经验共享：利用进程管理打造简单有效的防毒方案

杀毒软件需要即时更新，更要占据宝贵的内存，有没有最简单的防毒方案？有，利用进程管理，加上对病毒的充分了解，完全可以“防毒于未然”。

结束难缠的病毒进程

你是否碰到这样的情形：杀毒软件明明检测到某个病毒，但就是不能成功将它杀掉。究其原因，就在于该病毒程序处于活动状态，而你的杀毒软件未能将相应进程成功结束，导致正在运行的病毒不能被删除。遇到这种情况，你可以尝试手工结束该进程，然后再继续杀毒。

要强行结束某个程序，你可以在PrcView主界面选中对应的进程，然后单击工具栏上的“结束进程”按钮。比如前段时间，笔者遭遇了恶性蠕虫“Worm.Welchia”，但杀毒软件不能将检测出来的病毒程序DLLHOST.EXE删除掉，后来就是使用该方法才成功斩杀。

小提示：

① 有关“Worm.Welchia”病毒的详细资料，大家可以参考网址：http://it.rising.com.cn/antivirus/virusdataasp/viruslist.asp?id=19888

② 考虑到不同主机中毒的情况可能不一样，在将查杀病毒库升级到最新版本后，如果按照上面提到方法还未能成功杀掉“Worm.Welchia”病毒，请进入安全模式进行查杀。

    “斩草除根”杀病毒

    “吃一堑，长一智”，现在的病毒、木马也学“聪明”了，有时即使你把病毒主程序删除了，但过不了多久该病毒又会重生，究其原因，一般就在于你没把与病毒程序相关联的其它模块一并删除。如何判断一个程序运行调用了哪些模块？你可以在进程管理软件的PrcView主窗口，选中你要查看的进程，然后单击工具栏上的“查看模块”按钮，从弹出的“模块”窗口，你可以了解到该进程所调用的模块。

一般来说，一个程序运行时需要的模块可分为：系统模块和专用模块。其中系统模块包含了Windows底层运行以及其它程序共享的正常模块，你不能将其删除；而专用模块只提供给该程序使用，如果某个病毒或木马不能被成功斩杀。可以试着将专用模块对应的文件删除，为了保险起见，在处理前最好用特殊方式备份一下（比如压缩）。

小提示：

①模块指的是程序正常运行时要调用的DLL（动态链接库）、DRV等文件。

②某些病毒会采用双进程互相保护，判断的关键是从可疑的陌生进程入手。

揪出“乔装打扮”的病毒

为了达到“掩人耳目”的目的，某些病毒或木马会把自己打扮成系统程序。还是拿最近流行的“Worm.Welchia”来说，该病毒就是把自己乔装成“DLLHOST.EXE”，“DLLHOST.EXE”一般只在调用COM+组件才运行，如果你未运行WEB、FTP服务器或其它中间件时，它的出现就值得怀疑了，如何进一步判断可疑迹象？可以从文件的创建时间入手。

系统文件的创建日期一般是系统初始安装，或者更新升级、给系统打上补丁的时间。在PrcView中直接双击某个进程，你就能查看到相关的版本信息，比如文件版本、创建及修改时间、公司名称等。如果发现某个系统文件在近期创建，但你最近并未进行与系统相关的安装操作，该文件就有点可疑，为了进一步对问题作出正确判断，你可以访问一些安全资讯网站了解最新信息、试着以该文件名作为关键词进行网络搜索。