本文共 788 字，大约阅读时间需要 2 分钟。

　　查找原因

　　我们从如图1所示的进程图可以看到进程项“KERNEL32.EXE”的PID(进程标识符)是888，因为每个标识符都是不同的，所以根据这一点我们就可以查看到该进程更进一步的详细内容。

小提示:默认情况下进程中是没有“PID”项显示的，我们选择“查看→选择列”，然后将“PID(进程标识符)”复选框选择上就可以了。

　　打开命令提示符窗口，输入命令:“netstat -ano -p tcp”(小王用的是Windows XP，如果是Windows 2000系统，就输入“netstat -an -p tcp”命令)，这时就会显示本机开放的所有端口，仔细找找看，发现问题了，果然有一个PID为888的项，如图2所示。这样，我们就明白了KERNEL32.EXE程序正在通过电脑7626端口进行监听，造成了现在电脑运行起来特慢，程序无法运行。

解决故障

　　知道了KERNEL32.EXE进程在搞鬼，先在任务进程中将它结束掉。别以为这样就问题解决了，重新启动电脑，该进程就又会起死回生了!看来它在启动中也做了手脚，打开注册表找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，发现了一个键值的数据位置指向了“C:WindowsSystem32KERNEL32.EXE”文件，就是它了，将该项删除，然后再到C盘WindowsSystem32目录下将KERNEL32.EXE文件删除。OK，到这里这个木马病毒就被解决掉了。

转载地址：http://egkpi.baihongyu.com/