H
bride病毒 2 O- I. R( I7 S& @ ' ^7 L. b! x5 I" R/ ?& z! k2 @ 此病毒可以在Windows 2000、Windows XP等操作系统环境下正常运行,病毒运行时会释放出一个FUNLOVE病毒并将之执行,而FUNLOVE病毒会在计算机中大量繁殖,造成系统变慢,网络阻塞。) Y) K q/ r. ]6 _, j( w0 n! C
+ g; E Q; f; s* X
病毒清除方法 5 r9 k2 S& `: L8 l6 B+ d1 P4 [$ U: J3 k1 M $ ^* a, n# O, T6 C4 `' a' v2 t9 P 此病毒可以用趋势、诺顿、瑞星、金山和江民等杀毒软件进行清除。 2 v4 l0 X- Z- {2 N+ N8 |* X ( M) ~3 |3 B, b% V m6 k小知识:系统进程 2 A; d" e" ?% h1 a/ W. ?% L% \ X8 O" O8 \
一款好的防火墙并不能发现所有病毒;一个好的杀毒软件并不能歼灭所有的带毒程序!遇到这些情况我们该做何处理呢?很简单——手工杀毒。而要论到手工杀毒,就不能不提到系统进程了。 % p ]# j3 a8 b$ }" c9 [ ~4 _
进程、病毒? 2 ]: A% J% o5 n# D) `+ t ' P/ v7 x8 W9 `0 T2 ^2 u Z 书上说:“进程为应用程序的运行实例,是应用程序的一次动态执行。”看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。8 Z$ e6 W; G, r
# B: n7 ^4 O% c% t; {; D
危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示,如“宏病毒”),那幺及时查看并准确杀掉非法进程对于“手工杀毒有起着关键性的作用。 % q1 B" h3 j H* V: e+ { 4 N# b! I/ e, Z8 X1 q! e 如何打开系统进程列表? # |" F1 j8 A9 I% S7 R% ]6 E0 J7 d0 s4 e* m
要通过进程列表查看系统是否染毒,必须打开当前的执行程序进程列表,Microsoft的每种系统都有相应的打开方法,但能够显示的能力却因(系统)不同,有所差异: U( L) \. s' Q% G- h# `9 q 5 Z, g$ e% s5 L4 o2 G2 T 1.Windows 98 /Me系统6 i6 h1 g/ _; e! \- p1 f