TXPlatform.exe是腾讯即时通讯客户端相关程序,用于阻止同一个QQ号在同一台电脑上登陆2次和支持外部添加功能。(不建议关闭)
svchost.exe是系统进程,在XP系统中进程数量较多,正常,不能关闭! zhudongfangyu.exe,是主动防御的拼写,360进程。 360rp/360rps是360杀毒进程。 360tray,360进程。
safeboxtray.exe,360保险箱进程。 nvsvc32,显卡驱动进程。 以上进程不建议关闭。
taskmgr.exe,任务管理器进程,可以结束进程。
computerZ_cn是鲁大师进程,关闭程序时进程自动结束。
QQDL可以关闭,是QQ多用户一键登录,可以实现一键自动登录你所有QQ用户。
sogouCloud.exe是搜狗输入法的进程。(关闭后会被再次自动启动)
iexplore.exe是IE浏览器进程,打开页面多了自然会重复。(若结束进程,则会导致IE页面被关闭)
其他均为系统进程,不建议关闭。 望满意!!!
关于任务管理器里的进程一般有几个运行的程序的资料你参考下:
1.System windows系统进程,一个重要的进程,权限比计算机管理员还大,要是你想结束它那你就高估你自己了,如果强行结束它,结果60秒倒记时重新启动,没有任何机会后悔。
2.System Idle Process 系统进程,它的作用是显示系统有多少闲置的cpu资源。System Idle Process进程的作用是在系统空闲的时候分派CPU的时间,如果它显示的超过百分之多少以上的CPU资源并不是指的它占用了这么多CPU资源,恰恰相反,而是表示有百分之多少以上的CPU资源空闲了出来,这里的数字越大表示CPU资源越多,数字越小则表示CPU资源紧张。该进程是系统运行必需的,不能禁止。
3.svchost Service Host Process是一个标准的动态连接库主机处理服务。
Svchost用来启动服务。Svchost.只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。Svchost通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。在xp中此进程一般有四个以上。
4.explorer它的作用是用于控制Windows图形,包括开始菜单、任务栏,桌面和文件管理。此进程是一个用户进程,但是对于大多数的用户而言是离不开它的,在98系统中它是必须的,但是在2000/xp中,没有它你照样能使用电脑。在Windows 2000/XP和其他Windows NT内核的系统中,Explorer.exe进程并不是系统运行时所必需的,所以可以用任务管理器来结束它,并不影响系统的正常工作。打开你需要运行的程序,如记事本。然后右击任务栏,选择“任务管理器”,
选中“进程”选项卡,在窗口中选择Explorer.exe进程,单击“结束进程”按钮,,接下来桌面上除了壁纸,所有图标和任务栏都消失了。此时你仍可以像平常一样操作一切软件。=&如果你想运行其他软件,但此时桌面上空无一物,怎么办?别着急,按下Ctrl+Alt+Del组合键,出现“Windows安全”对话框,单击“任务管理器”按钮,在任务管理器窗口中选中“应用程序”选项卡,单击 “新任务”,在弹出的“创建新任务”的对话框中,输入你想要打开的软件的路径或者名称即可。这样的做法很锻炼你的电脑使用技术,喜欢耍酷的同学不防一试,还能节省资源。_
5.lsass 系统进程 这是一个本地安全权限服务管理 进程详解:管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket),也就是本地安全权限服务,属于Windows的核心进程之一,也被黑客千方百计的寻找漏洞,大名鼎鼎的震荡波利用的就是其中一个漏洞。此进程就是你的盔甲。
6.services 系统进程 用与管理启动和停止Windows服务,该进程也管理计算机启动和关机时的运行的服务,所以很重要。还有一点很重要,有一个木马的名字和它一样,如果他占用了大量的cpu资源或者它的安全等级是建议,那你必须马上关闭它。
7.ccapp是Norton AntiVirus 2003反病毒软件的一部分。它能够自动保护你的计算机c安全。
8.alg这是一个应用层网关服务用于网络共享,alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。简单的说它是你电脑的门卫! 你装了瑞星吧?
9.ccenter如果是装了瑞星,那是瑞星杀毒程序的控制中心
10.csrss.exe 是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。注意c:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立 SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
11.mdm.exe 是微软Windows进程除错程序。用于使用可视化脚本工具对
Internet Explorer除错。注意:该进程同时可能是Win32.Lydra.a木马,该木马允许攻击者访问你的计算机,窃取密码和个人数据,当然大家不要被木马吓到. 很多人问关于进程大小写的问题,我查了些资料,进程大小写与是否有病毒关系不大.
看是不是病毒要综合的看,cpu的占用是否合理,像svchost,xp就有4个以上,而想explorer就只能有一个,多了就有问题了.有时候病毒制造者会把英文的”o”和数字的”0”上做文章,相似的字母和数字也要注意,如果是数字和字母对换那就100%有鬼. e
12.taskmgr 这个进程来头可不小哦,只要你打开任务管理器查看进程的时候它肯定在,因为它就是任务管理器的进程。
13.rundll32.exe用于在内存中运行DLL文件,它们会在应用程序中被使用,一般有多个。下面那个长的很像,作用是一样的,请大家注r意区分。 14.rundll.exe 是Windows 95/98/Me系统的一部分。这个程序对你系统的正常运行是非常重要的。注意:rundll.exe也可能是LOXOSCAM和
Backdoor.SchoolBus.B木马的一部分。在Windows XP和2000中出现。该病毒允许攻击者访问你的计算机。该进程的安全等级是建议立即删除。 15.nvsvc32 现在很多用户使用NVIDIA显示卡,nvsvc32.exe是NVIDIA 16..smss smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要,系统弹出的对话框就是它控制的。
17..winlogon winlogon.exe 这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。当然你也可以从这个进程中获得当前用户的登入密码,比如你的父母控制你,他们帮你输密码,控制你使用电脑的自由,那你就可以……呵呵
18.msmsgs 是MSN Messenmmger网络聊天工具的主程序。QQ用户没必要启用,如果进程中有它就把它禁止了。
19.ctfmon 是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
20.wdfmgr 是微软Microsoft Windows media player 10播放器的一部分。该进程用于减少兼容性问题。
接下来冷漠给大家讲解下与诺顿有关的进程:
navapsvc navapsvc.exe是Norton AntiVirus反病毒软件的一部分。该进程会在后台保护系统安全。
ccEvtMgr ccevtmgr.exe是Norton Internet Security网络安全套装的一部分。该进程会同反病毒与防火墙程序同时安装。
11.VPTray.exe是Norton AntiVirus反病毒软件的系统托盘程序。它用于快速访问Norton Antivirus反病毒软件。
此外还有:symlcsvc,SNDSrvc,ccsetmgr,npfmntor。
22.ishare_user 这个进程是什么?用校园网的同学都有这个进程,它是Dr.COM 宽带登录客户端的进程
23.TIMPlatform 用QQ的用户一定有它,不用担心它是QQ的一个进程
TIMPlatform.exe是QQ和Tencent Messenger共同使用的外部应用开发接口管理程序.
24.Wuauclt.exe是Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使你无法得到最新更新信息。大家用的应该都是盗版的,如果不想看到没完没了的提示你更新,可以把它禁止了。 一般学生用户不需要用到的进程11月12日更新 25.faxsvc 帮助您发送和接收传真 26.spoolsv 这个是打印的进程
如果你没有安装打印机和传真,你就可以把与打印和传真有关的服务关掉,以便节省资源,让你的爱机跑的更快.
如何判断系统进程是否异常
具体怎么看系统进程,我想这里就不用我多说了。很多工具都可以查看系统进程,最常用的方法就是按键CTRL+ALT+DEL打开操作系统自带的任务管理器进行查看。 一、CSRSS进程异常
根据官方的解释,CSRSS进程是Windows图形相关控制的客户端服务自系统。正常情况下,在操作系统的任务进程中,必须有这个进程,否则系统就的图形界面就无法使用了。但是,这个进程也很有可能被病毒所利用,成为病毒的保护伞。
若CSRSS进程出现了以下的异常情况,那么说明你的电脑很可能中毒了。应该即使采取措施,否则会影响操作系统以网络的安全。
1、当任务管理器中,出现多个CSRSS进程时。一般情况下,在操作系统中,只能出现一个CSRSS进程。虽然说CSRSS进程是必须的,但是,也不是多多益善。当任务管理器中的进程显示出有多个CSRSS进程的话,那么说明你的操作系统中招了。
2、当CSRSS进程运行的用户名不是SYSTEM,及其运行的模块路径不是System32 文件夹下的话,那么你也要当心了。很可能你电脑已经成为了黑客眼中的肉鸡,成为影响企业网
络安全的一颗定时炸弹,随时都会爆炸。
解决方式:
若CSRSS是木马引起的,那么CSRSS是一个小的脚本程序。现在很多木马都会用到这个进程,如QQ木马、传奇D号木马、MSN木马、邮件帐号木马等等。中了这些木马的时候,一般操作系统本身不会有很大的反映,系统的速度也是正常的,所以比较隐蔽。但是,其危害是很大的。其会把企业的一些帐号,如VPN用户名与密码、即时通信工具与密码等等都泄露出去,给企业的网络安全带来很大的隐患。
遇到这种这种情况的话,我们应该采取如下措施:
1、通过注册表删除这个进程。因为木马把这个进程伪装成系统进程,所以,试图通过任务管理器结束这个进程的时候,系统会提示错误信息,告知这个进程为系统进程不能停止。所以,只能够通过注册表管理器,把这个进程删除。注意,不要把系统原来的那个进程给删除了。所以,还是建议在修改注册表之前,先记得备份一下。
注册表是存放Windows设置的地方,你弄错概念了。你的问题应该是问怎么屏蔽注册表中的自启动程序吧?
开始->运行->regedit,去
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run 就可以看到了当前用户的自启动程序了。
2、然后查看进程运行时的系统路径。把该进程在注册表中删除后,在任务管理器中的进程处就找不到这个进程了。此时,找到其原先运行的路径下面,我们就可以看到有一个CSRSS可执行文件。注意,只要不是SYSTEM32,其他的都可以删除。我们也可以通过系统自带的搜索功能,查询这个文件。把不是在SYSTEM32目录下的CSRSS文件都删除。
3、为了安全起见,升级我们的杀毒软件或者网上寻找专杀工具,对我们的系统进行全面的查杀。把病毒杀掉后,要及时把补丁打上,以防止下次不小心又中招了。 二、LSASS进程异常
LSASS进程也是微软操作系统的系统进程,其主要用来管理IP安全策略以及启动ISAKMP/IKE和IP安全驱动程序。这个进程会产生会话秘钥以及授予用户交互式客户/服务器验证的服务凭据。
一般情况下,若系统进程中出现了一个LSASS进程,并且其是以SYSTEM的用户运行且运行目录是在System32下面,那不用担心,是正常的。但是,有时候这个进程也会作怪,有些木马或者病毒也会假冒这个进程来欺骗用户。 当发生以下异常情况时,那我们需要注意了,可能我们的操作系统以及网络已经受到病毒或者木马的威胁。
1、在系统中出现了多个LSASS进程。一般以大写命名的LSASS进程是正常的,是系统进程;但是,若同时还存在一个小写命名的lsass进程的话,那就说明你的系统可能已经出问题了,被病毒或者木马看中了。
2、若中了ISASS病毒的话,不仅会在系统进程中产生两个LSASS进程,而且,还会产生一个EXERT进程。这两个进程分工合作,共同来管理LSASS病毒。一般来说,LSASS进程控制LSASS病毒的执行,而EXERT病毒控制LSASS病毒的退出。所以,若这两个进程成对出现的话,那你的系统百分之百的已经中了LSASS病毒。
LSASS病毒也是一个D号木马,其主要运行在微软的操作系统上。以前的版本危害比较小,主要用来**游戏密码。但是,改良后的LSASS病毒,不仅会**游戏密码,而且,还会**邮箱、QQ密码等等,对于企业网络的安全影响比较大。不法之徒可以利用这个工具,获取企业邮箱等密码,窃取企业的机密,如客户发给企业的定单等等。LSASS病毒会记录键盘信息,最后把用户名与密码信息记录下来并发送到指定的邮箱,从而窃取用户的帐号与密码等等。所以,危害级别比较大。 解决方案:
1、结束LSASS进程。因为该进程为系统进程(其实不是,只是伪装,但是操作系统本身不能识别),所以,无法在进程管理器中直接停止。我们只能够通过注册表,或者在DOS窗口中,利用NTSD命令强行停止。NTSD是从微软的2000以后的操作系统中自带的用户调试工具。被调试器附着的进程会随调试器的退出而一起退出。所以,可以同这个命令在命令行窗口下强行终止进程。但是,一般情况下,NTSD命令不能杀掉SYSTEM用户运行的进程。不过还好,LSASS病毒的LSASS进程是不是以SYSTEM用户运行的。从这里我们可以看出,在进程管理器中,其结束进程的话,有时候是按进程的名字来限制的;但是,利用NTSD命令的话,他考虑的是以什么身份进行运行的。故利用NTSD命令可以停止一些伪装系统进程运行的非法进程。利用这个命令,也可以禁止上面谈的CSRSS非法进程。当然,以SYSTEM运行的合法系统进程是结束不掉的。具体的命令为ntsd –c q –p 进程ID.通过进程管理器,可以查到非法进程的ID,就可以通过这个命令禁止掉了。
2、删除病毒文件。LSASS病毒会在其他盘下生成两个文件,分别为Autorun.inf与command.com文件。一般这两个文件的属性是隐藏的。所以,我们需要把文件的显示属性设置为“显示隐藏文件与系统文件”才会看到这个两个文件。找到他们,然后把他们删除。同时,在启动盘下,可能会有一些病毒文件,如EXERT.EXE等,我们也要把他们一一找出来,删除掉。不然的话,下次还是会中招。
3、修复注册表。这个病毒在注册表中会生成比较多的垃圾,所以,若是手工清除的话,一方面,不一定能够全部清除干净,另一方面,也可能一不小心,产生一些错误。此时,我们最好利用我们最近备份的注册表备份文件,直接进行恢复。
4、从网上下载专杀工具或者升级我们的杀毒软件,进行全面的查杀。
5、为了安全起见,需要提醒我们的员工,及时更改我们的帐户密码。因为用户 的密码很可能已经泄露出去。如果不及时把密码改过来的话,不法分子可以利用他们已经得到的用户名与密码,进行一些非法的勾当。
以上这两种进程都是D号木马的工具。对于这些D号木马进程,一般情况下,不会对系统运行造成什么影响。所以,相对来说,比较隐蔽。但是,其危害性,确实比其他病毒大的多。有些病毒只是恶作剧的性质,最多只是让操作系统崩溃或者造成网络拥塞。而企业的文件、帐户信息等不会泄露出去。所以,这些恶作剧的病毒危害性反而小一点。
所以,为了保障企业网络的安全,最好的办法还是部署企业级别的杀毒系统。如此的话,可以实现在用户不用干预的情况下,对杀毒软件进行及时的升级,防止病毒与木马入侵。 一般来说,任何的网络攻击行为,无论是病毒还是木马,其发生的时候,肯定会在系统中留下一些痕迹。我接着谈谈我们如何从系统进程中查看我们的网络及操作系统是否正在遭受病毒或者木马的侵袭,及对应的解决方法。或许能够给正在遭受网络安全困扰的用户,一些帮助。
三、SMSS进程异常
SMSS进程是会话管理子系统的进程,他主要用来初始化系统变量。正常情况下,他是以系统用户名(system)身份运行,并且运行目录是在SYSTEM32下面。这个进程是通过系统进程初始化的并且对许多活动的系统变量作出反映。其实这个进程我们平时也经常会感受
到。当某个程序发生异常时,SMSS进程就会让系统停止响应。有时候我们在网上冲浪系统突然提示网页发生错误将关闭,就跟这个进程有关系。这个进程的正常运行,对于系统稳定性来说,是非常重要的。
但是,这个系统进程也被不法之人利用了。若你在任务管理器中发现以下异常现象,那么就要恭喜你了,你中木马了。
异常现象:
1、不是以系统用户名(system)身份运行的,并且,运行目录不是SYSTEM32下面的,那么就说明这个进程有异常。我们要注意,若是系统的正常的SMSS进程,一定是以系统用户名运行的,并且,一定是在SYSTEM32目录下运行。否则的话,就不是系统本身的SMSS进程,很可能是木马伪造的进程。
2、在系统中有同时出现两个或者两个以上SMSS进程,那么你就要注意了,你电脑很可能中了木马。
现在最常见的SMSS进程异常是由WIN32.LADEX.A木马所造成的。这个木马病毒危害很大,他不仅允许攻击者访问你的电脑,而且,还会窃取你的机密文件与个人密码。这个危害性是很大的。根据官方的建议,若发现这个进程异常的话,要马上删除这个进程,并进行杀毒工作。
这个木马若手工删除的话,非常的麻烦。以前有一电脑中了这个木马,整整花了一天的时间,删除关联文件,修改注册表,才清除干净。一般不建议手工删除这个木马,太麻烦,而且比较专业,要求对这个病毒有比较彻底的认识与了解。若发现这个进程异常时,建议采取如下操作:
1)、在任务管理器下,马上关闭这个进程。有时候,可能利用系统的进程管理器还不能关闭这个进程,需要在安全模式下,才能关闭。所以,我们的第一要务,就是想尽一切可以想的办法,把这个进程先结束掉,如此,我们才可以做其他的工作。
2)、在杀毒软件网站上,找这个木马的专杀工具。这个病毒其关联的范围太广,若手工删除的话,太浪费时间,一不小心的话,那边还会剩下漏网之雨。即使熟悉这个木马的人,要把木马清除干净的话,若没有半天的时间估计也搞不定。而且,因为要修改注册表等信息,所以手工修改也会发生错误。我的建议是,从网上寻找一个转杀工具,用来查杀一下就可以了。 3)、利用专杀工具杀掉病毒后,要提醒中木马电脑的用户,要及时修改密码。如用户邮箱、QQ等即时通信工具的密码;若在这台电脑上使用过网上银行的话,还要修改这个网上银行的密码。因为这些信息很可能在用户不知情的情况下,就已经被攻击者所获取。所以,不怕一万,就怕万一,要即使修改这些信息,防止被攻击者非法利用。
四、Winlogon进程异常
这个进程是微软操作系统的用户登陆程序,管理用户的登陆与退出。该进程正常运行路径已经为SYSTEM32路径下并且是以SYSTEM系统身份用户运行。 但是,不幸的是,这个进程已经被落雪木马看中。 进程异常现象:
当你打开系统进程查看器查看你的系统进程时,若你发现你的系统中有个大写的WINLOGON进程并且该进程不是以SYSTEM系统用户名身份运行,而是当前帐户身份运行的话,那你就中了这个所谓的落雪病毒。 这个病毒很顽固,而且,也很狡猾,这个木马是由VB程序语言编写,通过北斗壳技术进行加壳处理。病毒文件名被模拟成正常的系统工具名称,但是,文件扩展名变成了COM,而正常的系统进程是以EXE结尾的。这是落雪木马利用了微软操作系统的一个特性。当有两个文件,如A.EXE与A.COM两个文件。这个两个文件都是可执行文件,而且,文件名相同,只是扩展名不同。此时,我们若在命令行中,输入A运行A程序时,
系统会优先执行A.COM程序。这是为什么呢?原来微软操作系统执行COM文件的优先级别要比执行EXE的文件级别高。如此,当用户在命令行中输入A,此时,系统运行的不是系统征程的进程或者程序,而是木马病毒。该病毒在运行时,还会创建一个WINLOGON.EXE进程,所以,我们查看进程管理器的时候,会发现有两个WINLOGON进程。只是一个是大写名字,一个是小写名字。另外运行的用户与路径也有差异。
另外该病毒还会修改注册表文件关联,每次当用户打开HTML的文件时,都会触发这个病毒。并且,该病毒还会在我们系统的其他盘下面,生成两个隐藏文件,autorun.inf与pagefile.com文件。这两个文件,一看扩展名,就知道不是善类。这两个文件是自动运行批处理文件,这样即使系统盘下面的病毒文件被删除了,但是,当用户打开其他盘,如D盘时,这个病毒仍然会运行。所以,这个病毒在“杀不死的病毒”排行榜上,是名列前茅的。 遇到这个病毒时,我们该怎么办呢?
这个病毒牵涉的范围跟上面这个病毒一样,是非常的广。在系统盘中、注册表中及其他盘上都有涉及到,所以,若靠手工删除病毒的话,很难清除干净。我的建议还是依靠采用专门的杀毒软件或者专杀工具来对付他。所以当我们发现这个病毒时,为了安全起见,最好把这中木马的主机从局域网上断掉,然后在其他正常的主机上,从网上找到病毒的专杀工具,然后通过U盘等工具,拷过来,把病毒杀掉。不过,若用U盘等工具拷贝的话,要注意,最好把U盘设置为只读,也就是打开写保护,如此的话,U盘就不会被感染病毒。 五、svohost进程
你能够一眼看出 svohost与svchost这两个单词的区别吗?要是不特别提醒,你不会知道这里还隐藏着什么密码。
一次我有一个同事电脑出现了问题,我过去一看,运行速度很慢,估计是中了病毒。我想看看系统中是否多了很多隐藏的文件,如在其他盘根目录下是否多了隐藏的批处理文件。可是当我通过工具栏那边想把隐藏文件显示出来的时候,才发现居然没有这个选项,我现在所有的隐藏文件都看不到了。这是怎么回事情呢?其实,这就是这个svohost(注意不是svchost进程)进程在作怪。
Svchost是一个标准的动态连接库主机处理服务,它包含很多系统服务。有些病毒就利用用户粗心大意的态度,通过伪装,另外开了一个新的进程SCOHOST。两个进程只有一字只差,而且,这个两个字符C与O又非常相似,不仔细看,还真看不出来。 一般中这个病毒的症状是盘打不开,而且不能查看隐藏文件。若你不幸有这两种症状,并且,在进程管理器中,有SVOHOST进程的话,那就说明你中招了。要赶紧想办法处理了。
因为有时候在你没装杀毒软件之前,中了这个病毒的话,他就会影响你杀毒软件的安装过程。也就是说,你中了这个病毒之后,再装杀毒软件的话,那么你可能就装不上。此时,除了重新安装系统之外,还有其他的解决方法吗? 我们的思路是先手工的把病毒删除,然后再按照杀毒软件进行病毒查杀。所以现在首要的问题就是如何手工的杀除这个病毒。
1、关闭病毒进程。由于SVOHOST进程虽然跟系统进程比较像,但是毕竟只是像而已,而不是系统进程。所以,可以通过系统的进程管理器把这个病毒直接关闭掉。只是在关的时候,我们不要看花了眼,要选择真正的我们需要关闭的进程SVOHOST,而不是svchost。
2、修改注册表,把隐藏文件显示出来。我们可以在注册表中进行修改,让其显示文件性质为隐藏的文件。这里我们要注意,病毒会把注册表中本来有效的值删除掉,新建了一个无效的字符串。所以,在修改注册表显示隐藏文件的时候,要先把病毒新建的无效字符串去掉,然后把其原来的字段加进去。这可见这个病毒是花了很大心思的。
3、手工删除病毒。把隐藏文件显示出来后,我们就要手工的删除病毒文件。用鼠标又键电脑中年的盘符,选择打开。注意,这里不要直接双击打开电脑,否则的话,又会激活这个
病毒。打开盘后,我们看到在盘符下面,有几个隐藏文件,把他们删除掉。
然后我们就可以正常安装杀毒软件进行杀毒了。这里要注意,我们经过了第三步后,并没有把病毒全部删除干净。最后仍然要依靠杀毒软件来对病毒进行全面的查杀
.taskmgr.exe:taskmgr.exe用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开,这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
2.VM303_STI.EXE:VM303_STI.exe是摄像头驱动相关程序。 3.spoolsv.exe:spoolsv.exe 是Print Spooler的进程,管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。该进程属 Windows 系统服务。
正常spoolsv进程信息
进程文件: spoolsv or spoolsv.exe
进程名称: Microsoft Printer Spooler Service 4.explorer.exe:explorer 或者 explorer.exe
所在路径: (系统安装目录盘)C:\\windows\\explorer.exe 进程全称: Microsoft Windows Explorer 中文名称: 微软windows资源管理器
5.svchost.exe:svchost.exe是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。这个程序对你系统的正常运行是非常
重要的。注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。 6.svchost.exe
7.ProcessSafe.exe:可能是与网维有关的内容,网吧里的计算机都有这个进程 8.svchost.exe
9.wxsyncli.exe:进程分析:万象网管同步服务程序。万象网管是集“万象计费系统”、“万象VOD系统”、“万象同步工具”、“万象游戏同步更新”四大功能为一体的强大网管系统。它安全稳定的计费系统,免维护的游戏自动更新,傻瓜式的文件同步,简单易用功能强大的万象VOD,全方位满足您管理网吧的各种需求。
10.svchost.exe
11.wmiprvse.exe:wmiprvse.exe是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。这个程序对你系统的正常运行是非常重要的。
12.svchost.exe 13.wdfmgr.exe
:
wdfmgr.exe
是
微
软
microsoftwindowsmediaplayer10播放器的相关程序。该进程用于减少兼容性问题。这不是纯粹的系统程序,但是如果终止它,可能会导
致不可知的问题。
14.lsass.exe:lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
如果你的启动菜单(开始-运行-输入“msconfig”)里有个lsass.exe启动项,那就证明你的lsass.exe是木马病毒,中毒后,在进程里可以见到有两个相同的进程,分别是lsass.exe和LSASS.EXE,同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行,LSASS.EXE管理exe类执行文件,exert.exe管理程序退出,还会在D盘根目录下产生command.com和 autorun.inf两个文件,同时侵入注册表破坏系统文件关联。以下说一下本人对该病毒的杀法,以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程,然后到windows目录下删除这两个文件,这两个文件是隐藏的,再到 D:删除command.com和autorun.inf两个文件,最后重启电脑到DOS 运行,用scanreg/restore 命令来恢复注册表,(如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册
表),重启后进到WINDOWS桌面用杀毒软件,全面杀毒,清除余下的病毒!
15.services.exe:services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的,正常的services.exe应位于%System%文件夹中,也就是在进程里用户名显示为“system”,不过services也可能是W32.Randex.R(储存在%systemroot%\\system32\\目录)和
Sober.P (储存
在%systemroot%\\Connection Wizard\\Status\\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
16.winlogon.exe:Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。该进程的正常路径应是 C:\\Windows\\System32 且是以 SYSTEM 用户运行,若不是以上路径且不以 SYSTEM 用户运行,则可能是 W32.Netsky.D@mm 蠕虫病毒,该病毒通过 EMail 邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建 SMTP 引擎在受害者的计算机上,群发邮件进行传播。手工清除该病毒时先结束病毒进程 winlogon.exe,然后删除 C:\\Windows 目录下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件,再清除 AOL
instant messenger 7.0 服务,位于注册表
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services] 下的 aol7.0 键。
17.csrss.exe:介 绍:Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制 Windows 图形相关子系统。正常情况下在 Windows NT/2000/XP/2003 系统中只有一个 csrss.exe 进程,正常位于 System32 文件夹中,若以上系统中出现两个 csrss.exe 进程(其中一个位于 Windows 文件夹中),或在 Windows 9X/Me 系统中出现该进程,则是感染了病毒。
纯手工查杀木马csrss.exe
注意:csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程
18.svchost.exe:
19.smss.exe: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
简 介:这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程是正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂机)。
20.conime.exe:conime.exe是输入法编辑器相关程序。注意:conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除此进程。
21.BarClientView...:通过观察发现网维大师的桌面快捷方式也是通过批处理生成的,那么我们也可以自己随心所欲的自己增加,以下方法可以满足我们的需求。
现在已有多个非VIP网吧在使用中哈! 游戏桌面快捷方式参数
E:\\NBMSClient\\BarClientView.exe -Package 10130 (游戏编号) 22.nvsvc32.exe:nvsvc32.exe是NVIDIA显示卡相关程序。 出品者: NVIDIA Corporation 属于: NVIDIA Driver
23.NCClt.dll:NCClt.dll [凌波多媒体教学网(客户端)]
它存在C:\\Program Files\\lingbo\\NetClass\\NCClt.dll NCStu.exe [多媒体网络教室(学生端)]
它存在C:\\Program Files\\lingbo\\NetClass\\NCStu.exe
你找到了他们的位置用shift+delete删掉就 OK 了 但还是建议你用:
360安全卫士,彻底查杀各种流氓软件,全面保护系统安全,并赠送正版卡巴斯基V6.0
最新免费下载:http://www.360safe.com
24.ctfmon.exe:ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
程序ctfmon.exe是有关输入法的一个可执行程序,系统默认情况下是随电脑开机而自动启动的。如果你设置了ctfmon.exe不随机自动启动,进入系统后你的电脑任务栏中的输入法图标(即语言栏)就不见了。
要设置ctfmon.exe随机自动启动,可以单击“开始”——>“运行”——>输入“msconfig”(引号不要输入),回车——>打开“系统配置使用程序”窗口——>选择“启动”页,找到ctfmon项并在其前面打上钩,按“应用”、“确定”,重启机器即可生效。
如果在“启动”页,找不到ctfmon项,说明注册表中已将该项删除,
可以单击“开始”——>“运行”——>输入“regedit”(引号不要输入),回车——>打开“注册表编辑器”,定位到HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run,在窗口的右侧新建名字为ctfmon.exe的字符串值(REG_SZ),并将其值设置为“C:\\WINDOWS\\system32\\ctfmon.exe”,然后关闭注册表编辑器,再执行前一步的操作即可.
25.Clsmn.exe:Clsmn.exe自动运行项(Run) - 一款网吧管理软件相关程序。
相关文件:C:\\WINDOWS\\system32\\Clsmn.exe 内容:C:\\WINDOWS\\system32\\Clsmn.exe 安全等级:未知 其他我就不知道了
26.system:描述:System - 系统 体制 计划
系统里确实有system这个进程,但注意,它并不是system.exe,可能是木马伪装而成的,还是先查查木马吧 进程文件:system.exe 进程名称:system.exe 描述:
system.exe是netcontroller木马病毒生成的文件,出现在c:\\windows目录下,建议将其删除。但要系统的system进程区分开来。system进程是没有.exe的,其信息可见:
http://www.pctutu.com/tasklist/system.html
27.system Idle P...SYSTEM:System Idle Process系统进程介绍
[system Idle Process]
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描 述: Windows页面内存管理进程,拥有0级优先。
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
System Idle Process为何物
问:在使用Windows XP的过程中,按“Ctrl Alt Del”键调出任务管理器,在进程中我发现一个名为“System Idle Process”的进程,它往往占用了大部分CPU资源,经常是80%以上,请问为什么它占用
了那么多资源?
答:你误解了“System Idle Process”进程的意思了,这里的80%并不是你所想的占用CPU的资源,恰恰相反的是这里的80%以上是CPU资源空闲了出来的。这里的数字越大表示CPU可用资源越多,数字越小则表示CPU资源越紧张。该进程是系统必须的
因篇幅问题不能全部显示,请点此查看更多更全内容