很多插入进程的钩子,都是从Explorer.exe开始的~~
如果病毒先搞定了它,那么,你运行的所有的程序就都跑不掉了~
以下仅是个人看法~~~~~
看启动项~
首先你要熟悉并知道你电脑中都有哪些启动项~~
大多的病毒的名称都是不规则的,随机性很大~这个可以借用google搜索下~
在其它的目录添加一个假冒的正常文件(文件名相同,但路径不对~)
或将一些你比较熟知的进程名称少许的改一些~~如:0与o 1与l 以此来蒙浑我们的眼睛~(所以,我们在检查这些时要擦亮自已的眼睛~~~)
看服务~
大多服务的启动文件(基本说是所有~)在windows根目录下出现,也就是在说,我是木马~~
有的在运行时会把自已隐藏起来~(如新版的鸽子~)
还有,和上面有些相似的一点~~不规则的,随机出现的进程文件名~~最好去网上搜索下~(推荐,google或百度~)如搜索为零~呵呵,那你就要小心了~~
驱动~
还没太弄明白,这个最好是杀软能够确定的查出~或已经被确认的病毒的驱动~
(很多正常的驱动名都有点不规则~所以这点在这里不太通~)
对于插件~
比较难界定~牛氓软件太多,所以,牛氓插件也就相应的很多了~~~
(我只装了一个卡卡安全助手.)
对于运行中的进程~
木马最喜欢插入Explorer.exe及它以下的所有进程,,所以,在它们下面如果你发现总是有一个或几个DLL(同名的~!!)
那你就要考虑,它是不是木马的爪子已经抓住你了~~
另,如果在下面进程下发现有东西~(下面几个文件,在sreng中是不显示正常已经被确认的微软的模块的!!)呵呵,所以,你也最好到网上去搜一下~~
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
