根据PID查杀木马病毒的适用小方法_动网_社区论坛·开发者网络源动力

电脑不知何故，运行起来特慢，程序根本无法运行。首先查看Windows任务管理器，马上发现了原因：进程“KERNEL32.EXE”居然占用了CPU的90%以上资源！怀疑是木马或病毒在作怪。如何来确定它一定是木马病毒，并知道它打开了电脑哪个端口呢?

查找原因

我们从如图1所示的进程图可以看到进程项“KERNEL32.EXE”的PID(进程标识符)是888，因为每个标识符都是不同的，所以根据这一点我们就可以查看到该进程更进一步的详细内容。

图1

小提示:默认情况下进程中是没有“PID”项显示的，我们选择“查看→选择列”，然后将“PID(进程标识符)”复选框选择上就可以了。

打开命令提示符窗口，输入命令:“netstat -ano -p tcp”(小王用的是Windows XP，如果是Windows 2000系统，就输入“netstat -an -p tcp”命令)，这时就会显示本机开放的所有端口，仔细找找看，发现问题了，果然有一个PID为888的项，如图2所示。这样，我们就明白了KERNEL32.EXE程序正在通过电脑7626端口进行监听，造成了现在电脑运行起来特慢，程序无法运行。

图2

解决故障

知道了KERNEL32.EXE进程在搞鬼，先在任务进程中将它结束掉。别以为这样就问题解决了，重新启动电脑，该进程就又会起死回生了!看来它在启动中也做了手脚，打开注册表找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，发现了一个键值的数据位置指向了“C:WindowsSystem32KERNEL32.EXE”文件，就是它了，将该项删除，然后再到C盘WindowsSystem32目录下将KERNEL32.EXE文件删除。OK，到这里这个木马病毒就被解决掉了。