EMU618社区

 找回密码
 立即注册
搜索
查看: 1528|回复: 5

[转贴]windows进程全分享

[复制链接]

该用户从未签到

发表于 2007-7-2 09:47:24 | 显示全部楼层 |阅读模式
搜集了很久,这个比较齐全,分享一下:loveliness:


内容包含:alg,conime,csrss,ctfmon,explorer,IEXPLORE,lsass,nvsvc32,rundll32,services,smss,spoolsv,svchost,winlogon

alg.exe

alg.exe - alg - 进程管理信息
进程文件: alg or alg.exe
进程名称: Application Layer Gateway Service
进程类别:其他进程
英文描述:
alg.exe is a part of the Microsoft Windows operating system. It is a core process for Microsoft Windows Internet Connection sharing and Internet connection firewall. This program is important for the stable and secure running of your computer and should
中文参考:
alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:Yes
网络相关:Yes
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No


conime.exe

conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号,但是很多木马病毒之类的为了伪装自己,把自己名字也改为conime.exe

csrss.exe

csrss - csrss.exe - 进程信息
进程文件: csrss 或者 csrss.exe

进程名称: Microsoft Client/Server Runtime Server Subsystem

描述:
csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。
这个时系统必须的进程,但是由于它属于系统浏览器进程里面的,所以不受任何防火墙限制,因此也就被很多病毒或者木马利用。它们通过劫持这个进程来毒害你的电脑,具体判断是不是病毒还是要通过杀毒软件。


ctfmon.exe

进程文件: ctfmon or ctfmon.exe
进程名称: Alternative User Input Services
进程类别:其他进程
英文描述:

ctfmon.exe is a part of the Microsoft Office suite. It activates the Alternative User Input Text Input Processor (TIP) and the Microsoft Office XP Language Bar. This program is a non-essential system process, but should not be terminated unless suspec
中文参考:
ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
出品者:Microsoft Corp.
属于:Microsoft Office Suite
系统进程:Yes
后台程序:Yes
网络相关:No
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No


explorer.exe

进程文件: explorer or explorer.exe
进程名称: Microsoft Windows Explorer
进程类别:其他进程
explorer.exe是Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致Windows图形界面无法适用。注意:explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。该进程的安全等级是建议删除。<
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:No
网络相关:Yes
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No控制面板——管理——本地安全策略——故障恢复控制台:允许自动系统管理级登陆(建议)已禁用。
这样,没有病毒的话,会没有explorer.exe出错信息或提示!IEXPLORE.EXEIEXPLORE.EXE是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒,该病毒会终止你的反病毒软件,和一些Windows系统工具,该进程的安全等级是建议删除。

这个东西可以说是病毒,也可以说不是病毒。

因为微软的浏览器就是IEXPLORE.EXE,但是它一般情况随系统被安装在C:\Program Files\Internet Explorer下面。那么,如果发现这个文件是在这个目录下面的,一般情况不是病毒,当然,不包括已经被感染了的情况;还有一种情况,就是IEXPLORE.EXE在C:\WINDOWS\system32\下面,那么这个十有八九都是病毒。

系统进程--伪装的病毒 iexplore.exe

Trojan.PowerSpider.ac 破坏方法:密码解霸V8.10。又称“密码结巴”。偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。

现象:

1、系统进程中有iexplore.exe运行,注意,是小写字母;

2、搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。

解决办法:

1、到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。

2、到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion \\Run “mssysint”= iexplore.exe,删除其键值。lsass.exe 进程文件: lsass 或者 lsass.exe
进程名称: Local Security Authority Service
进程名称: lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。

注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
出品者: Microsoft Corp.
属于: Microsoft Windows Operating System

如果是木马的手动解决办法

如果你的启动菜单里有个lsass.exe启动项,那就证明你得lsass.exe木马病毒,中毒后,会在windows里产生lsass.exe和exert.exe两个病毒文件,还会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联,以下说一下本人对该病毒的杀法,以WIN98为例打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程,然后到windows目录下删除这两个文件,这两个文件是隐藏的,再到D:删除command.com和autorun.inf两个文件,最后重启电脑到DOS 运行,用scanregrestore 命令来恢复注册表,(如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表),重启后进到WINDOWS桌面用杀毒软件(本人用金山毒霸2006)全面杀毒,清除余下的病毒!
在进程里可以见到有两个相同的进程,分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行。LSASS.EXE管理exe类执行文件,exert.exe管理程序退出。下载个进程管理器,找出问题进程的路径,手动终止LSASS.EXE和exert.exe两个进程(管理器不能终止LSASS.EXE,提示系统进程不能终止),打开msconfig.exe取消LSASS.EXE启动项。删除CDocuments and SettingsAdministratorLocal Settingstempt和Temporary Internet Files下的文件,断开网络后再删除CProgram FilesCommon Filesupdate文件夹,这里exe类文件已不能运行,新建一个reg文件,输入如下内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREClasses.exe]
@=exefile
Content Type=%1,%
[HKEY_LOCAL_MACHINESOFTWAREClasses.exePersistentHandler]
@={098f2470-bae0-11cd-b579-08002b30bfeb}
或用工具恢复注册表。

nvsvc32.exe


     为 nVIDIA显卡驱动
nvsvc32 - nvsvc32.exe - 进程信息  

进程文件: nvsvc32 或者 nvsvc32.exe
进程名称: NVIDIA Driver Helper Service
  
描述:
nvsvc32.exe是NVIDIA显示卡相关程序。
出品者: NVIDIA Corporation
属于: NVIDIA Driver

系统进程: 否
后台程序: 是
使用网络: 否
硬件相关: 是
常见错误: 未知N/A
内存使用: 未知N/A   
安全等级 (0-5): 0
间谍软件: 否
广告软件: 否
广告软件: 否
木马: 否


rundll32.exe

顾名思意,“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe,不必惊慌,这证明用Rundll32.exe启动了多少个的DLL文件。当然,这些Rundll32.exe执行的DLL文件是什么,我们都可以从系统自动加载的地方找到。

现在,我来介绍一下Rundll32.exe这个文件,意思上边已经说过,功能就是以命令行的方式调用动态链接程序库。系统中还有一个Rundll.exe文件,他的意思是“执行16位的DLL文件”,这里要注意一下。在来看看Rundll32.exe使用的函数原型:
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
);

其命令行下的使用方法为:Rundll32.exe DLLname,Functionname [Arguments]
DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;[Arguments]为引出函数的具体参数。


解决方案:
卡巴斯基是不能查到该病毒,所谓术业有专攻,如是而已,这是一个木马病毒,当然要用木马杀毒软件了,下面推荐一款木马软件

木马杀客(测试过,可以查杀该木马病毒,并修复rundll32.exe文件)


services.exe

services.exe - services - 进程介绍
进程文件: services or services.exe
进程名称: Windows Service Controller
进程类别:其他进程

          services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。

出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:Yes
网络相关:No
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No

  这个后门还不错,也有点BT吧,共产生14个文件+3个快捷图标+2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。即为中毒后,任意一个EXE文件的属性,“应用程序”变成“EXE文件”

  当然,清除的方法也很简单,不过需要注意步骤:

  一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分

  1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
shell = Explorer.exe 1 修改为shell = Explorer.exe

         2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
Torjan Program----------C:\WINNT\services.exe删除

  3. HKEY_Classes_root\.exe

默认值 winfiles 改为exefile

  4.删除以下两个键值:

HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles

  5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”

  6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”

  7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”

  8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”

  9. 删除病毒添加的文件关联信息和启动项:[HKEY_CLASSES_ROOT\winfiles]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\services.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"

  10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:

HKEY_CLASSES_ROOT\MSWinsock.Winsock
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}

  注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒

  二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件

c:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)

%programfiles%\common files\iexplore.pif
%programfiles%\Internat explorer\iexplore.com
%windir%\1.com
%windir%\exeroute.exe
%windir%\explorer.com
%windir%\finder.com
%windir%\mswinsck.ocx
%windir%\services.exe
%windir%\system32\command.pif
%windir%\system32\dxdiag.com
%windir%\system32\finder.com
%windir%\system32\msconfig.com
%windir%\system32\regedit.com
%windir%\system32\rundll32.com
删除以下文件夹:
%windir%\debug
%windir%\system32\NtmsData


smss.exe

进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
进程类别:其他进程
          smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:Yes
网络相关:No
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No

spoolsv.exe

spoolsv.exe是系统进程,用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。

两者的区别在于,前者是在SYSTEM32目录下,而木马程序不在SYSTEM32目录下,而是在其子目录或其他目录下。

手工清除方法,进入安全模式,工具---文件夹选项---查看,将“显示文件夹内容”、“显示所有文件及文件夹”前的勾打上,去掉“隐藏受保护的操作系统文件”前的勾,然后全盘查找tqppmtw.fyf这个文件,找到后删除,另外继续查找spoolsv.exe文件,注意,SYSTEM32目录下的不删,其他的全删。最后清空IE临时缓存,TEMP临时目录和回收站就OK了。

Spoolsv.exe是一种延缓打印木马程序,它使计算机CPU使用率达到100%,从而使风扇保持高速嘈杂运转;该木马允许攻击者访问你的计算机,窃取密码和个人数据。

一、判别自己是否中毒

1、点开始-运行,输入msconfig,回车,打开实用配置程序,选择“启动”, 感染以后会在启动项里面发现运行Spoolsv.exe的启动项, 每次进入windows会有NTservice的对话框。

2、打开系统盘,假设C盘,看是否存在C:\WINDOWS\system32\spoolsv文件夹,里面有个spoolsv.exe文件,有“傲讯浏览器辅助工具”的字样说明,正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录下。

3,打开任务管理器,会发现spoolsv.exe进程,而且CPU占用率很高


svchost.exe

Windows 2000至少有2个svchost进程,Windows XP中有4个以上,Windows 2003中则有更多。

svchost.exe进程是干什么的?
svchost.exe文件存在于“%system root%system32”(例如C:Windowssystem32)目录下,它是Windows NT核心的重要进程(Windows 9X没有该进程),专门为系统启动各种服务的。例如svchost.exe调用rpcss.dll文件,就会启动rpcss服务(remote procedure call)。
svchost.exe实际上是一个服务宿主,它本身并不能给用户提供任何服务,但是可以用来运行动态链接库DLL文件,从而启动对应的服务。svchost.exe进程可以同时启动多个服务。

如何发现svchost进程有问题?
由于svchost进程可以启动各种服务,因此病毒、木马也经常伪装成系统的DLL文件,使svchost调用它,从而进入内存中运行、感染和控制电脑。
建议你使用“Windows优化大师”进程管理器查看所有svchost进程的执行文件路径(如图3),正常的svchost文件应该存在于“c:Windowssystem32”目录下,如果你发现其执行路径在其他目录下,就有可能染上了病毒或木马了,应该马上进行检测和处理。


svchost进程杀不掉怎么办?

如果有些svchost进程,你在任务管理器中无法关闭之,可以使用ntsd命令来杀掉它,方法如下:
首先需要了解欲杀的svchost进程,其PID是多少?在Windows XP下,按Ctrl+Alt+Del打开任务管理器,点击“进程选项卡” “查看” “选择列”,在弹出的窗口中(图4),勾选“PID(进程标识符)”,然后回到任务管理器中,即可看见PID了(例如要杀的svchost进程,其PID是844)。
接下来关闭该进程。点击“开始” “程序” “附件” “命令提示符”,在命令提示符下,输入命令ntsd -c q -p 844即可杀掉svchost进程(PID是844)。
小提示:除了System、SMSS.EXE和CSRSS.EXE这三个进程,ntsd命令可以杀掉任何一个系统进程。从Windows 2000开始,微软就提供了ntsd工具,该命令执行后,可让你获得系统的debug权,因此能够用来关闭大部分的系统进程,如果你遇到无法关闭的进程,就可以使用该命令,其杀进程的命令格式为:ntsd -c q p XXX
以上XXX为欲杀进程的PID;
ntsd p XXX 表示在调试器中打开某进程(PID为XXX);
而-c q参数则表示退出调试器。由于调试器关闭之后,它打开的进程会随调试器一起退出,因此ntsd命令能够关闭进程

System

进程文件: system
  
进程名称: Windows System Process
  
描  述: Microsoft Windows系统进程。
  
介  绍:在任务管理器中会看到这项进程,属于正常系统进程。


System Idle Process


System Idle Process SYSTEM不是一个真正的进程,是核心虚拟出来的,多任务操作系统都有的!在没有可用的进程时,系统处于空运行状态,此时就是System Idle Process SYSTEM在运行!故它占用97%CPU时间,说明你的机器负荷很轻!你用WINZIP解压一个大的文件时,就可看到,System Idle Process SYSTEM占用CPU时间变化。
System Idle Process SYSTEM是表示你系统剩余的CPU资源! 不要想去结束它!


System Idle Process中的 idle 是“空闲”的意思
System Idle Process即“系统空闲进程”
System Idle Process占用越多CUP时间,说明你的电脑越空闲taskmgr.exe System Idle Process

进程文件: taskmgr or taskmgr.exe
进程名称: Windows Task Manager
进程类别:其他进程
英文描述:
taskmgr.exe is the executable for the Windows Task Manager. It shows you the processes that are currently running on the system. This application is opened by pressing CTRL+ALT+DEL. This program is a non-essential system process, but should not be termi
中文参考:
taskmgr.exe用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开,这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:Yes
网络相关:No
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No


winlogon.exe

进程文件: winlogon or winlogon.exe
进程名称: Microsoft Windows Logon Process
  
描述:
WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意:winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建SMTP引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。

出品者: Microsoft Corp.
属于: Microsoft Windows Operating System

系统进程: 是
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A   
安全等级 (0-5): 0
间谍软件: 否
Adware: 否
病毒: 否
木马: 否

该用户从未签到

发表于 2007-7-2 09:53:38 | 显示全部楼层
支持一下,很多木马都伪装成系统进程呢

该用户从未签到

 楼主| 发表于 2007-7-2 15:53:24 | 显示全部楼层
对!!对付它们就多学习一下吧。

签到天数: 1 天

[LV.1]初来乍到

发表于 2007-7-2 17:36:11 | 显示全部楼层
其实这个知道基本的系统进程就可以了,现在用的进程管理软件都有详细说明.

该用户从未签到

发表于 2007-7-2 20:04:05 | 显示全部楼层
我都是用360查看进程的:loveliness:

该用户从未签到

 楼主| 发表于 2007-7-3 11:30:49 | 显示全部楼层
原来我火星了,感谢以上。:)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|国治模拟精品屋 ( 沪ICP备15012945号-1 )

GMT+8, 2024-12-27 03:40 , Processed in 1.062500 second(s), 18 queries , Gzip On.

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表