假设我有一个名为“EvilMalware.exe”的进程不断重新启动(即我终止它并会在几秒钟后重新启动)。
我查看了启动它的进程并且它是C:\Windows\System32\services.exe。
这似乎是一个用于启动程序的合法的 Windows 进程。
那么我如何才能弄清楚是什么告诉 services.exe 不断重新启动“EvilMalware.exe”?
答案1
跑步进程表达式。它将显示一个漂亮的分叉树,描绘父进程。您也可以右键单击标题并添加“命令行”列以查看参数。
答案2
services.exe 是一个用于启动、停止和与服务交互的程序。
假设您感染了恶意软件,我建议最好的办法是进行病毒扫描。
您可能能够在服务控制面板中停止它,但恶意软件可能会恢复您所做的任何更改。
您应该启动像 ClamAV 这样的防病毒软件来删除文件,而不会被病毒篡改。