win7 中开机进程有那些。分别代表什么意思。 win7启动时,有28525活动,请问是什么进程?
作者&投稿:车睿 (若有异议请与网页底部的电邮联系)
.svchost.exe
svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。
进程属性
进程文件: svchost or svchost.exe
进程名称: Generic Service Host Process for Win32 Services
进程类别:系统进程
位置:C:\windows\system32\svchost.exe (如果你的svchost.exe进程不是在这个目录下的话,那么就要当心了)
(注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。更多详细信息参考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx,该进程的安全等级是建议立即删除。)
2.audiodg.exe
进程文件:audiodg.exe
所在路径: (系统安装目录盘)C:\Windows\System32\audiodg.exe
中文名称: Windows音频设备管理程序
出品者:Microsoft Corp.
属于:Windows音频设备图形隔离程序
现阶段有关问题参考:一名安全研究人员近日表示,微软新一代操作系统的Windows Vista进程保护功能存在严重安全隐患,而且已经有方式被恶意利用。 Vista进程保护(Protected Process)原本为媒体路径、DRM文件设计,旨在防止未授权软件或硬件捕获高清晰度格式的内容,而用于进程保护的数字签名仅有微软以及合作媒体伙伴拥有。
不过,从这名安全人员发布的概念性小程序来看,audiodg.exe以及mfpmp.exe两个Vista保护进程内信息已经能够被显示和调用,也就是说,只要恶意软件制造者获得相关数字签名,也可以编写出拥有进程保护能力的恶意代码。
一旦这种进程保护机制被恶意软件作者所利用,普通杀毒软件将束手无策。
补充说明:这个进程在WIN7下可以对耳机音质进行大幅度的提升,具体设置如下:将耳机插上,点击音量图标,打开后点击上面的耳机图标,选择增强功能,内有三项设置:低音增强、耳机虚拟化、响度均衡,笔者建议大家把这三项全选,点击确定,重新启动音乐播放器,播放一首歌曲,你会发现一首原本普通的音质的歌曲现在几乎拥有了家庭影院级的音质!建议大家前后对比,笔者对比后音质增强效果非常明显!但是使用此项后,这个进程占用CPU会比平时稍高,请注意。
3.csrss.exe
csrss.exe,系统进程,是微软客户端、服务端运行时子系统,管理Windows图形相关任务,对系统的正常运行非常重要,但也有可能是W32.Netsky.AB@mm等病毒创建的。
注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
介绍:Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制 Windows 图形相关子系统。正常情况下在Windows NT/2000/XP/2003系统中只有一个csrss.exe进程,位于System32文件夹中,若以上系统中出现两个csrss.exe 进程(其中一个位于 Windows 文件夹中),或在Windows 9X/Me系统中出现该进程,则是感染了病毒。Windows Vista有两个csrss.exe进程。
注意,正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示,终止进程后会蓝屏。
根据csrss.exe的位置判断csrss.exe的危险度
如果 csrss.exe 位于在 “C:\Program Files” 下的子目录下,那么威胁危险度是 70% 。文件大小是 1,111,688 字节 (占总出现比率 11% ),49,152 字节,311,808 字节,1,189,549 字节,141,606 字节,769,536 字节,1,201,827 字节,1,056,768 字节,1,175,073 字节。
如果 csrss.exe 位于在 C:\Windows\System32 下的子目录下,那么威胁危险度是 77% 。文件大小是 2,121,216 字节 (占总出现比率 22% ),28,160 字节,29,696 字节,20,480 字节,2,932,736 字节,470,528 字节,76,800 字节,43,072 字节。
如果 csrss.exe 位于在目录 C:\Windows\System32\drivers下,那么威胁危险度是 64% 。文件大小是 81,920 字节 (占总出现比率 40% ),335,872 字节,542,720 字节,6,144 字节。 如果 csrss.exe 位于在 “C:\Documents and Settings” 下的子目录下,那么威胁危险度是 57% 。文件大小是 58,033 字节 (占总出现比率 50% ),385,536 字节,24,576 字节。
纯手工查杀木马csrss.exe
注意:csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程
前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。
然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字节,生成时间为12月9日12:37。而真正的csrss.exe只有6k,生成时间是2003年3月27日12:00,位于C:\Windows\Syetem32下。
于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。
试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。
然后要查找和它有关的文件。仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。
此后在12:38分生成了一个tmp.dat文件,内容是 @echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:\WINDOWS\system32\netstart.exe
好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。
汇编大约进行了1分钟,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节,另两个大小也是52736字节。前两个位于C:\Windows\System32下,后两个在当前用户的Temp文件夹里。
这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。
现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果,也是一个木马。
这个病毒是怎么进入我的电脑的呢?搜索时发现在12月9日12:36分生成了一个快捷方式,名为dos71cd.zip,它是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
4.explorer.exe
explorer.exe是Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理,删除该程序会导致Windows图形界面无法适用。explorer.exe也有可能是w32.Codered等病毒。该病毒通过email邮件传播,当打开病毒发送的附件时,即被感染,会在受害者机器上建立SMTP服务,允许攻击者访问你的计算机、窃取密码和个人数据。
所在路径: (系统安装目录盘)C:\windows\explorer.exe C:\windows\system32\dllcache (windows的文件保护机制备份) 部分电脑的:(系统安装目录盘)C:\windows\ServicePackFiles\i386 路径下,也存在这一文件.(所以,当你的桌面没有启动时,可以用这里的explorer.exe启动,最好备份一份去C:\windows\ 下,因为系统默认是启动这里的explorer.exe.)
命令及应用
explorer.exe的命令参数及其应用我们常需要在CMD命令行下打开文件夹,除了start命令外,还可以使用explorer.exe来打开文件夹,而且有不少参数可以方便我们的操作,下面是我在微软官方网站上面找到的关于EXPLORER的使用。
5.lsass.exe
lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
进程描述
本地安全权限服务控制Windows安全机制。管理IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等,是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。
病毒
简介及发作
该(这些)病毒是一个可以在WIN9X/NT/2000/XP等操作系统上运行的盗号木马。病毒会强行终止多种杀毒软件的进程,使其不能正常运行。它会频繁检查“传奇”客户端的窗口,如果窗口存在,就会取得当前鼠标的位置,并记录键盘信息,最后把记录下来的信息发送到指定邮箱,从而窃取用户的游戏账号和密码等。
诊断
如果你的启动菜单(开始-运行-输入“msconfig”)里有个lsass.exe启动项,那就证明你的lsass.exe是木马病毒,中毒后,在进程里可以见到有两个相同的进程,分别是lsass.exe和LSASS.EXE,同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行,LSASS.EXE管理exe类执行文件,exert.exe管理程序退出,还会在D盘根目录下产生command.com和 autorun.inf两个文件,同时侵入注册表破坏系统文件关联。
编辑本段病毒的清除
这个病毒比较狠毒,手工清除较为复杂。请用户务必按照步骤严格操作,否则很可能出现无法清除干净的情况。建议一般用户最好使用杀毒软件来清除这个病毒。
WIN98
打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程,然后到windows目录下删除这两个文件,这两个文件是隐藏的,再到 D:删除command.com和autorun.inf两个文件,最后重启电脑到DOS 运行,用scanreg/restore 命令来恢复注册表,(如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表),重启后进到WINDOWS桌面用杀毒软件,全面杀毒,清除余下的病毒。
Windows XP
一、准备工作
打开“我的电脑”——工具——文件夹选项——查看 a、把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉; b、勾中“显示所有文件和文件夹” 二、结束进程 用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框; 点到任务管理器进程面版,点击菜单,“查看”-“选择列”,在弹出的对话框中选择“PID(进程标识符)”,并点击“确定”。找到映象名称为“LSASS.exe”,并且用户名不是“SYSTEM”的一项,记住其PID号.点击“开始”——运行,输入“CMD”,点击“确定”打开命令行控制台。 输入“ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字,是当前用户名进程的PID,别看错了)”,比如我的计算机上就输入“ntsd –c q -p 1064”.这样进程就结束了。(如果结束了又会出现,那么你还是用下面的方法吧)
三、删除病毒文件
删除如下几个文件: (与WIN2000的目录有所不同)
C:\Program Files\Common Files\INTEXPLORE.pif (有的没有.pif)
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe (或者exeroute.exe)
C:\WINDOWS\IO.SYS.BAK C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件.
四、删除注册表中的其他垃圾信息
将C:\WINDOWS目录下的“regedit.exe”改名为“regedit.com”并运行,删除以下项目:
1、HKEY_CLASSES_ROOT\WindowFiles
2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations项
4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP项
五、修复注册表中被篡改的键值
1、将HKEY_CLASSES_ROOT\.exe的默认值修改为 “exefile”(原来是windowsfile)
2、将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默认值修改为 “C:\Program Files\Internet Explorer\iexplore.exe” %1 (原来是intexplore.com)
3、将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默认值修改为 “C:\Program Files\Internet Explorer\IEXPLORE.EXE”(原来是INTEXPLORE.com)
4、将HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 的默认值修改为“C:\Program Files\Internet Explorer\iexplore.exe” %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
5、将HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和 HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为 “C:\Program Files\Internet Explorer\iexplore.exe” –nohome
6、将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为“IEXPLORE.EXE”.(原来是INTEXPLORE.pif)
六、收尾工作
关掉注册表编辑器
将C:\WINDOWS目录下的regedit.com改回regedit.exe,如果提示有重名文件存在,不能更改,可以先将重名的regedit.exe删除,再将regedit.com改为regedit.exe。
6.lsm.exe
文件名: lsm.exe
显示名: Microsoft Windows 操作系统
描述: 本地会话管理器服务
发行者: Microsoft Corporation
数字签名方: Microsoft Windows Verification PCA
文件类型: 应用程序
自动启动: 否
文件路径: C:\Windows\system32\lsm.exe 文件大小: 210432
与操作系统一起提供: 是
进程文件: lsm.exe
进程位置: C:\Windows\System32,其中C为系统盘盘符;
进程名称: Local Session Manager Service,本地会话管理服务。
英文描述: N/A
中文描述:
作者: microsoft
属于: widnows vista os
文件大小:224 KB
文件版本:6.0.6001.18000
MD5值:4774ad6c447e02e954bd9a793614ebec
系统进程: 否
应用程序: 否
后台程序: 否
使用访问: 否
访问互联网: 否
安全等级 (0-5): N/A (N/A无危险 5最危险)
间碟软件: 否
广告软件: 否
病毒: 否
木马: 否
7.system.exe
进程文件: system.exe
进程位置: 系统
程序名称: Backdoor.bifrose
程序用途: 后门木马病毒 用于窃密,远程控制。
系统进程: 否
后台程序: 是
使用网络: 是
硬件相关: 否
安全等级: 低
进程分析: GAOBOT.AO、netcontroller、Trojan/PSW.WyHunt、Worm_Bbeagle.K以及灰鸽子等木马病毒也生成该文件,基本上都属于后门蠕虫木马,恶意攻击者用来进行远程控制。该病毒修改注册表创建系统服务system实现自启动,并将病毒模块systemKey.DLL,system_HOOk.DLL注入进程运行,病毒模块能够记录键盘动作窃取账号密码,并允许恶意攻击者远程控制计算机。
Troj_adware.mopo广告木马,病毒修改注册表实现自启动,运行后实现启动MOPO弹窗广告。 当你不知道system到底是进程还是病毒的情况下,你就下载一个下载个可以显示路径的工具SREng,看看具体的路径就知道到底是什么了。
如何手动查杀system.exe病毒
1、用任务管理器中止所有system.exe的进程;
2、运行cmd在DOS窗口中键入del /f /a %d%:\RECYCLER\system.exe del /f /a %d%:\system.exe 删除所有硬盘驱动器上根目录下的autorun.inf和system.exe及回收站中的system.exe文件;
3、删除“开始/程序/启动”下的钥匙图标;
4、运行regedit,查找并删除全部system.exe的键值,然后重启计算机,OK搞定
我还想问win7有多少项注册表呢?
win7系统开机进程太多有70几个,怎么办~
svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。
进程属性
进程文件: svchost or svchost.exe
进程名称: Generic Service Host Process for Win32 Services
进程类别:系统进程
位置:C:\windows\system32\svchost.exe (如果你的svchost.exe进程不是在这个目录下的话,那么就要当心了)
(注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。更多详细信息参考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx,该进程的安全等级是建议立即删除。)
2.audiodg.exe
进程文件:audiodg.exe
所在路径: (系统安装目录盘)C:\Windows\System32\audiodg.exe
中文名称: Windows音频设备管理程序
出品者:Microsoft Corp.
属于:Windows音频设备图形隔离程序
现阶段有关问题参考:一名安全研究人员近日表示,微软新一代操作系统的Windows Vista进程保护功能存在严重安全隐患,而且已经有方式被恶意利用。 Vista进程保护(Protected Process)原本为媒体路径、DRM文件设计,旨在防止未授权软件或硬件捕获高清晰度格式的内容,而用于进程保护的数字签名仅有微软以及合作媒体伙伴拥有。
不过,从这名安全人员发布的概念性小程序来看,audiodg.exe以及mfpmp.exe两个Vista保护进程内信息已经能够被显示和调用,也就是说,只要恶意软件制造者获得相关数字签名,也可以编写出拥有进程保护能力的恶意代码。
一旦这种进程保护机制被恶意软件作者所利用,普通杀毒软件将束手无策。
补充说明:这个进程在WIN7下可以对耳机音质进行大幅度的提升,具体设置如下:将耳机插上,点击音量图标,打开后点击上面的耳机图标,选择增强功能,内有三项设置:低音增强、耳机虚拟化、响度均衡,笔者建议大家把这三项全选,点击确定,重新启动音乐播放器,播放一首歌曲,你会发现一首原本普通的音质的歌曲现在几乎拥有了家庭影院级的音质!建议大家前后对比,笔者对比后音质增强效果非常明显!但是使用此项后,这个进程占用CPU会比平时稍高,请注意。
3.csrss.exe
csrss.exe,系统进程,是微软客户端、服务端运行时子系统,管理Windows图形相关任务,对系统的正常运行非常重要,但也有可能是W32.Netsky.AB@mm等病毒创建的。
注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
介绍:Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制 Windows 图形相关子系统。正常情况下在Windows NT/2000/XP/2003系统中只有一个csrss.exe进程,位于System32文件夹中,若以上系统中出现两个csrss.exe 进程(其中一个位于 Windows 文件夹中),或在Windows 9X/Me系统中出现该进程,则是感染了病毒。Windows Vista有两个csrss.exe进程。
注意,正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示,终止进程后会蓝屏。
根据csrss.exe的位置判断csrss.exe的危险度
如果 csrss.exe 位于在 “C:\Program Files” 下的子目录下,那么威胁危险度是 70% 。文件大小是 1,111,688 字节 (占总出现比率 11% ),49,152 字节,311,808 字节,1,189,549 字节,141,606 字节,769,536 字节,1,201,827 字节,1,056,768 字节,1,175,073 字节。
如果 csrss.exe 位于在 C:\Windows\System32 下的子目录下,那么威胁危险度是 77% 。文件大小是 2,121,216 字节 (占总出现比率 22% ),28,160 字节,29,696 字节,20,480 字节,2,932,736 字节,470,528 字节,76,800 字节,43,072 字节。
如果 csrss.exe 位于在目录 C:\Windows\System32\drivers下,那么威胁危险度是 64% 。文件大小是 81,920 字节 (占总出现比率 40% ),335,872 字节,542,720 字节,6,144 字节。 如果 csrss.exe 位于在 “C:\Documents and Settings” 下的子目录下,那么威胁危险度是 57% 。文件大小是 58,033 字节 (占总出现比率 50% ),385,536 字节,24,576 字节。
纯手工查杀木马csrss.exe
注意:csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程
前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。
然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字节,生成时间为12月9日12:37。而真正的csrss.exe只有6k,生成时间是2003年3月27日12:00,位于C:\Windows\Syetem32下。
于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。
试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。
然后要查找和它有关的文件。仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。
此后在12:38分生成了一个tmp.dat文件,内容是 @echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:\WINDOWS\system32\netstart.exe
好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。
汇编大约进行了1分钟,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节,另两个大小也是52736字节。前两个位于C:\Windows\System32下,后两个在当前用户的Temp文件夹里。
这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。
现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果,也是一个木马。
这个病毒是怎么进入我的电脑的呢?搜索时发现在12月9日12:36分生成了一个快捷方式,名为dos71cd.zip,它是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
4.explorer.exe
explorer.exe是Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理,删除该程序会导致Windows图形界面无法适用。explorer.exe也有可能是w32.Codered等病毒。该病毒通过email邮件传播,当打开病毒发送的附件时,即被感染,会在受害者机器上建立SMTP服务,允许攻击者访问你的计算机、窃取密码和个人数据。
所在路径: (系统安装目录盘)C:\windows\explorer.exe C:\windows\system32\dllcache (windows的文件保护机制备份) 部分电脑的:(系统安装目录盘)C:\windows\ServicePackFiles\i386 路径下,也存在这一文件.(所以,当你的桌面没有启动时,可以用这里的explorer.exe启动,最好备份一份去C:\windows\ 下,因为系统默认是启动这里的explorer.exe.)
命令及应用
explorer.exe的命令参数及其应用我们常需要在CMD命令行下打开文件夹,除了start命令外,还可以使用explorer.exe来打开文件夹,而且有不少参数可以方便我们的操作,下面是我在微软官方网站上面找到的关于EXPLORER的使用。
5.lsass.exe
lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
进程描述
本地安全权限服务控制Windows安全机制。管理IP安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等,是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。
病毒
简介及发作
该(这些)病毒是一个可以在WIN9X/NT/2000/XP等操作系统上运行的盗号木马。病毒会强行终止多种杀毒软件的进程,使其不能正常运行。它会频繁检查“传奇”客户端的窗口,如果窗口存在,就会取得当前鼠标的位置,并记录键盘信息,最后把记录下来的信息发送到指定邮箱,从而窃取用户的游戏账号和密码等。
诊断
如果你的启动菜单(开始-运行-输入“msconfig”)里有个lsass.exe启动项,那就证明你的lsass.exe是木马病毒,中毒后,在进程里可以见到有两个相同的进程,分别是lsass.exe和LSASS.EXE,同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行,LSASS.EXE管理exe类执行文件,exert.exe管理程序退出,还会在D盘根目录下产生command.com和 autorun.inf两个文件,同时侵入注册表破坏系统文件关联。
编辑本段病毒的清除
这个病毒比较狠毒,手工清除较为复杂。请用户务必按照步骤严格操作,否则很可能出现无法清除干净的情况。建议一般用户最好使用杀毒软件来清除这个病毒。
WIN98
打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程,然后到windows目录下删除这两个文件,这两个文件是隐藏的,再到 D:删除command.com和autorun.inf两个文件,最后重启电脑到DOS 运行,用scanreg/restore 命令来恢复注册表,(如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表),重启后进到WINDOWS桌面用杀毒软件,全面杀毒,清除余下的病毒。
Windows XP
一、准备工作
打开“我的电脑”——工具——文件夹选项——查看 a、把“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”前面的勾去掉; b、勾中“显示所有文件和文件夹” 二、结束进程 用Ctrl+Alt+Del调出windows务管理器,想通过右击当前用户名的lsass.exe来结束进程是行不通的.会弹出该进程为系统进程无法结束的提醒框; 点到任务管理器进程面版,点击菜单,“查看”-“选择列”,在弹出的对话框中选择“PID(进程标识符)”,并点击“确定”。找到映象名称为“LSASS.exe”,并且用户名不是“SYSTEM”的一项,记住其PID号.点击“开始”——运行,输入“CMD”,点击“确定”打开命令行控制台。 输入“ntsd –c q -p (此红色部分填写你在任务管理器里看到的LSASS.EXE的PID列的数字,是当前用户名进程的PID,别看错了)”,比如我的计算机上就输入“ntsd –c q -p 1064”.这样进程就结束了。(如果结束了又会出现,那么你还是用下面的方法吧)
三、删除病毒文件
删除如下几个文件: (与WIN2000的目录有所不同)
C:\Program Files\Common Files\INTEXPLORE.pif (有的没有.pif)
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe (或者exeroute.exe)
C:\WINDOWS\IO.SYS.BAK C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盘上点击鼠标右键,选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件.
四、删除注册表中的其他垃圾信息
将C:\WINDOWS目录下的“regedit.exe”改名为“regedit.com”并运行,删除以下项目:
1、HKEY_CLASSES_ROOT\WindowFiles
2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations项
4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP项
五、修复注册表中被篡改的键值
1、将HKEY_CLASSES_ROOT\.exe的默认值修改为 “exefile”(原来是windowsfile)
2、将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默认值修改为 “C:\Program Files\Internet Explorer\iexplore.exe” %1 (原来是intexplore.com)
3、将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默认值修改为 “C:\Program Files\Internet Explorer\IEXPLORE.EXE”(原来是INTEXPLORE.com)
4、将HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 的默认值修改为“C:\Program Files\Internet Explorer\iexplore.exe” %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
5、将HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和 HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为 “C:\Program Files\Internet Explorer\iexplore.exe” –nohome
6、将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默认值修改为“IEXPLORE.EXE”.(原来是INTEXPLORE.pif)
六、收尾工作
关掉注册表编辑器
将C:\WINDOWS目录下的regedit.com改回regedit.exe,如果提示有重名文件存在,不能更改,可以先将重名的regedit.exe删除,再将regedit.com改为regedit.exe。
6.lsm.exe
文件名: lsm.exe
显示名: Microsoft Windows 操作系统
描述: 本地会话管理器服务
发行者: Microsoft Corporation
数字签名方: Microsoft Windows Verification PCA
文件类型: 应用程序
自动启动: 否
文件路径: C:\Windows\system32\lsm.exe 文件大小: 210432
与操作系统一起提供: 是
进程文件: lsm.exe
进程位置: C:\Windows\System32,其中C为系统盘盘符;
进程名称: Local Session Manager Service,本地会话管理服务。
英文描述: N/A
中文描述:
作者: microsoft
属于: widnows vista os
文件大小:224 KB
文件版本:6.0.6001.18000
MD5值:4774ad6c447e02e954bd9a793614ebec
系统进程: 否
应用程序: 否
后台程序: 否
使用访问: 否
访问互联网: 否
安全等级 (0-5): N/A (N/A无危险 5最危险)
间碟软件: 否
广告软件: 否
病毒: 否
木马: 否
7.system.exe
进程文件: system.exe
进程位置: 系统
程序名称: Backdoor.bifrose
程序用途: 后门木马病毒 用于窃密,远程控制。
系统进程: 否
后台程序: 是
使用网络: 是
硬件相关: 否
安全等级: 低
进程分析: GAOBOT.AO、netcontroller、Trojan/PSW.WyHunt、Worm_Bbeagle.K以及灰鸽子等木马病毒也生成该文件,基本上都属于后门蠕虫木马,恶意攻击者用来进行远程控制。该病毒修改注册表创建系统服务system实现自启动,并将病毒模块systemKey.DLL,system_HOOk.DLL注入进程运行,病毒模块能够记录键盘动作窃取账号密码,并允许恶意攻击者远程控制计算机。
Troj_adware.mopo广告木马,病毒修改注册表实现自启动,运行后实现启动MOPO弹窗广告。 当你不知道system到底是进程还是病毒的情况下,你就下载一个下载个可以显示路径的工具SREng,看看具体的路径就知道到底是什么了。
如何手动查杀system.exe病毒
1、用任务管理器中止所有system.exe的进程;
2、运行cmd在DOS窗口中键入del /f /a %d%:\RECYCLER\system.exe del /f /a %d%:\system.exe 删除所有硬盘驱动器上根目录下的autorun.inf和system.exe及回收站中的system.exe文件;
3、删除“开始/程序/启动”下的钥匙图标;
4、运行regedit,查找并删除全部system.exe的键值,然后重启计算机,OK搞定
我还想问win7有多少项注册表呢?
win7系统开机进程太多有70几个,怎么办~
启动项命令今天整理机房,因为没有及时保护,不少计算机已经被病毒入侵的不成样子。启动速度、运行状态都很差,用到了在Windows98时代的一个命令 msconfig (WindowsXP、Win9X可以使用,Win2000不能使用),然后找到“启动”标签,如下图。
上图是我计算机的 启动项 ,如果在防病毒的时候可将除了你认识的必要的项目随Windows启动外,其他的都可以把对勾去掉,这样不但可以加速你的系统启动速度,还能阻止部分病毒的随系统自动启动。比方说我可以只留下AVP(卡巴)和ctfmon(系统配置),其他的都去掉,另外注意,有的时候病毒伪装的很像你的杀毒软件或者系统默认程序或者常用软件,比方说针对知名播放软件realplay就有一个专门的病毒,不过你细心的话会发现这个文件不在c:\program Files文件夹下,而是在c:\Windows\system32下,一看就知道坏蛋一个。病毒的伪装最常用的是用数字0伪装字母o,或者用数字1伪装字幕l,相信有一定经验的朋友应该很清楚了。
msconfig命令因为会启动“启动项”的程序列表,所以这个命令也被很多病毒紧盯,甚至破坏或者禁止你使用,所以有时候无法使用。如果出现这种情况,我们可以重启计算机按F8进入安全模式,运行启动项命令,去掉相关的对勾之后,重启动,很多随计算机启动的病毒就被从系统上脱下来(你可以认为随机启动的病毒就像衣服)。
当然了,如果你还不死心,誓要杀死那些病毒,可以使用前面我们提过的 Attrib 命令 来手工删除病毒。你问我病毒在什么地方?上图中“命令”二字下的列表就是这些文件的位置。不过这个需要小心,因为很多是有用的程序,如果被我们删掉了会带来不便,至于什么是“好人”什么是“坏人”需要到网上搜搜看。
一、进程是操作系统结构的基础,是一个正在执行的程序,进程是程序在计算机上的一次执行活动。它包括二部份,一是系统自动运行项,二是使用中打开的运行项。进程多,占用资源就多。在进程中还有一个入侵者那就是木马病毒侵入,一旦木马病毒侵入,它会大量占用系统资源,造成电脑运行迟缓或无法运行。一般开机进程XP在20上下,Vista、Win7在30个上下。
二、想减少进程
在任务管理器中可以直接删除,但下次启动时还会自动运行。这么办:
1、减少自动运行项,禁用多余的服务组件 。
右键单击“我的电脑(计算机)”--“管理”--“服务和应用程序”--“服务”,在右窗格将不需要的服务设为禁用,将不经常使用的服务设为手动。
2、去掉一些开机启动项。
(1)开机启动项一般只保留两项即可。开始-运行-msconfig-启动-保留“Ctfmon(提供语言识别……和其他用户输入技术)”和“杀毒程序”(或360时实监控),其它一律删除。如果想开机自动上网,保留宽带连接。删除了不是卸载了,而是不让它开机自动运行,需要运行时,手动打开就是了。
(2)借助软件取消开机自动运行
优化大师
打开优化大师--系统优化--开机速度化--在启动列表中-勾选开机不自动启动的项目-优化-退出,重启。
360安全卫士
打开360-功能大全-开机加速-启动项-在“设置启动方式”中将不需要启动的,设置为“禁止启动”。
3、随时关闭不使用的应用程序。
三、如果怀疑木马病毒侵入
从网上下载360安全卫士,打开360安全卫士-功能大全-选用“电脑优化”中的“进程管理”,在打开“正在运行”窗口,以列表的形式显示正在运行的:软件名称、CPU占用、内存占用、安全和操作。你可以查看哪个进程不正,或是多余的,可通过“操作”结束它的运行。在进程中删除只是暂时结束它的运行,并不是从你电脑中清除,重启它还会自动运行。在进程中发现有木马病毒,要用木马病毒软件全盘查杀才能将它清除。
