从explorer.exe进程看病毒

　　很多插入进程的钩子,都是从Explorer.exe开始的，如果病毒先搞定了它,那么,你运行的所有的程序就都跑不掉了。

　　看启动项

　　首先你要熟悉并知道你电脑中都有哪些启动项

　　大多的病毒的名称都是不规则的,随机性很大~这个可以借用google搜索下

　　在其它的目录添加一个假冒的正常文件(文件名相同,但路径不对~)

　　或将一些你比较熟知的进程名称少许的改一些~~如:0与o 1与l 以此来蒙浑我们的眼睛~(所以,我们在检查这些时要擦亮自已的眼睛~~~)

　　看服务

　　大多服务的启动文件(基本说是所有~)在windows根目录下出现,也就是在说,我是木马~~

　　有的在运行时会把自已隐藏起来~(如新版的鸽子~)

　　还有,和上面有些相似的一点~~不规则的,随机出现的进程文件名~~最好去网上搜索下~(推荐,google或百度~)如搜索为零~呵呵,那你就要小心了~~

　　驱动

　　还没太弄明白,这个最好是杀软能够确定的查出~或已经被确认的病毒的驱动~

　　(很多正常的驱动名都有点不规则~所以这点在这里不太通~)

　　对于插件

　　比较难界定~牛氓软件太多,所以,牛氓插件也就相应的很多了~~~

　　(我只装了一个卡卡安全助手.)

　　对于运行中的进程

　　木马最喜欢插入Explorer.exe及它以下的所有进程,,所以,在它们下面如果你发现总是有一个或几个DLL(同名的~!!)

　　那你就要考虑,它是不是木马的爪子已经抓住你了~~

　　另,如果在下面进程下发现有东西~(下面几个文件,在sreng中是不显示正常已经被确认的微软的模块的!!)呵呵,所以,你也最好到网上去搜一下~~

　　C:\WINDOWS\System32\smss.exe

　　C:\WINDOWS\system32\csrss.exe

　　C:\WINDOWS\system32\winlogon.exe