Windows常見進程

ccmexec.exe
進程名稱:Microsoft SMS Agent Host
描述:ccmexec.exe是微軟SMS操作系統服務.該SMS Agent Host服務在其它服務之上.這個程序對你係統的正常運行是非常重要的.
出品者:Microsoft
屬於:MicrosoftWindowsOperatingSystem

cidaemon.exe
進程名稱:Microsoft Indexing Service
描述:cidaemon.exe是一個索引服務,爲了讓你更加快速的查找文件.
出品者:Microsoft Corp.
屬於:Microsoft Windows Operating System
停止進程的方法:運行services.msc打開服務管理界面,找到"Indexing Service"並雙擊,點擊"停止"按鈕,然後將"啓動類型"修改爲"禁用"即可.
進程文件:cidaemon or cidaemon.exe
進程名稱:Microsoft Indexing Service
進程類別:其他進程
英文描述:cidaemon.exe is an indexing service which catalogues files on your computer to enable for faster file searches.
中文參考:cidaemon.exe是一個索引服務,爲了讓你更加快速的查找文件.
出品者:Microsoft Corp.
屬於:Microsoft Windows Operating System
啓動了這個服務就會在電腦空閒的時候建立索引,機器會變慢！
可以通過以下的方法取消該服務:
打開我的電腦→按"搜索"→"更改首選項"→"不使用製作索引服務(I)"→選"否,請不要啓用製作索引服務(N)" 然後確定就ok了.

cisvc.exe
進程名稱:Microsoft Index Service Helper
描述:cisvc.exe是微軟Windows操作系統自帶的程序.它用於監測CIDAEMON.exe內存使用狀態,防止可用內存過低問題,如果cidaemon.exe內存使用超過了40M,則自動重新啓動該進程.這是一個系統進程,不要進行刪除.
出品者:Microsoft Corp.
屬於:Microsoft Windows

csrss.exe
進程名稱:Microsoft Client / Server Runtime Server Subsystem
描述:csrss.exe是微軟客戶端/服務端運行時子系統.該進程管理Windows圖形相關任務.這個程序對你係統的正常運行是非常重要的.
注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.WebusTrojan、Win32.Ladex.a等病毒創建的.該病毒通過Email郵件進行傳播,當你打開附件時,即被感染.該蠕蟲會在受害者機器上建立SMTP服務,用以自身傳播.該病毒允許攻擊者訪問你的計算機,竊取木馬和個人數據.這個進程的安全等級是建議立即進行刪除.
出品者:Microsoft Corp
屬於:Microsoft Windows Operating System

ctfmon.exe
進程名稱: Alternative User Input Services
描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office語言條.Ctfmon.exe提供語音識別、手寫識別、鍵盤、翻譯和其它用戶輸入技術的支持.
描述:ctfmon.exe是Microsoft Office產品套裝的一部分.它可以選擇用戶文字輸入程序,和微軟OfficeXP語言條.這不是純粹的系統程序,但是如果終止它,可能會導致不可知的問題.
出品者:Microsoft Corp.
屬於:Microsoft Office Suite

internat.exe
進程名稱:Microsoft Input Locales
描述:internat.exe是微軟Windows多語言輸入程序.這個程序對你係統的正常運行是非常重要的.
注意:internatt.exe也有可能是Win32.Lydra.a木馬的一部分.該木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據.該進程的安全等級是建議刪除.
出品者:Microsoft Corp.
屬於:Microsoft Windows Operating System

inetinfo.exe
進程文件:IIS Admin Service Helper
描述:inetinfo.exe主要用於支持微軟WindowsIIS網絡服務的除錯.這個程序對你係統的正常運行是非常重要的.
出品者:Microsoft Corp.
屬於:Microsoft Windows Server Suites
正常情況下,inetinfo.exe 是 IIS admin Service 或 world wide web publishing service,
手動處理:
先停止 OpenSSL.exe和inetinfo.exe 這兩個進程,然後再將C:/WINDOWS/SESTEM/OpenSSL.exe 和C:/WINDOWS/SESTEM/inetinfo.exe這兩個文件刪除就OK了.
inetinfo.exe刪除了再重新出現都是由於OpenSSL.exe這個東西在作怪,把OpenSSL.exe 刪了,就會發現inetinfo.exe刪了不再出現.
如不需要,可在服務管理器services.msc中終止這兩項服務即可！

lsass.exe
進程名稱:Local Security Authority Service
lsass.exe是一個系統進程,用於微軟Windows系統的安全機制.它用於本地安全和登陸策略.
注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm創建的,病毒通過軟盤、羣發郵件和P2P文件共享進行傳播.
lsass.exe is a system process of the Microsoft Windows security mechanisms. It specifically deals with local security and login policies.
Note: lsass.exe also relates to the Windang.worm, irc.ratsou.b, Webus.B, MyDoom.L, Randex.AR, Nimos.worm which
出品者:Microsoft Corp.
屬於:Microsoft Windows Operating System

映像名稱                       PID 服務
========================= ======== ============================================
lsass.exe                      452 HTTPFilter, Netlogon, PolicyAgent,
                                   ProtectedStorage, SamSs

如果你的啓動菜單裏有個lsass.exe啓動項,那就證明你得lsass.exe木馬病毒,中毒後,會在windows裏產生lsass.exe和exert.exe兩個病毒文件,還會在D盤根目錄下產生command.com和autorun.inf兩個文件,同時侵入註冊表破壞系統文件關聯.在進程裏可以見到有兩個相同的進程,分別是lsass.exet和LSASS.EXE.同時在windows下生成LSASS.EXE和exert.exe兩個可執行文件,且在後臺運行.LSASS.EXE管理exe類執行文件,exert.exe管理程序退出.
下載個進程管理器,找出問題進程的路徑,手動終止LSASS.EXE和exert.exe兩個進程(管理器不能終止LSASS.EXE,提示系統進程不能終止),打開msconfig.exe取消LSASS.EXE啓動項.刪除C:/Documents
and Settings/Administrator/Local Settings/tempt和Temporary Internet Files下的文件,斷開網絡後再刪除C:/Program
Files/Common Files/update文件夾,這裏exe類文件已不能運行,新建一個reg文件,輸入如下內容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/.exe]
@="exefile"
"Content Type"="application/x-msdownload"
"Content Type"="%1,%*"(此處有疑問)
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/.exe/PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
或用工具恢復註冊表.
以WIN98爲例:
打開IE屬性刪除cookies和所有脫機內容,啓動進程殺手終止lsass.exe和exert.exe兩個進程,然後到windows目錄下刪除這兩個文件,這兩個文件是隱藏的,再到D:刪除command.com和autorun.inf兩個文件,最後重啓電腦到DOS
運行,用scanreg/restore 命令來恢復註冊表,(如果不會的或者是XP系統不能用的可以用瑞星註冊表修復程序之類的軟件修復一下註冊表),重啓後進到WINDOWS桌面用殺毒軟件(本人用金山毒霸2006)全面殺毒,清除餘下的病毒！
windows xp下解決LSASS.exe進程病毒
一、結束進程
先進入文件夾選項設置,把隱藏文件和文件擴展名顯示出來.
然後結束LSASS.exe進程.按Ctrl+Alt+Del調出任務管理器,在切換到進程選項,"查看"菜單－"選擇列",在彈出的對話框中選擇"PID(進程標識符)",並點擊"確定".找到映象名稱爲"LSASS.exe",並且用戶名不是"SYSTEM"的一項,記錄下其PID號.
進入到命令行控制檯(開始－運行－cmd),輸入"ntsd –c q -p 1064(其中,1064爲LSASS.EXE的PID列的數字)"即可結束LSASS進程.
(如果結束了又會出現,那麼你還是用下面的方法吧)
(推薦大家用Process Explorer,很強的進程管理工具,可以直接結束想要結束的進程,用的時候很方便.)
二、刪除病毒文件
刪除如下幾個文件:(與WIN2000的目錄有所不同)
C:/Program Files/Common Files/INTEXPLORE.pif (有的沒有.pif)
C:/Program Files/Internet Explorer/INTEXPLORE.com
C:/WINDOWS/EXERT.exe
C:/WINDOWS/IO.SYS.BAK
C:/WINDOWS/LSASS.exe
C:/WINDOWS/Debug/DebugProgram.exe
C:/WINDOWS/system32/dxdiag.com
C:/WINDOWS/system32/MSCONFIG.COM
C:/WINDOWS/system32/regedit.com
在D:盤上點擊鼠標右鍵,選擇"打開".刪除掉該分區根目錄下的"Autorun.inf"和"command.com"文件.
三、刪除註冊表中的其他垃圾信息
將C:/WINDOWS目錄下的"regedit.exe"改名爲"regedit.com"並運行,刪除以下項目:
1、HKEY_CLASSES_ROOT/WindowFiles
2、HKEY_CURRENT_USER/Software/VB and VBA Program Settings
3、HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main 下面的 Check_Associations項
4、HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 下面的ToP項
四、修復註冊表中被篡改的鍵值
1、將HKEY_CLASSES_ROOT/.exe的默認值修改爲 "exefile"(原來是windowsfile)
2、將HKEY_CLASSES_ROOT/Applications/iexplore.exe/shell/open/command 的默認值修改爲 "C:/Program
Files/Internet Explorer/iexplore.exe" %1 (原來是intexplore.com)
3、將HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command
的默認值修改爲
"C:/Program Files/Internet Explorer/IEXPLORE.EXE"(原來是INTEXPLORE.com)
4、將HKEY_CLASSES_ROOT /ftp/shell/open/command 和HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command
的默認值修改爲"C:/Program Files/Internet Explorer/iexplore.exe" %1 (原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)
5、將HKEY_CLASSES_ROOT /htmlfile/shell/open/command 和
HKEY_CLASSES_ROOT/HTTP/shell/open/command的默認值修改爲
"C:/Program Files/Internet Explorer/iexplore.exe" –nohome
6、將HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet 的默認值修改爲"IEXPLORE.EXE".(原來是INTEXPLORE.pif)
五、收尾工作
關掉註冊表編輯器
將C:/WINDOWS目錄下的regedit.com改回regedit.exe

msiexec.exe
進程名稱:Windows Installer Component
進程名稱:msiexec.exe是Windows Installer的一部分.用於安裝Windows Installer安裝包(MSI).這個程序對你係統的正常運行是非常重要的.
出品者:Microsoft Corp.
屬於:Windows

msdtc.exe
進程名稱:Distributed Transaction Coordinator
描述:msdtc.exe是微軟分佈式傳輸協調程序.該進程調用系統Microsoft Personal Web Server和Microsoft SQL Server.該服務用於管理多個服務器.
msdtc.exe是一個並列事務,是分佈於兩個以上的數據庫,消息隊列,文件系統或其他事務保護資源管理器,刪除要小心.
如果你確定不會用到它,那就可以刪除.
控制面板－－管理工具－－服務－－找到Distributed Transaction Coordinator－－禁用
MSDTC(分佈式交易協調器).協調跨多個數據庫、消息隊列、文件系統等資源管理器的事務.該服務的進程名爲Msdtc.exe.
依存關係:Remote Procedure Call(RPC)和Security Accounts Manager
建議:一般家用計算機涉及不到,除非你啓用Message Queuing服務,可以停止.

services.exe
進程文件:services or services.exe
進程名稱:Windows Service Controller
進程類別:其他進程
英文描述:services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin
中文參考:services.exe是微軟Windows操作系統的一部分.用於管理啓動和停止服務.該進程也會處理在計算機啓動和關機時運行的服務.這個程序對你係統的正常運行是非常重要的.
注意:services也可能是W32.Randex.R(儲存在%systemroot%/system32/目錄)和Sober.P (儲存在%systemroot%/Connection Wizard/Status/目錄)木馬.該木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據.該進程的安全等級是建議立即刪除.
出品者:Microsoft Corp.
屬於:Microsoft Windows Operating System
系統進程:Yes
後臺程序:Yes
這個後門還不錯,也有點BT吧,共產生14個文件＋3個快捷圖標＋2個文件夾.註冊表部分,除了1個Run和System.ini,比較有特點是,非普通地利用了EXE文件關聯,先修改了.exe的默認值,改.exe從默認的exefile更改爲winfiles,然後再創建winfiles鍵值,使EXE文件關聯與木馬掛鉤.即爲中毒後,任意一個EXE文件的屬性,"應用程序"變成"EXE文件"
當然,清除的方法也很簡單,不過需要注意步驟:
一、註冊表:先使用註冊表修復工具,或者直接使用regedit修正以下部分
1.SYSTEM.INI (NT系統在註冊表:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon)
shell = Explorer.exe 1 修改爲shell = Explorer.exe
2.將 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下的
Torjan Program----------C:/WINNT/services.exe刪除
3. HKEY_Classes_root/.exe
默認值 winfiles 改爲exefile
4.刪除以下兩個鍵值:
HKEY_Classes_root/winfiles
HKEY_Local_machine/software/classes/winfiles
5. 打開註冊表編輯器,依此分別查找"rundll32.com"、"finder.com"、"command.pif",把找到的內容裏面的"rundll32.com"、"finder.com"、"command.pif"分別改爲"Rundll32.exe"
6. 查找"iexplore.com"的信息,把找到的內容裏面的"iexplore.com"改爲"iexplore.exe"
7. 查找"explorer.com"的信息,把找到的內容裏面的"explorer.com"改爲"explorer.exe"
8. 查找"iexplore.pif",應該能找到類似"%ProgramFiles%/Common Files/iexplore.pif"的信息,把這內容改爲"C:/Program
Files/Internet Explorer/iexplore.exe"
9. 刪除病毒添加的文件關聯信息和啓動項:
[HKEY_CLASSES_ROOT/winfiles]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Torjan Program"="%Windows%/services.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices]
"Torjan Program"="%Windows%/services.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe 1"
改爲
"Shell"="Explorer.exe"
10. 這些是病毒釋放的一個VB庫文件(MSWINSCK.OCX)的相關信息,不一定要刪除:
HKEY_CLASSES_ROOT/MSWinsock.Winsock
HKEY_CLASSES_ROOT/MSWinsock.Winsock.1
HKEY_CLASSES_ROOT/CLSID/{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/CLSID/{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/Interface/{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/Interface/{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/TypeLib/{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
注:因爲病毒修改了很多關聯信息,所以在那些病毒文件沒有被刪除之前,請不要做任何多餘的操作,以免激活病毒
二、然後重啓系統,刪除以下文件部分,注意打開各分區時,先打開"我的電腦"後請使用右鍵單擊分區,選"打開"進入.或者直接執行附件的Kv.bat來刪除以下文件
c:/antorun.inf (如果你有多個分區,請檢查其他分區是否有這個文件,有也一併刪除)
%programfiles%/common files/iexplore.pif
%programfiles%/Internat explorer/iexplore.com
%windir%/1.com
%windir%/exeroute.exe
%windir%/explorer.com
%windir%/finder.com
%windir%/mswinsck.ocx
%windir%/services.exe
%windir%/system32/command.pif
%windir%/system32/dxdiag.com
%windir%/system32/finder.com
%windir%/system32/msconfig.com
%windir%/system32/regedit.com
%windir%/system32/rundll32.com
刪除以下文件夾:
%windir%/debug
%windir%/system32/NtmsData
徹底解決services.exe進程病毒
一、病毒評估
1.中文名:SCO炸彈變種N
2.英文名:Worm.Novarg.N
3.病毒別名:Worm.Mydoom.m
4.病毒大小:28832字節
5.病毒類型:蠕蟲病毒
6.病毒危險等級:★★★★
7.病毒傳播途徑:郵件
8.病毒依賴系統:Windows 9X/NT/2000/XP
二、病毒的破壞
1.通過電子郵件傳播的蠕蟲病毒,感染之後,它會先在用戶本地機器上搜索電子郵件地址,向其發送病毒郵件；
2.利用在本機上搜索到的郵件地址的後綴當關鍵詞,在Google、Yahoo等四個搜索引擎上搜索相關的email地址,發送病毒郵件傳播自身.
3.大量發送的搜索請求使這四個搜索引擎的運行速度明顯變慢.
4.感染了此病毒的機器,IE瀏覽器、OE軟件和Outlook軟件都不能正常使用.
5.病毒大量向外發送病毒郵件,嚴重消耗網絡資源,可能造成局域網堵塞.
三、技術分析
1.蠕蟲病毒,採用Upx壓縮.運行後,將自己複製到%WINDOWS%目錄下,文件名爲:java.exe.釋放一個後門病毒在同一目錄中,文件名爲:services.exe.
2.在註冊表啓動項"/CurrentVersion/Run"下加入這兩個文件的啓動鍵值:JavaVM和Service,實現病毒的開機自啓動.
3.強行關閉IE瀏覽器、OE軟件和Outlook軟件,使其不能正常使用.
4.在本地機器上搜索電子郵件地址:從註冊表中讀取當前系統當前使用的wab文件名,並在其中搜索email地址；搜索internet臨時目錄(Local Settings/Temporary
Internet Files)中的文件,從中提取電子郵件地址；遍歷盤符從C:盤到Z:的所有硬盤,並嘗試從以下擴展名文件中提取email地址:.adb, .asp,
.dbx, .htm, .php, .pl, .sht, .tbb, .txt, .wab.
5.當病毒搜索到email地址以後,病毒以"mailto+%本地系統搜出的郵件地址%"、"reply+%本地系統搜出的郵件地址%"、"{|contact+| |e|
|-| |mail}+%本地系統搜出的郵件地址％"爲關鍵字,利用以下四種搜索引擎進行email地址郵件搜索:search.lycos.com、search.yahoo.com、www.altavista.com、www.google.com,利用這種手段,病毒能夠搜索到非常多的可用郵件地址.
6.病毒郵件的附件名稱爲:readme, instruction, transcript, mail, letter, file, text, attachment等,病毒附件擴展名爲:cmd,
bat, com, exe, pif, scr, zip.
四、手動清除
(1)結束系統中進程名爲:Services.exe和java.exe(在%windows%目錄中)
(2)刪除系統臨時目錄中的兩個病毒數據文件:MLITGB.LOG和ZINCITE.LOG
(3)刪除病毒鍵立的註冊表鍵:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
"JavaVM"=%WINDOWS%/java.exe
和HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
"Services"=%WINDOWS%/Services.exe
注:%WINDOWS% 是指系統的windows目錄,在Windows 9X/ME/XP下默認爲:
C:/WINDOWS,Win2K下默認爲:C:/WINNT
注:%WINDIR%指的是Windows系統的安裝目錄,在Windows 95/98/ME/XP操作系統下默認爲:C:/WINDOWS目錄,在WINDOWS2000操作系統下默認爲:C:/WINNT目錄.

smss.exe
進程名稱:Session Manager Subsystem
描述:smss.exe是微軟Windows操作系統的一部分.該進程調用對話管理子系統和負責操作你係統的對話.這個程序對你係統的正常運行是非常重要的.
注意:smss.exe也可能是Win32.Ladex.a木馬.該木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據.該進程的安全等級是建議立即刪除.
出品者:Microsoft Corp.
屬於:Microsoft Windows Operating System
徹底清除SMSS.EXE病毒
SMSS.EXE進程爲會話管理子系統用以初始化系統變量,MS-DOS驅動名稱類似LPT1以及COM,調用Win32殼子系統和運行在Windows登陸過程.
它是一個會話管理子系統,負責啓動用戶會話.這個進程是通過系統進程初始化的並且對許多活動的,包括已經正在運行的Winlogon,Win32(Csrss.exe)線程和設定的系統變量作出反映.
在它啓動這些進程後,它等待Winlogon或者Csrss結束.如果這些過程時正常的,系統就關掉了.
如果發生了什麼不可預料的事情,smss.exe就會讓系統停止響應(掛起).
要注意:如果系統中出現了不只一個smss.exe進程,而且有的smss.exe路徑是"%WINDIR%/SMSS.EXE",那就可以肯定是中了病毒或木馬了.
重起到安全模式,病毒文件一樣被加載了,進程管理起還是有兩個SMSS.EXE,
系統自帶的任務管理器無法結束,可以去下載一個超強任務管理器,或者用命令ntsd將其結束,不一會,又冒出來.
清除方法:
1. 運行Procexp.exe和SREng.exe
2. 用ProceXP結束%Windows%/SMSS.EXE進程,注意路徑和圖標
3. 用SREng恢復EXE文件關聯
1,2,3步要注意順序,不要顛倒.
4. 可以刪除文件和啓動項了……
要刪除的清單請見: http://www.pxue.com/Html/736.html
刪除的啓動項:
Code:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"TProgram"="%Windows%/SMSS.EXE"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runservices]
"TProgram"="%Windows%/SMSS.EXE"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe 1"
修改爲:
"Shell"="Explorer.exe"
刪除的文件就是一開始說的那些,別刪錯就行
5. 最後打開註冊表編輯器,恢復被修改的信息:
查找"explorer.com",把找到的"explorer.com"修改爲"explorer.exe"；
查找"finder.com"、"command.pif"、"rundll32.com",把找到的"finder.com"、"command.pif"、"rundll32.com"修改爲"rundll32.exe"；
查找"iexplore.com",把找到的"iexplore.com"修改爲"iexplore.exe"；
查找"iexplore.pif",把找到的"iexplore.pif",連同路徑一起修改爲正常的IE路徑和文件名,比如"C:/Program Files/Internet
Explorer/iexplore.exe".
解決SMSS.EXE木馬
解決方法:
第一步:先寫一個BAT文件.也就是進行批量刪除文件.
del 1.com
del finders.com
del debug/debugprogram*.exe
del exerouter.exe /ar
del exerouter.exe /ah
del exp10rer.exe /ar
del exp10rer.exe /ah
del d:/command.com /ah
del d:/command.com /ar
del smss.exe /ar
del smss.exe /ah
del system32/dxdiag.com /ah
del system32/msconfig.com /ah
del system32/regedit.com /ah
del system32/rund1132.com /ah
del regedit.com /ah
del inexplore.pif /ah
del inexplore.com /ah
del C:/Program Files/Internet Explorer/inexplore.com
del C:/Program Files/Common Files/inexplore
assoc .exe=exefile
pause
先不用急着用.放到windows裏面.
第二步:下載費爾木馬強力清除助手.
結束SMSS.EXE進程,然後用費爾木馬強力清除助手,抑制該文件(c:/winnt/smss.exe)再次生成.
第三步:刪除病毒啓動項:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Torjan Program"="%Windows%/smss.exe"
修改
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"shell"="Explorer.exe 1"
爲
"shell"="Explorer.exe"
修改完註冊表後立刻 RESET (冷啓動).
第三步:重新啓動後進入安全模式(帶命令提示的):
運行那個在windows下的BAT文件.
(剛剛製作的那個,雖然有些文件會提示找不到刪除).
第四步:刪除完那些病毒文件後.搞定.重啓.OK.
不行再重新試幾次.

spoolsv.exe
進程名稱:Microsoft Printer Spooler Service
描述:spoolsv.exe用於將Windows打印機任務發送給本地打印機.
注意:spoolsv.exe也有可能是Backdoor.Ciadoor.B木馬.該木馬允許攻擊者訪問你的計算機,竊取密碼和個人數據.該進程的安全級別是建議立即刪除.
出品者:Microsoft Corp.
屬於:Microsoft Windows2000 andlater

svchost.exe
進程名稱:Microsoft Service Host Process
描述:svchost.exe是一個屬於微軟Windows操作系統的系統程序,用於執行DLL文件.這個程序對你係統的正常運行是非常重要的.
注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用WindowsLSASS漏洞,製造緩衝區溢出,導致你計算機關機.
更多詳細信息參考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx,該進程的安全等級是建議立即刪除.
出品者:Microsoft Corp.
屬於:Microsoft Windows Operating System

映像名稱                       PID 服務
========================= ======== ============================================
svchost.exe                    660 DcomLaunch
svchost.exe                    724 RpcSs
svchost.exe                    780 Dhcp, Dnscache
svchost.exe                    808 LmHosts, W32Time
svchost.exe                    844 AeLookupSvc, AudioSrv, Browser, CryptSvc,
                                   dmserver, EventSystem, helpsvc,
                                   lanmanserver, lanmanworkstation, Netman,
                                   Nla, Schedule, seclogon, SENS,
                                   ShellHWDetection, TrkWks, winmgmt,
                                   wuauserv, WZCSVC
svchost.exe                   1172 ERSvc
svchost.exe                   1416 RemoteRegistry
svchost.exe                   1652 W3SVC
svchost.exe                   1844 TermService

揭開SVCHOST.exe進程之謎
svchost.exe是nt核心系統的非常重要的進程,對於2000、xp來說,不可或缺.很多病毒、木馬也會調用它.所以,深入瞭解這個程序,是玩電腦的必修課之一.
大家對windows操作系統一定不陌生,但你是否注意到系統中"svchost.exe"這個文件呢？細心的朋友會發現windows中存在多個 "svchost"進程(通過"ctrl+alt+del"鍵打開任務管理器,這裏的"進程"標籤中就可看到了),爲什麼會這樣呢？下面就來揭開它神祕的面紗.
發現
在基於nt內核的windows操作系統家族中,不同版本的windows系統,存在不同數量的"svchost"進程,用戶使用"任務管理器"可查看其進程數目.一般來說,win2000有兩個svchost進程,winxp中則有四個或四個以上的svchost進程(以後看到系統中有多個這種進程,千萬別立即判定系統有病毒了喲),而win2003
server中則更多.這些svchost進程提供很多系統服務,如:rpcss服務(remote procedure call)、dmserver服務(logical
disk manager)、dhcp服務(dhcp client)等.
如果要了解每個svchost進程到底提供了多少系統服務,可以在win2000的命令提示符窗口中輸入"tlist -s"命令來查看,該命令是win2000 support
tools提供的.在winxp則使用"tasklist /svc"命令.
svchost中可以包含多個服務
深入
windows系統進程分爲獨立進程和共享進程兩種,"svchost.exe"文件存在於"%systemroot% system32"目錄下,它屬於共享進程.隨着windows系統服務不斷增多,爲了節省系統資源,微軟把很多服務做成共享方式,交由
svchost.exe進程來啓動.但svchost進程只作爲服務宿主,並不能實現任何服務功能,即它只能提供條件讓其他服務在這裏被啓動,而它自己卻不能給用戶提供任何服務.那這些服務是如何實現的呢？
原來這些系統服務是以動態鏈接庫(dll)形式實現的,它們把可執行程序指向 svchost,由svchost調用相應服務的動態鏈接庫來啓動服務.那svchost又怎麼知道某個系統服務該調用哪個動態鏈接庫呢？這是通過系統服務在註冊表中設置的參數來實現.下面就以rpcss(remote
procedure call)服務爲例,進行講解.
從啓動參數中可見服務是靠svchost來啓動的.
實例
以windows xp爲例,點擊"開始"/"運行",輸入"services.msc"命令,彈出服務對話框,然後打開"remote procedure call"屬性對話框,可以看到rpcss服務的可執行文件的路徑爲"c:/windows/system32/svchost
-k rpcss",這說明rpcss服務是依靠svchost調用"rpcss"參數來實現的,而參數的內容則是存放在系統註冊表中的.
在運行對話框中輸入"regedit.exe"後回車,打開註冊表編輯器,找到[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RpcSs]項,找到類型爲"reg_expand_sz"的鍵"ImagePath",其鍵值爲"%SystemRoot%/system32/svchost.exe
-k rpcss"(這就是在服務窗口中看到的服務啓動命令),另外在"Parameters"子項中有個名爲"ServiceDll"的鍵,其值爲"%SystemRoot%/system32/rpcss.dll",其中"rpcss.dll"就是rpcss服務要使用的動態鏈接庫文件.這樣
svchost進程通過讀取"rpcss"服務註冊表信息,就能啓動該服務了.
解惑
因爲svchost進程啓動各種服務,所以病毒、木馬也想盡辦法來利用它,企圖利用它的特性來迷惑用戶,達到感染、入侵、破壞的目的(如衝擊波變種病毒"w32.welchia.worm").但windows系統存在多個svchost進程是很正常的,在受感染的機器中到底哪個是病毒進程呢？這裏僅舉一例來說明.
假設windows xp系統被"w32.welchia.worm"感染了.正常的svchost文件存在於"c:/windows/system32"目錄下,如果發現該文件出現在其他目錄下就要小心了."w32.welchia.worm"病毒存在於"c:/windows/system32wins"目錄中,因此使用進程管理器查看svchost進程的執行文件路徑就很容易發現系統是否感染了病毒.windows系統自帶的任務管理器不能夠查看進程的路徑,可以使用第三方進程管理軟件,如"windows優化大師"進程管理器,通過這些工具就可很容易地查看到所有的svchost進程的執行文件路徑,一旦發現其執行路徑爲不平常的位置就應該馬上進行檢測和處理.

winlogon.exe
進程名稱:Microsoft Windows Logon Process
描述:WinLogon.exe是WindowsNT登陸管理器.它用於處理你係統的登陸和登陸過程.該進程在你係統的作用是非常重要的.
注意:winlogon.exe也可能是W32.Netsky.D@mm蠕蟲病毒.該病毒通過Email郵件傳播,當你打開病毒發送的附件時,即會被感染.
該病毒會創建SMTP引擎在受害者的計算機上,羣發郵件進行傳播.該病毒允許攻擊者訪問你的計算機,竊取密碼和個人數據.該進程的安全等級是建議刪除.
出品者:Microsoft Corp.
屬於:Microsoft Windows Operating System