九尾狐家族 免费:EcomService.tao.exe 是什么东西？

不知道 不管是什么 你怕是病毒 你就结束它 看看电脑有什么变化.如果发现没什么变化.就把相关的都删了.以免有什么后患.
接下了的你就随机应变吧 呵呵!!这个文章你可以看看有帮助的
常在河边走，哪有不湿脚?所以有时候上网时间长了，很有可能被攻击者在电脑中种了木马。如何来知道电脑有没有被装了木马呢?
一、手工方法:

1、检查网络连接情况

由于不少木马会主动侦听端口，或者会连接特定的IP和端口，所以我们可以在没有正常程序连接网络的情况下，通过检查网络连情情况来发现木马的存在。具体的步骤是点击“开始”->“运行”->“cmd”，然后输入netstat -an这个命令能看到所有和自己电脑建立连接的IP以及自己电脑侦听的端口，它包含四个部分--proto(连接方式)、local address(本地连接地址)、foreign address(和本地建立连接的地址)、state(当前端口状态)。通过这个命令的详细信息，我们就可以完全监控电脑的网络连接情况。

2、查看目前运行的服务

服务是很多木马用来保持自己在系统中永远能处于运行状态的方法之一。我们可以通过点击“开始”->“运行”->“cmd”，然后输入“net start”来查看系统中究竟有什么服务在开启，如果发现了不是自己开放的服务，我们可以进入“服务”管理工具中的“服务”，找到相应的服务，停止并禁用它。

3、检查系统启动项

由于注册表对于普通用户来说比较复杂，木马常常喜欢隐藏在这里。检查注册表启动项的方法如下:点击“开始”->“运行”->“regedit”，然后检查HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值;HKEY-USERS.DefaultSoftwareMicrosoftWindowsCurrentVersion下所有以“run”开头的键值。

Windows安装目录下的System.ini也是木马喜欢隐蔽的地方。打开这个文件看看，在该文件的[boot]字段中，是不是有shell=Explorer.exe file.exe这样的内容，如有这样的内容，那这里的file.exe就是木马程序了!

4、检查系统帐户

恶意的攻击者喜在电脑中留有一个账户的方法来控制你的计算机。他们采用的方法就是激活一个系统中的默认账户，但这个账户却很少用的，然后把这个账户的权限提升为管理员权限，这个帐户将是系统中最大的安全隐患。恶意的攻击者可以通过这个账户任意地控制你的计算机。针对这种情况，可以用以下方法对账户进行检测。

点击“开始”->“运行”->“cmd”，然后在命令行下输入net user，查看计算机上有些什么用户，然后再使用“net user 用户名”查看这个用户是属于什么权限的，一般除了Administrator是administrators组的，其他都不应该属于administrators组，如果你发现一个系统内置的用户是属于administrators组的，那几乎可以肯定你被入侵了。快使用“net user用户名/del”来删掉这个用户吧!

如果检查出有木马的存在，可以按以后步骤进行杀木马的工作。

1、运行任务管理器，杀掉木马进程。

2、检查注册表中RUN、RUNSERVEICE等几项，先备份，记下可以启动项的地址， 再将可疑的删除。

3、删除上述可疑键在硬盘中的执行文件。

4、一般这种文件都在WINNT，SYSTEM，SYSTEM32这样的文件夹下，他们一般不会单独存在，很可能是有某个母文件复制过来的，检查C、D、E等盘下有没有可疑的.exe，.com或.bat文件，有则删除之。

5、检查注册表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain中的几项(如Local Page)，如果被修改了，改回来就可以。

6、检查HKEY_CLASSES_ROOTtxtfileshellopencommand和HKEY_CLASSES_ROOTxtfileshellopencommand等等几个常用文件类型的默认打开程序是否被更改。这个一定要改回来。很多病毒就是通过修改.txt文件的默认打开程序让病毒在用户打开文本文件时加载的。

二、利用工具:

查杀木马的工具有LockDown、TheClean、木马克星、金山木马专杀、木马清除大师、木马分析专家等，其中有些工具，如果想使用全部功能，需要付一定的费用，木马分析专家是免费授权使用。
妙用系统进程手工杀毒

进程与病毒—妙用系统进程手工杀毒

一款好的防火墙并不能发现所有病毒；一个好的杀毒软件并不能歼灭所有的带毒程序！遇到这些情况我们该做何处理呢？很简单——手工杀毒。而要论到手工杀毒，就不能不提到系统进程的妙用了。

进程、病毒？

书上说：“进程为应用程序的运行实例，是应用程序的一次动态执行。”看似高深，我们可以简单地理解为：它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括：系统管理计算机个体和完成各种操作所必需的程序；用户开启、执行的额外程序，当然也包括用户不知道，而自动运行的非法程序（它们就有可能是病毒程序）。

危害较大的可执行病毒同样以“进程”形式出现在系统内部（一些病毒可能并不被进程列表显示，如“宏病毒”），那么及时查看并准确杀掉非法进程对于“手工杀毒有起着关键性的作用。

操作系统如何打开进程列表？

要通过进程列表查看系统是否染毒，必须打开当前的执行程序进程列表，Microsoft的每种系统都有相应的打开方法，但能够显示的能力却因（系统）不同，有所差异：

1. Windows 98 /Me系统

打开系统进程的方式很简单，快捷键“Ctrl+Alt+Delete”（如图1），这个窗口大家应该比较熟悉，使用Windows系统的用户都知道用这个方法来关闭程序，不过它同样用于显示系统进程，只是Windows 98系统较初级，对进程的显示局限于名称，且里面所显示的还有打开的文件及目录名，查看时易混淆。Windows Me的进程打开方式和Windows 98相同。

Windows 9x系统打开的进程列表混乱且不完全，显然不便于查看系统的具体进程状况，所以建议使用一些工具程序来为Windows 9x系统显示进程，如“Windows优化大师”，在“优化大师”的“系统安全优化”项内打开“进程管理”，在图2所示的“Windows 进程管理”窗口内，可以详细查看当前计算机所运行的所有进程，及具体程序所在的位置，这样更方便完成后面要介绍的如何利用进程进行查毒、杀毒。

2. Windows 2000/ XP/2003系统

Windows 2000、Windows XP、Windows 2003打开进程窗口的方式与Windows 9x系统相同，只是三键后打开的是“Windows 任务管理器”窗口，需要选择里面的“进程”项。Windows 2000系统只显示具体进程的全名，占用的内存量；Windows XP、Windows 2003系统相比Windows 2000会显示该进程归属于那个用户下，如操作系统所必须的基础程序，会在后面的“用户名”内显示为“SYSTEM”，由用户另外开启的程序则用户名为当前的系统登录用户名。

通过进程发现、处理病毒

在介绍具体的查毒和杀毒前，笔者先回答开篇提出的两个问题。为什么杀毒软件并不能全面的查找和杀掉病毒？首先，病毒防火墙是通过对程序进行反汇编，然后与自己的病毒库进行对比来查找病毒，如果病毒较新，而杀毒软件又未能及时升级便不能识别病毒。其次，杀毒软件在发现病毒后，如果是独立的可执行病毒程序，会选择直接删除的处理方式，而病毒如果被当作进程执行了，杀毒软件就无能为力了，因为它没有功能和权限先停止掉系统的这些进程，被当作进程执行的程序是不能被删除的（这也是大家在删除一个程序时，提示该程序正在被使用不能删除的原因）。所以在使用杀毒软件杀毒时，才会有杀毒完成后，又出现病毒提示的原因。

回到原来话题上！通过进程如何发现和杀掉病毒呢？由前面的知识介绍可知，Windows 9X和Windows 2000系统只能显示进程的名称，这对判断该进程是否是病毒还不够，如果要准确的断定病毒，最好使用前面介绍的“Windows优化大师”来查看进程程序的源路径，如果是“C:\windows\system”下的一些未知的“EXE”那便极有病毒的可能性了。Windows XP和Windows 2003系统，进程后会有“用户名”的显示，病毒是不可能获得“SYSTEM”权限的，所以应注意“用户名”是当前登录用户的进程，一旦发现是病毒，可以立即“杀掉”。这里介绍两个技巧：

1．发现可疑进程后，利用Windows的查找功能，查找该进程所在的具体路径，通过路径可以知道该进程是否合法，譬如由路径“C:\Program Files\3721\assistse.exe”知道该程序是3721的进程，是合法的。

2．在对进程是否病毒拿不定主意时，可以复制该进程的全名，如：“xxx.exe”到googl.com或baidu.com这样的全球搜查引擎上进行搜查，如果是病毒会有相关的介绍网页。

确定了该进程是病毒，首先应该杀掉该进程，对于Windows 9x系统，选中该进程后，点击下面的“结束任务”按钮，Windows 2000、Windows XP、Windows 2003系统则在进程上单击右键在弹出菜单上选择“结束任务”。“杀掉”进程后找到该进程的路径删除掉即可，完成后最好在进行一次杀毒，这样就万无一失了。

一次利用进程杀毒的具体过程是这样的：“通过进程名及路径判断是否病毒——杀掉进程——删除病毒程序”，为了让读者更好的判断进程，在这里补充一些Windows的进程资料给大家：

进程名??????描述

smss.exe?????Session?Manager

csrss.exe ????子系统服务器进程

winlogon.exe???管理用户登录

services.exe???包含很多系统服务

lsass.exe ????管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。

svchost.exe??? Windows 2000/XP 的文件保护系统

SPOOLSV.EXE ???将文件加载到内存中以便迟后打印。

explorer.exe???资源管理器

internat.exe???托盘区的拼音图标

mstask.exe????允许程序在指定时间运行。

regsvc.exe????允许远程注册表操作。(系统服务)→remoteregister

tftpd.exe ????实现 TFTP Internet 标准。该标准不要求用户名和密码。

llssrv.exe????证书记录服务

ntfrs.exe ????在多个服务器间维护文件目录内容的文件同步。

RsSub.exe ????控制用来远程储存数据的媒体。

locator.exe ???管理 RPC 名称服务数据库。

clipsrv.exe ???支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。

msdtc.exe ????并列事务，是分布于两个以上的数据库，消息队列，文件系统或其他事务保护资源管理器。

grovel.exe????扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间（只对 NTFS 文件系统有用）。

snmp.exe?????包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。

以上这些进程都是对计算机运行起至关重要的，千万不要随意“杀掉”，否则可能直接影响系统的正常运行。 <!--Signature-->