Cómo matar virus sin utilizar software antivirus
¿Por qué no utilizar un software antivirus? ¡Es tan simple!
El manual general del antivirus requiere al menos medio año para aprenderlo. No se puede explicar en una o dos frases. Aquí hay algunos ejemplos. Es un artículo que vi en Internet. . Artículo (no sé si cuenta como infracción):
Ejemplo 1: Hacer amistad con el “ejecutante” del proceso
Muchas veces, no nos damos cuenta. qué está pasando en el sistema. Cuántos procesos. Si desea comprender los secretos de los procesos, primero debe hacerse amigo de algunos procesos comunes del sistema. Una vez que los domine, podrá encontrar rápidamente tipos sospechosos en la lista de procesos como un detective.
En Windows 2000/XP, la combinación de teclas Ctrl+Shift+Esc puede abrir rápidamente el Administrador de tareas, mientras que Windows 9X usa la combinación de teclas Ctrl+Alt+Supr.
1. Proceso "protagonista"
Primero, familiaricémonos con los procesos básicos del sistema. Son las condiciones básicas para el funcionamiento del sistema. Generalmente, no se pueden cerrar, de lo contrario. hará que el sistema colapse.
Windows 2000/XP: smss.exe, csrss.exe, winlogon.exe, services.exe, lsass.exe, svchost.exe (pueden existir varios al mismo tiempo), spoolsv.exe, explorer .exe, proceso inactivo del sistema;
Windows 9x: msgsrv32.exe, mprexe.exe, mmtask.tsk, kenrel32.dll.
¿Sabías que?
Procesos y Programas
En pocas palabras, cada vez que se inicia un programa, se inicia un proceso. En Windows 3.x, un proceso es la unidad de operación más pequeña. En Windows 9X/2000/XP, cada proceso también puede iniciar varios subprocesos. Por ejemplo, se puede abrir un subproceso separado para cada archivo descargado. En Windows 9X/2000/XP, el hilo es la unidad más pequeña. Los programas son permanentes, los procesos son temporales. Para dar un ejemplo: si el programa es un guión, entonces el proceso de ejecución es el proceso; si el programa es una receta, entonces el proceso de cocción es el proceso;
Svchost.exe
Se encuentra en la carpeta System32 del directorio del sistema y es un proceso de host general que ejecuta servicios desde una biblioteca de vínculos dinámicos (DLL). En el administrador de tareas, es posible que vea varios Svchost.exe ejecutándose. No haga ningún escándalo, pueden ser varios archivos DLL que lo llaman. Sin embargo, debido a esto también se ha convertido en el objetivo de la explotación de virus. Un ejemplo de ello es el antiguo virus "código azul". Además, si está infectado con el virus de la onda de choque, el sistema también le indicará "Se produjo un error en Svchost.exe".
Si desea comprobar qué servicios utilizan Svchost.exe, para Windows 2000, puede extraer Tlist.exe del paquete comprimido SupportToolsSupport.cab en su CD de instalación a cualquier directorio y luego abrir el archivo " Símbolo del sistema" "Ingrese al directorio donde se encuentra Tlist.exe, ingrese "tlist -s" y presione Enter (puede ver información detallada con el comando "tlist pid"). En Windows XP, ingrese directamente "Tasklist /SVC" para ver la información del proceso ("Tasklist /fi "PID eq ProcessID"" puede ver información detallada).
2. Procesos de "función de apoyo"
Aunque estos procesos del sistema no son necesarios para el funcionamiento del sistema, a menudo aparecen en la lista de procesos. Como internat.exe, systray.exe, rundll32.exe, loadwc.exe, ddhelp.exe, mstask.exe, ctfmon.exe, taskmagr.exe, msnmsgr.exe, wmiexe.exe, todos son procesos normales del sistema.
Se recomienda que después de instalar Windows, haga clic en "Inicio → Programas → Accesorios → Herramientas del sistema → Información del sistema" y luego haga clic en "Entorno de software → Tareas en ejecución" en la ventana "Información del sistema" que se abre ( en En esta lista de procesos, puede ver atributos más detallados, entre los cuales la ruta del programa es información muy importante), luego haga clic en "Operación → Guardar como archivo de texto" y compare y analice cuándo ocurrirá una anomalía en el sistema en el futuro. Además, "Optimization Master" también proporciona la función de guardar instantáneas del proceso.
Ejemplo 2: búsqueda de pistas de troyanos
Muchos troyanos y algunas herramientas de protección utilizan métodos de protección de proceso dual. Por ejemplo, el troyano "Falling Star" utiliza el modo de proceso dual. Echemos un vistazo. Cómo detectarlos.
Paso 1: Abra el Administrador de tareas. Si se compara con procesos comunes, es obvio que se encontrarán dos "desconocidos" (similares, pero no idénticos, a los nombres de procesos básicos del sistema): "internet.exe" y "systemtray.exe". Compárelo con el proceso de "función de apoyo" del ejemplo anterior.
Paso 2: Abra "Entorno de software → Tareas en ejecución" en "Información del sistema" y verifique la información de la ruta. Ambos apuntan al directorio WindowsSystem32 y el tamaño y la fecha del archivo son los mismos, pero del archivo. fecha Mire los archivos del sistema que no pertenecen a Microsoft. Ingrese al administrador de recursos para verificar su atributo de versión. Aunque la empresa está marcada como Microsoft, no está escrito igual que el nombre de la empresa Microsoft en el archivo del sistema. Básicamente se puede concluir que es un proceso ilegal y está en modo dual. modo de proceso.
Paso 3: Al intentar finalizar el proceso, seleccione "systemtray.exe" por primera vez para finalizar el árbol de procesos. Como resultado, el proceso se regenera inmediatamente y los dos procesos se muestran en el. administrador de tareas! Así que seleccione "internet.exe" nuevamente y luego finalice el árbol de procesos. El proceso no se regenera, eliminando así el proceso troyano del sistema.
Ejemplo 3: procesos del sistema reales y falsos
Para evitar ser encontrados en los nombres de los procesos, muchos virus y troyanos suelen utilizar "trucos ocultos", utilizando archivos del sistema o un nombre de proceso. similar al nombre del proceso del sistema.
1. Camuflaje de nombre de archivo
(1) Modificar caracteres individuales de programas o procesos comunes
Por ejemplo, el nombre del proceso del troyano "Falling Star" "internet.exe" presentado anteriormente es muy similar al proceso del método de entrada "internat.exe". El nombre del proceso del servidor de "WAY Bad Boy" es "msgsvc.exe", que es similar al proceso básico del sistema "msgsrv32.exe". También existe la diferencia entre Explorer.exe y Exp1orer.exe. ¿Si no tienes cuidado? (El número "1" reemplaza la letra "l")
(2) Modificar la extensión
El proceso del servidor del famoso troyano Glacier es Kernel32.exe, que parece familiar en A primera vista, parece ser un proceso del sistema. De hecho, dicho archivo no existe en el sistema. Hay uno llamado "Kernel32.dll" en el proceso básico de Windows 9x. El proceso del caballo de Troya "Shell32.exe" "evolucionó" a partir de "Shell32.dll", un archivo con el que todo el mundo está familiarizado y que en realidad no existe en el sistema.
2. Camuflaje de ruta
El directorio de Windows y el directorio del Sistema son donde se encuentran los archivos principales del sistema y generalmente son "accesibles para los usuarios". Por lo tanto, los archivos que entran y salen de ellos generalmente se consideran archivos del sistema, y los virus y troyanos aprovechan la oportunidad para colocar archivos fuente en estos dos directorios. Para este tipo de situación, generalmente solo necesita encontrar la ruta del archivo fuente a través de la información del sistema, abrir las propiedades del archivo y podrá ver la falla a partir de la fecha (esto es muy importante, puede verificar si es el mismo que la fecha del archivo del sistema), la versión y la información del nombre de la empresa. Ningún virus o archivo troyano puede diseñarse para que sea exactamente igual al archivo del sistema.
Ejemplo 4: La optimización del sistema comienza con el proceso
Además de los procesos básicos necesarios para el funcionamiento del sistema, cada programa generará un proceso en el sistema después de ejecutarse, y cada proceso Ocupará una cierta cantidad de recursos de CPU y recursos de memoria.
Demasiados procesos y algunos procesos mal diseñados harán que el sistema se ralentice y reduzcan el rendimiento. En este momento, se pueden optimizar.
1. Agiliza los procesos
Algunos procesos en el sistema no son necesarios y finalizarlos no causará ningún daño al sistema.
Por ejemplo: internat.exe (mostrar icono de método de entrada), systray.exe (mostrar icono de altavoz en la bandeja del sistema), ctfmon.exe (método de entrada de Microsoft Office), mstask.exe (tarea programada), sysexplr .exe (Servidor Super Jieba), winampa.exe (Agente Winamp), wzqkpick.exe (Asistente WinZip), etc.
Existe un gadget gratuito llamado "Process Killer", que tiene la función de agilizar los procesos automáticamente y puede finalizar automáticamente todos los procesos excepto los procesos básicos del sistema. Cuando sospecha que su computadora está ejecutando algún proceso de pirata informático o virus pero no está seguro de cuál es, este software puede eliminar eficazmente esos procesos ilegales. Sin embargo, sólo es adecuado para Windows 9x/Me. Descargar dirección.net:8080/down/prockiller_23.rar.
2. Elimine los procesos defectuosos
A veces encontrará que el sistema se ejecuta muy lentamente. En este caso, puede abrir el Administrador de tareas, hacer clic en la pestaña "Proceso" y. haga clic en la columna "CPU" La etiqueta permite ordenar los procesos por uso de recursos de CPU y podrá ver claramente los programas con el mayor uso de recursos. De la misma manera, puedes hacer clic en la etiqueta de la columna "Memoria" para ver aquellos ocupantes de memoria y finalizar el proceso de manera oportuna.
Aquí hay una situación especial: al verificar el uso de la CPU, siempre se mostrará un proceso llamado "Proceso inactivo del sistema" alrededor del 90%. No se preocupe, en realidad no consume tantos recursos del sistema. Haga clic en la pestaña "Rendimiento" para ver el uso real de recursos de la CPU.
★Para Windows 9x, no puede usar el Administrador de tareas para ver todos los procesos y el uso de CPU y memoria como en Windows 2000/XP. Se recomienda usar Process Explorer (dirección de descarga/ntw2k/f...rocexp. .shtml).
★Si un programa de 16 bits afecta el funcionamiento del sistema y no se puede desactivar, puede ingresar a la pestaña de proceso del administrador de tareas, buscar el proceso NTVDM.exe, desactivarlo y eliminarlo. Todas las aplicaciones de 16 bits sin reiniciar.
3. Optimizar el rendimiento del software o del juego
También puedes mejorar el rendimiento del software y los procesos del juego cambiando su prioridad, lo que hará que se ejecuten más rápido. Puede afectar otros procesos en ejecución. Por ejemplo, para evitar fallas en la grabación debido al desbordamiento del búfer de grabación, puede ingresar a la pestaña Proceso del Administrador de tareas, buscar y hacer clic con el botón derecho en el elemento de proceso del software de grabación, seleccionar "Establecer prioridad" y luego seleccionar "Alta". " en el submenú emergente. . Si no desea configurarlo así cada vez, puede utilizar el siguiente método.
Paso uno: abra el directorio donde se encuentra el software o juego, por ejemplo: D:/game, cree un nuevo archivo de texto aquí e ingrese la siguiente declaración en él:
echo off
start /priority game.exe
Nota: Reemplace la prioridad con la prioridad de CPU requerida. Se recomienda usar alta (alta) y superior a lo normal (por encima de lo normal) porque. tener el mejor efecto. Reemplace game.exe con el nombre del archivo ejecutable del software o juego, por ejemplo: stvoy.exe.
Paso 2: Después de realizar las modificaciones anteriores, guárdelo como game.bat. Ahora puede iniciar el juego o el software a través de este archivo, lo que le dará al juego o software una mayor prioridad de CPU. Sin embargo, cabe señalar que el archivo debe guardarse en el directorio donde se encuentra el juego o software.
¡También puedes ir a Hacker Network para comprobarlo!