VISTA系统可以删除的进程.docx
- 文档编号:6257851
- 上传时间:2023-01-04
- 格式:DOCX
- 页数:63
- 大小:72.33KB
VISTA系统可以删除的进程.docx
《VISTA系统可以删除的进程.docx》由会员分享,可在线阅读,更多相关《VISTA系统可以删除的进程.docx(63页珍藏版)》请在冰豆网上搜索。
VISTA系统可以删除的进程
西祠胡同
mmaff的角落如果多吃鱼可以补脑让人变聪明的话,那么我至少得吃一对儿鲸鱼……:
)
首页文章相册彩信加好友留言
VISTA系统可以删除的进程09-02-0217:
34发表于:
《地铁》 分类:
未分类
adskscsrv.exe
进程文件:
AdskScSrvorAdskScSrv.exe
进程名称:
AutodeskLicensingService
英文描述:
AdskScSrv.exeisaprocessassociatedwithalicensingserviceapplicationfromAutodesk.Thisprocessshouldnotberemovedunlessitiscausingproblems.
出品者:
Autodesk 属于:
AutodeskLicensingService
系统进程:
No 后台程序:
Yes 网络相关:
No
常见错误:
N/A 内存使用:
N/A 安全等级(0-5):
0
间谍软件:
No 广告软件:
No 病毒:
No 木马:
No
正常:
安装了Autodesk系列产品(如AutoCAD、3DStudioVIZ、AutodeskVIZ等)后出现的进程。
该程序位于C:
\ProgramFiles\CommonFiles\AutodeskShared\中,该目录用于存放Autodesk系列产品的共用程序。
可以在3DMAX的服务设置里禁止掉的.
可在进程管理器中结束进程,属于系统服务项在AutodeskLicensingService中,属性一般为自动。
该服务描述为AnchorserviceforAutodeskproductslicensedwithSafeCast(没有中文注解)。
aestsrv.exe
进程文件:
AEstSrv.exe
进程名称:
AndreafiltersAPOaccessservice(32-bit)
英文描述:
AndreafiltersAPOaccessservice(32-bit)
所在文件夹:
C:
\Windows\system32\aestsrv.exe
audioprocessingobject为APO的全拼,类属声音过滤器一类,通常此类功能会应用在话筒静噪等方面
安全等级(0-5):
N/A(N/A无危险5最危险)
间谍软件:
否 广告软件:
否 病毒:
否 木马:
否
ALUSCHEDULERSVC.EXE
进程文件:
ALUSchedulerSvc或者ALUSchedulerSvc.exe
进程名字:
SymantecLiveUpdateScheduler
概述:
这个是Symantec安全产品的NORTON系列软件的在线升级程序的后台服务进程,它可以使用户的SYMANTEC系列软件保持在最新防护状态,而不是病毒或木马程序.
出品者:
Symantec 属于:
SymantecLiveUpdate
系统进程:
否 后台程序:
是 使用网络:
是 硬件相关:
否
常见错误:
未知N/A 内存使用:
未知N/A 安全等级(0-5):
0 间谍软件:
否
Adware:
否 病毒:
否 木马:
否
apmsgfwd.exe
进程文件:
ApMsgFwd.exe 进程名称:
ApMsgFwd.exe
英文描述:
N/A
进程分析:
ALPS触控板驱动相关程序。
进程位置:
unknown 程序用途:
unknown
作者:
unknown 属于:
unknown
安全等级(0-5):
N/A(N/A无危险5最危险)
间谍软件:
否 广告软件:
否
病毒:
否 木马:
否 系统进程:
否 应用程序:
否
后台程序:
否 使用访问:
否 访问互联网:
否
apntex.exe
进程文件:
apntex或者apntex.exe
进程名称:
AlpsPointing-deviceDriver
描述:
apntex.exe是Alps电子硬件驱动软件。
出品者:
AlpsElectricCo 属于:
AlpsElectricCo
系统进程:
否 后台程序:
是 使用网络:
否 硬件相关:
是
常见错误:
未知N/A 内存使用:
未知N/A 安全等级(0-5):
0
间谍软件:
否 广告软件:
否 病毒:
否 木马:
否
apoint.exe
进程文件:
apointorapoint.exe
进程名称:
AlpsPointing-deviceDriver
描述:
APoint.exe是Alps触摸板驱动程序。
出品者:
AlpsElectricCo
属于:
AlpsTouchpadDrivers
系统进程:
否 后台程序:
是 使用网络:
否
硬件相关:
是 常见错误:
未知N/A 内存使用:
未知N/A 安全等级(0-5):
0
间谍软件:
否 广告软件:
否 病毒:
否
audiodg.exe
进程文件:
audiodg.exe
所在路径:
(系统安装目录盘)C:
\windows\audiodg.exe
中文名称:
微软windows资源管理器
出品者:
MicrosoftCorp. 属于:
Windows音频设备图形隔离程序
现阶段有关问题参考:
一名安全研究人员近日表示,微软新一代操作系统的WindowsVista进程保护功能存在严重安全隐患,而且已经有方式被恶意利用。
Vista进程保护(ProtectedProcess)原本为媒体路径、DRM文件设计,旨在防止未授权软件或硬件捕获高清晰度格式的内容,而用于进程保护的数字签名仅有微软以及合作媒体伙伴拥有。
不过,从这名安全人员发布的概念性小程序来看,audiodg.exe以及mfpmp.exe两个Vista保护进程内信息已经能够被显示和调用,也就是说,只要恶意软件制造者获得相关数字签名,也可以编写出拥有进程保护能力的恶意代码。
一旦这种进程保护机制被恶意软件作者所利用,普通杀毒软件将束手无策。
英文资料参考:
Processname:
WindowsAudioDeviceGraphIsolation
Product:
WindowsVista
Company:
Microsoft
File:
audiodg.exe
SecurityRating:
"audiodg.exe"isapartofWindowsVista.Systemserviceslikeadiodriverrunsindifferentandisolatedloginsessionasthelocallylogged-inuserinWindowsVista.Thisensurethatcontentandplug-inscannotbemodifiedbyotherapplications(e.g.byspyware).
Note:
Theaudiodg.exefileislocatedinthefolderC:
\Windows\System32.Inothercases,audiodg.exeisavirus,spyware,trojanorworm!
来自:
SecurityTaskManager
BLService.exe中间有个这个我不知道是什么,XX也查不到。
ccsvchst.exe
【进程名称】:
ccSvcHst.exe
【进程分析】:
Symantec系列产品的框架服务进程。
【出品者】:
Symantec 【系统进程】:
否 【后台程序】:
是
【使用网络】:
是 【硬件相关】:
否 【常见错误】:
未知N/A
【内存使用】:
未知N/A 【安全等级】:
0
【间谍软件】:
否 【广告软件】:
否 【病毒】:
否 【木马】:
否
正常情况下,系统中应该有两个ccsvchst进程。
路径为X:
\progammefiles\commonfiles\symantecshared\ccsvchst.exe
Com4QLBEx.exe中间有个这个我不知道是什么,XX也查不到。
conime.exe
conime-conime.exe-进程信息
进程文件:
conime或者conime.exe
进程名称:
conime
描述:
conime.exe是输入法编辑器相关程序。
注意:
conime.exe同时可能是一个bfghost1.0远程控制后门程序。
此程序允许攻击者访问你的计算机,窃取密码和个人数据。
建议立即删除此进程。
出品者:
微软 属于:
Microsoft
系统进程:
否 后台程序:
否 使用网络:
否 硬件相关:
否
常见错误:
未知N/A 内存使用:
未知N/A 安全等级(0-5):
4
间谍软件:
否 广告软件:
否 病毒:
否 木马:
否
--------------------------------------
conime.exe进程说明:
conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号!
conime.exe同时可能是一个bfghost1.0远程控制后门程序。
此程序允许攻击者访问你的计算机,窃取密码和个人数据。
建议立即删除此进程。
”
以前总是不知什么时候这个进程就悄悄启动了,后来才发现往往在运行cmd.exe之后会出现。
但是conime.exe并不是cmd.exe的子进程,它的的父进程ID并没有在任务管理器中显示。
conime经常会被病毒利用感染,建议删除。
可以用冰遁或手动删除(删除前要结束进程)
不过,删除之后,在CMD就不能输入中文了,如果有这个需要的朋友就不要删除它了。
文件位置:
C:
\WINDOWS\system32\conime.exe
C:
\WINDOWS\system32\dllcache\conime.exe
或者注册表禁用
注册表找到:
"HKEY_CURRENT_USER\Console"中的"LoadConIme"修改为"0"即可
conime.exe是处理控制台输入法相关的一个程序,往往在运行cmd.exe之后会出现,就是运行cmd.exe之后用ctrl+shift切换输入法的功能,结束了该进程就无法切换了(不过无所谓,在cmd中只输入英文嘛)。
建议别轻易删除此文件,因为删除后可能引发自动关机,如果引发自动关机,说明这不是输入法编辑器相关程序,有可能是病毒!
csrss.exe
csrss.exe-csrss-进程管理信息进程文件:
csrssorcsrss.exe
进程名称:
MicrosoftClient/ServerRuntimeServerSubsystem
进程类别:
其他进程
英文描述:
csrss.exeisthemainexecutablefortheMicrosoftClient/ServerRuntimeServerSubsystem.ThisprocessmanagesmostgraphicalcommandsinWindows.Thisprogramisimportantforthestableandsecurerunningofyourcomputerandshouldnotbeterminated
中文参考:
csrss.exe是微软客户端/服务端运行时子系统。
该进程管理Windows图形相关任务。
这个程序对你系统的正常运行是非常重要的。
注意:
csrss.exe也有可能是W32.Netsky.AB@mm、W32.WebusTrojan、Win32.Ladex.a等病毒创建的。
该病毒通过Email邮件进行传播,当你打开附件时,即被感染。
该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。
该病毒允许攻击者访问你的计算机,窃取木马和个人数据。
这个进程的安全等级是建议立即进行删除。
出品者:
MicrosoftCorp 属于:
MicrosoftWindowsOperatingSystem
系统进程:
Yes 后台程序:
Yes 网络相关:
No
常见错误:
N/A 内存使用:
N/A 安全等级(0-5):
0
间谍软件:
No 广告软件:
No 病毒:
No 木马:
No
进程文件:
csrssorcsrss.exe
进程名称:
Client/ServerRuntimeServerSubsystem
介绍:
Client/ServerRuntimeServerSubsystem,客户端服务子系统,用以控制Windows图形相关子系统。
正常情况下在WindowsNT/2000/XP/2003系统中只有一个csrss.exe进程,位于System32文件夹中,若以上系统中出现两个csrss.exe进程(其中一个位于Windows文件夹中),或在Windows9X/Me系统中出现该进程,则是感染了病毒。
WindowsVista有两个csrss.exe进程。
注意,正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示,终止进程后会蓝屏。
纯手工查杀木马csrss.exe
注意:
csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程
前两天突然发现在C:
\ProgramFiles\下多了一个rundll32.exe文件。
这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。
但是当时我没有在意。
因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。
它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。
然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:
\Windows下,大小52736字节,生成时间为12月9日12:
37。
而真正的csrss.exe只有4k,生成时间是2003年3月27日12:
00,位于C:
\Windows\Syetem32下。
于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。
在该字符前面几行有SelfProtect的字符。
自我保护和反病毒软件有关的程序,不是病毒就是木马了。
灭!
试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。
先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。
然后要查找和它有关的文件。
仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:
37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。
此后在12:
38分生成了一个tmp.dat文件,内容是
@echooff
debugC:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.datC:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copyC:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.datC:
\WINDOWS\system32\netstart.exe>C:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
delC:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat>C:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
delC:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in>C:
\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:
\WINDOWS\system32\netstart.exe
好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。
汇编大约进行了1分钟,在12:
39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。
netstart.exe大小117786字节,另两个大小也是52736字节。
前两个位于C:
\Windows\System32下,后两个在当前用户的Temp文件夹里。
这样我就知道为什么我的系统没有感染的表现了。
netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。
把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。
这个监狱里都是我的战利品,不过还很少。
现在木马已经清除了。
使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。
搜索netstart.exe只有一个日文网站结果,也是一个木马。
这个病毒是怎么进入我的电脑的呢?
搜索时发现在12月9日12:
36分生成了一个快捷方式,名为dos71cd.zip,它是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。
现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
补充:
WindowsXPSP3系统下关于该文件的信息如下:
csrss.exe-csrss-进程管理信息进程文件:
csrssorcsrss.exe
系统进程:
Yes 后台程序:
Yes 网络相关:
No 大小:
6KB
所在位置:
C:
\BootFiles\C_\WINDOWS\SYSTEM32
再次提醒:
正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示。
dwm.exe
进程文件:
dwm.exe
进程名称:
dwm.exe
英文描述:
N/A
进程分析:
VistaAeroGlass相关程序,让Vista系统拥有玻璃化3D的界面风格。
这是aero界面的一个进程。
总是好奇taskmanager里面的内存大户dwm.exe是干什么的,windowsxp里面没有这个进程。
猜测是aero界面的东西,结果切换到windows标准视图看了一下,dwm.exe进程没有消失,但是
从原来的46M改为7M内存占用,空闲内存还是没有超过700M,(1Gtotal).
在aero界面下关闭glass效果对内存没有影响。
任何界面下关闭特效和阴影对内存也没有影响
这是桌面管理窗口,内存占有率很大,所以VISTA系统1G内存也只是勉强运......
这个进程是可以被关掉的,只不过要关两次,在任务管理器中结束进程,第一次结束后进程还在,但再一次结束后就没了,进程关掉后就没有3D效果了,窗口最大化最小化时也没渐隐效果了。
explorer.exe
进程名称:
explorer或者explorer.exe
所在路径:
(系统安装目录盘)C:
\windows\explorer.exe
进程全称:
MicrosoftWindowsExplorer
中文名称:
微软windows资源管理器
描述:
Windows资源管理器,可以说是Windows图形界面外壳程序,它是一个有用的系统进程。
注意它的正常路径是C:
\Windows目录,否则可能是W32.Codered或W32.mydoom.b@mm病毒。
explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。
该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。
该病毒会在受害者机器上建立SMTP服务。
该病毒允许攻击者访问你的计算机、窃取密码和个人数据。
出品者:
MicrosoftCorp. 属于:
MicrosoftWindowsOperatingSystem
系统进程:
是 后台程序:
否 使用网络:
是 硬件相关:
否
常见错误:
未知N/A 内存使用:
未知N/A 安全等级(0-5):
0
间谍软件:
否 广告软件:
否 病毒:
否
木马:
否 最近电脑突然卡,发现进程了多了很多个explorer.exe
感觉不对,马上用在线杀毒查杀瑞星报毒!
!
!
EXPLORER.EXE
病毒名称:
Virus.Win32.VB.bu(卡巴斯基)
Win32/VB.NHZ蠕虫(NOD32)
Trojan.PSW.SBoy.a(瑞星)
Trojan/PSW.Jianghu.ei(江民)
技术分析
病毒窗体标题为:
¤三好学生¤,源代码工程名为EXPLORER.VBP,通过U盘传播,运行后注入EXPLORER.EXE进程,并试图盗取以下游戏帐号:
程序代码
WarcraftIII
Counter-Strike
NFSUnderground2
CrazyArcade
O2-JAM
PopKartClient
YB_OnlineClient
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VISTA 系统 可以 删除 进程