如何判断系统进程是否异常

标签：其他设备故障维修,电脑维修大全,电脑维修知识,http://www.16qiuxue.com 如何判断系统进程是否异常,


如何判断系统进程是否异常  
具体怎么看系统进程，我想这里就不用我多说了。很多工具都可以查看系统进程，最常用的方法就是按键CTRL+ALT+DEL打开操作系统自带的任务管理器进行查看。  
   一、CSRSS进程异常  

    根据官方的解释，CSRSS进程是Windows图形相关控制的客户端服务自系统。正常情况下，在操作系统的任务进程中，必须有这个进程，否则系统就的图形界面就无法使用了。但是，这个进程也很有可能被病毒所利用，成为病毒的保护伞。 

    若CSRSS进程出现了以下的异常情况，那么说明你的电脑很可能中毒了。应该即使采取措施，否则会影响操作系统以网络的安全。  

    1、当任务管理器中，出现多个CSRSS进程时。一般情况下，在操作系统中，只能出现一个CSRSS进程。虽然说CSRSS进程是必须的，但是，也不是多多益善。当任务管理器中的进程显示出有多个CSRSS进程的话，那么说明你的操作系统中招了。  

    2、当CSRSS进程运行的用户名不是SYSTEM，及其运行的模块路径不是System32 文件夹下的话，那么你也要当心了。很可能你电脑已经成为了黑客眼中的肉鸡，成为影响企业网络安全的一颗定时炸dan，随时都会爆炸。 

       解决方式：  

    若CSRSS是木马引起的，那么CSRSS是一个小的脚本程序。现在很多木马都会用到这个进程，如QQ木马、传奇盗号木马、MSN木马、邮件帐号木马等等。中了这些木马的时候，一般操作系统本身不会有很大的反映，系统的速度也是正常的，所以比较隐蔽。但是，其危害是很大的。其会把企业的一些帐号，如VPN用户名与密码、即时通信工具与密码等等都泄露出去，给企业的网络安全带来很大的隐患。  

    遇到这种这种情况的话，我们应该采取如下措施： 

    1、通过注册表删除这个进程。因为木马把这个进程伪装成系统进程，所以，试图通过任务管理器结束这个进程的时候，系统会提示错误信息，告知这个进程为系统进程不能停止。所以，只能够通过注册表管理器，把这个进程删除。注意，不要把系统原来的那个进程给删除了。所以，还是建议在修改注册表之前，先记得备份一下。  

    2、然后查看进程运行时的系统路径。把该进程在注册表中删除后，在任务管理器中的进程处就找不到这个进程了。此时，找到其原先运行的路径下面，我们就可以看到有一个CSRSS可执行文件。注意，只要不是SYSTEM32，其他的都可以删除。我们也可以通过系统自带的搜索功能，查询这个文件。把不是在SYSTEM32目录下的CSRSS文件都删除。  

    3、为了安全起见，升级我们的杀毒软件或者网上寻找专杀工具，对我们的系统进行全面的查杀。把病毒杀掉后，要及时把补丁打上，以防止下次不小心又中招了。  

    二、LSASS进程异常  

    LSASS进程也是微软操作系统的系统进程，其主要用来管理IP安全策略以及启动ISAKMP/IKE和IP安全驱动程序。这个进程会产生会话秘钥以及授予用户交互式客户/服务器验证的服务凭据。 

    一般情况下，若系统进程中出现了一个LSASS进程，并且其是以SYSTEM的用户运行且运行目录是在System32下面，那不用担心，是正常的。但是，有时候这个进程也会作怪，有些木马或者病毒也会假冒这个进程来欺骗用户。  

    当发生以下异常情况时，那我们需要注意了，可能我们的操作系统以及网络已经受到病毒或者木马的威胁。  

    1、在系统中出现了多个LSASS进程。一般以大写命名的LSASS进程是正常的，是系统进程；但是，若同时还存在一个小写命名的lsass进程的话，那就说明你的系统可能已经出问题了，被病毒或者木马看中了。  

    2、若中了ISASS病毒的话，不仅会在系统进程中产生两个LSASS进程，而且，还会产生一个EXERT进程。这两个进程分工合作，共同来管理LSASS病毒。一般来说，LSASS进程控制LSASS病毒的执行，而EXERT病毒控制LSASS病毒的退出。所以，若这两个进程成对出现的话，那你的系统百分之百的已经中了LSASS病毒。  

    LSASS病毒也是一个盗号木马，其主要运行在微软的操作系统上。以前的版本危害比较小，主要用来取游戏密码。但是，改良后的LSASS病毒，不仅会取游戏密码，而且，还会取邮箱、QQ密码等等，对于企业网络的安全影响比较大。不法之徒可以利用这个工具，获取企业邮箱等密码，窃取企业的机密，如客户发给企业的定单等等。LSASS病毒会记录键盘信息，最后把用户名与密码信息记录下来并发送到指定的邮箱，从而窃取用户的帐号与密码等等。所以，危害级别比较大。  

    解决方案：  

    1、结束LSASS进程。因为该进程为系统进程（其实不是，只是伪装，但是操作系统本身不能识别），所以，无法在进程管理器中直接停止。我们只能够通过注册表，或者在DOS窗口中，利用NTSD命令强行停止。NTSD是从微软的2000以后的操作系统中自带的用户调试工具。被调试器附着的进程会随调试器的退出而一起退出。所以，可以同这个命令在命令行窗口下强行终止进程。但是，一般情况下，NTSD命令不能杀掉SYSTEM用户运行的进程。不过还好，LSASS病毒的LSASS进程是不是以SYSTEM用户运行的。从这里我们可以看出，在进程管理器中，其结束进程的话，有时候是按进程的名字来限制的；但是，利用NTSD命令的话，他考虑的是以什么身份进行运行的。故利用NTSD命令可以停止一些伪装系统进程运行的非法进程。利用这个命令，也可以禁止上面谈的CSRSS非法进程。当然，以SYSTEM运行的合法系统进程是结束不掉的。具体的命令为ntsd –c q –p 进程ID.通过进程管理器,可以查到非法进程的ID,就可以通过这个命令禁止掉了。 

    2、删除病毒文件。LSASS病毒会在其他盘下生成两个文件，分别为Autorun.inf与command.com文件。一般这两个文件的属性是隐藏的。所以，我们需要把文件的显示属性设置为“显示隐藏文件与系统文件”才会看到这个两个文件。找到他们，然后把他们删除。同时，在启动盘下，可能会有一些病毒文件，如EXERT.EXE等，我们也要把他们一一找出来，删除掉。不然的话，下次还是会中招。  

    3、修复注册表。这个病毒在注册表中会生成比较多的垃圾，所以，若是手工清除的话，一方面，不一定能够全部清除干净，另一方面，也可能一不小心，产生一些错误。此时，我们最好利用我们最近备份的注册表备份文件，直接进行恢复。 

    4、从网上下载专杀工具或者升级我们的杀毒软件，进行全面的查杀。  

    5、为了安全起见，需要提醒我们的员工，及时更改我们的帐户密码。因为用户 的密码很可能已经泄露出去。如果不及时把密码改过来的话，不法分子可以利用他们已经得到的用户名与密码，进行一些非法的勾当。 

    以上这两种进程都是盗号木马的工具。对于这些盗号木马进程，一般情况下，不会对系统运行造成什么影响。所以，相对来说，比较隐蔽。但是，其危害性，确实比其他病毒大的多。有些病毒只是恶作剧的性质，最多只是让操作系统崩溃或者造成网络拥塞。而企业的文件、帐户信息等不会泄露出去。所以，这些恶作剧的病毒危害性反而小一点。  

    所以，为了保障企业网络的安全，最好的办法还是部署企业级别的杀毒系统。如此的话，可以实现在用户不用干预的情况下，对杀毒软件进行及时的升级，防止病毒与木马入侵。  

[1] [2] [3]  下一页

，如何判断系统进程是否异常