进程是操作系统当前运行的执行程序，可执行病毒同样以“进程”形式出现在系统内部，我们可以通过打开系统进程列表来查看哪些进程正在运行，通过进程名及路径判断是否有病毒，如果有则记下它的进程名，结束该进程，然后删除病毒程序即可。

一、查看进程列表的方法

1.在Windows 98中查看进程列表的操作:单击“开始→程序→附件→系统工具→系统信息→软件环境→正在运行的任务”，打开的进程列表(如图1);

图1

2.在Windows 2000中可以按Ctrl+Alt+Del组合键，然后单击“任务管理器”，打开“Windows 任务管理器”，然后单击“进程”标签即可查看(如图2)。

图2

3.在Windows XP中直接按下Ctrl+Alt+Del键即可打开“Windows 任务管理器”，单击“进程”标签即可查看进程。

二、判断哪些是正常进程

在列表中显示的都是各个正在运行的系统进程的名称列表，如图3，系统进程一般包括:基本系统进程和附加进程。基本系统进程是系统运行的必备条件，而附加进程则是可以按需运行或结束。

图3

1.基本系统进程

Csrss.exe:这是子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境。

Lsass.exe:管理IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。。

Explorer.exe:资源管理器。

Smss.exe:这是一个会话管理子系统，负责启动用户会话。

Services.exe:系统服务的管理工具，包含很多系统服务。

ystem: Windows系统进程

System Idle Process:这个进程是作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。

Spoolsv.exe:管理缓冲区中的打印和传真作业。

Svchost.exe:系统启动的时候，Svchost.exe将检查注册表中的位置来创建需要加载的服务列表，如果多个Svchost.exe同时运行，则表明当前有多组服务处于活动状态;多个DLL文件正在调用它。

winlogon.exe: 管理用户登录

以上这些进程都是对计算机运行起至关重要的，千万不要随意“杀掉”，否则可能直接影响系统的正常运行。

2.附加进程

除了基本系统进程，其它就是附加进程了， 例如wuauclt.exe(自动更新程序)、 systray.exe(显示系统托盘小喇叭图标)、ctfmon.exe(微软Office输入法)、mstask.exe(计划任务)、winampa.exe等等，附加进程可以按需取舍，不会影响到系统核心的正常运行。

3.应用程序的进程

当前运行的应用程序也会显示在进程列表中，当要查毒时最好将已运行的程序全部按正常方式关闭，病毒一般不随应用程序关闭而结束的。这时候，如果你在如图3所示的系统进程表中发现“不明的进程名”，那么就应当把它列为可疑进程。这里列出一些常见病毒的进程名，供大家参考。

avserve.exe 震荡波病毒的进程

java.exe、services.exe MyDoom病毒的进程

vch0st.exe、expl0er、user32.exe 网银大盗的进程

dllhost.exe 冲击波病毒的进程

三、处理可疑进程

可疑进程不一定就是病毒，所以我们要通过处理来判断它是否为病毒。

1.试验法

将可疑进程结束后，通过“开始→搜索→文件或文件夹”，然后输入可颖进程名作为关键字对硬盘进行搜索，找到对应的程序后，记下它的路径，将它移到U盘或软盘上，然后对电脑上的软件都运行一遍，如果都能正常运行，说明这个进程是多余的或者是病毒，就算不是病毒把它删了也可给系统减肥。如果有软件不能正常运行则要将它还原。

2.搜索求救法

如果你对“不明进程”是否是病毒拿不定主意，可以到论坛(如bbs.ctips.com.cn，找到电脑防线栏目提问即可)上发贴，或者用该进程的全名为关键字在搜索引擎上搜索，找它的相关资料看它是不是病毒，如果是则赶快删除。