Windows 的主要系統程序,你瞭解嗎?
你能看出你的系統程序有異常嗎?
方法/步驟
svchost.exe 程序檔案:svchost或者svchost.exe 程序名稱:microsoft service hostprocess 位置:C:\windows\system32\svchost.exe
描述:svchost.exe是系統程式,用於執行dll檔案。對系統的正常執行是非常重要的。
中毒跡象:svchost.exe也有可能是w32.welchia.worm病毒,它利用windowslsass漏洞,製造緩衝區溢位,導致計算機關機。正常的svchost檔案存在於“c:\windows\system32”目錄下,如果發現該檔案出現在其他目錄下就要小心了。“w32.welchia.worm”病毒存在於“c:\windows\system32\wins”目錄中,因此使用程序管理器檢視svchost程序的執行檔案路徑就很容易發現系統是否感染了病毒。windows低版本系統自帶的工作管理員不能檢視程序的路徑,可以使用第三方程序管理軟體,如“windows優化大師”程序管理器,通過這些工具可檢視到所有的svchost程序的執行檔案路徑,一旦發現其執行路徑有問題應該馬上進行檢測和處理。
注意:常被病毒冒充的程序名有:svch0st.exe、schvost.exe、scvhost.exe。
IEXPLORE.EXE 程序檔案:iexplore或者iexplore.exe 程序名稱:microsoft internet explorer
位置:C:\Program Files\Internet Explorer
描述:iexplore.exe應用程式讓你在網上衝浪,和訪問本地internet網路。不是純粹的系統程式,但是如果終止它,可能會導致不可知的問題。
中毒跡象:搜尋該程式iexplore.exe,不是位於C:\Program Files資料夾,而是在C:\WINDOWS\system32\下面,可能是病毒。
注意:iexplore.exe也有可能是Trojan.KillAV.B病毒,該病毒會終止你的反病毒軟體和一些windows系統工具。
rundll32.exe 程序檔案:rundll32或者rundll32.exe 程序名稱:microsoftrundll32 位置:C:\windows\system32
描述:rundll32.exe用於在記憶體中執行32位的DLL檔案,會在應用程式中被使用。對系統的正常執行是非常重要的。
中毒跡象:在開啟控制面板裡的某些專案時,出現rundll32.exe找不到應用程式的錯誤提示。
注意:rundll32.exe也可能是w32.miroot.worm病毒。該病毒允許攻擊者訪問你的計算機,竊取密碼和個人資料。請注意此程序所在的資料夾,正常的程序應該是在windows的system32和system32\\dllcache下面。
ctfmon.exe 名稱:alternative user input services 描述:ctfmon.exe是有關輸入法的一個可執行程式。它可以選擇使用者文字輸入程式和微軟office xp語言條。不是純粹的系統程式。
中毒跡象:發現ctfmon.exe不在System32目錄下,ctfmon.exe程序佔用資源太多,Win7系統運行了ctfmon.exe
WINLOGON.EXE 程序檔案:winlogon or winlogon.exe 程序名稱:microsoft windows logonprocess 位置:C:\windows\system32
描述:系統核心程序。winlogon.exe是windows域登陸管理器。它用於處理你登陸和退出系統過程。該程序在你係統的作用是非常重要的。
中毒跡象:正常情況下有且只有一個winlogon.exe程序,其使用者名稱為“SYSTEM”。如果出現了兩個winlogon.exe,且其中一個為大寫,使用者名稱為當前系統使用者的話,表明可能存在木馬。
注意:winlogon.exe也可能是蠕蟲病毒。該病毒通過email郵件傳播,當你開啟病毒傳送的附件時,即會被感染。該病毒允許攻擊者訪問你的計算機,竊取密碼和個人資料。
wdfmgr.exe 程序檔案:wdfmgr或者wdfmgr.exe 程序名稱:windows driver foundation manager 位置:C:\WINDOWS\System32\wdfmgr.exe
描述:wdfmgr.exe是微軟microsoft windows media player10播放器的相關程式。該程序用於減少相容性問題。不是純粹的系統程式。
中毒解決:出現提示缺少exe檔案問題的大部分原因是該檔案被木馬病毒破壞,導致系統程式找不到此檔案,出現錯誤提示框,或程式無法執行。解決此問題只需找到專業的exe檔案下載網站,下載該檔案後,找到適合程式的檔案版本,複製到相應目錄。即可解決。
alg.exe 程序檔案:alg或者alg.exe
程序名稱:application layergateway service
描述:alg.exe是微軟windows作業系統自帶的程式。它用於處理微軟windows網路連線共享和網路連線防火牆。對系統的正常執行是非常重要的。
注意:alg.exe也有可能是Troj/Rootkit Aa病毒,該病毒允許攻擊者訪問系統。正常的alg.exe在c:\windows\system32\,而病毒的alg.exe則可能位於c:\windows。
smss.exe 程序檔案:smss或者smss.exe 程序名稱:session manager subsystem 位置:C:\WINDOWS\System32
描述:smss.exe程序呼叫對話管理子系統和負責操作你係統的對話。對系統的正常執行是非常重要的。
注意:smss.exe也可能是win32.ladex.a、Trojan/PSW.MiFeng等木馬病毒。該木馬允許攻擊者訪問你的計算機,竊取密碼和個人資料。
explorer.exe 程序檔案:explorer或者explorer.exe 程序名稱:microsoft windows explorer 描述:explorer.exe是windows程式管理器或者windows資源管理器,它用於管理windows圖形殼,包括開始選單、工作列、桌面和檔案管理。刪除該程式會導致windows圖形介面無法使用。
注意:explorer.exe也有可能是w32.Codered等病毒。該病毒通過email郵件傳播,當開啟病毒傳送的附件時,即被感染,會在受害者機器上建立SMTP服務,用於更大範圍的傳播。允許攻擊者訪問你的計算機、竊取密碼和個人資料。
csrss.exe 程序檔案:csrss或者csrss.exe 程序名稱:microsoft client/server runtime server subsystem 位置:C:\WINDOWS\System32
描述:csrss.exe是微軟客戶端/服務端執行時子系統。該程序管理windows圖形相關任務。對系統的正常執行是非常重要的。
中毒跡象:在正常情況下,csrss.exe位於System32資料夾中,若系統中出現兩個csrss.exe檔案(其中一個位於Windows資料夾中),則很有可能是感染了Trojan.Gutta或[email protected]病毒。
注意:csrss.exe也有可能是[email protected]、W32.Webus Trojan、Win32.Ladex.a等病毒建立的。該病毒通過Email郵件進行傳播,當你開啟附件時,即被感染。該蠕蟲會在受害者機器上建立SMTP服務,用以自身傳播。該病毒允許攻擊者訪問你的計算機,竊取密碼和個人資料。這個程序的安全等級是建議立即進行刪除。
lsass.exe 程序檔案:lsass或者lsass.exe
程序名稱:Local Security Authority Service、本地安全許可權服務
使用埠:49154 (TCP)
描述:lsass.exe是一個關於微軟安全機制的系統程序,主要處理一些特殊的安全機制和登入策略。
中毒跡象:如果你的啟動選單(開始-執行-輸入“msconfig”)裡有個lsass.exe啟動項,就是木馬病毒,中毒後,在程序裡可以見到有兩個相同的程序,分別是lsass.exe和LSASS.EXE,同時在windows下生成LSASS.EXE和exert.exe兩個可執行檔案,且在後臺執行,LSASS.EXE管理exe類執行檔案,exert.exe管理程式退出,還會在D盤根目錄下產生autorun.inf兩個檔案,同時侵入登錄檔破壞系統檔案關聯。
services.exe
程序檔案:services 或者 services.exe
程序名稱:Windows Service Controller
位置:C:\WINDOWS\system
描述:services.exe是Windows作業系統的一部分。用於管理啟動和停止服務。該程序也會處理在計算機啟動和關機時執行的服務。對系統的正常執行是非常重要的。終止程序後會重啟。
中毒跡象:正常的services.exe位於%systemroot%\System32資料夾中,也就是在程序裡使用者名稱顯示為“system”,不過services也可能是W32.Randex.R(儲存在%systemroot%\system32\目錄)和Sober.P (儲存在%systemroot%\Connection Wizard\Status\目錄)木馬。該木馬允許攻擊者訪問你的計算機,竊取密碼和個人資料。該程序的安全等級是建議立即刪除。
注意:services.exe是MSN蠕蟲變種,向MSN聯絡人傳送不同語言的誘惑文字訊息和帶毒壓縮包,當聯絡人接收並開啟帶毒壓縮包中的病毒檔案時系統受到感染。
conime.exe
程序檔案:conime 或者 conime.exe
位置:C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\dllcache\conime.exe
描述:輸入法編輯器相關程式。允許使用者使用標準鍵盤就能輸入複雜的字元與符號。重要的系統程序,它不會隨系統的啟動而自動啟動,只會在啟動命令列才會啟動,但如果刪除或者終止將導致特殊文字的輸入困難,微軟新版系統中此程序不會執行。
注意:可能是一個bfghost1.0遠端控制後門程式。此程式允許攻擊者訪問你的計算機,竊取密碼和個人資料。
spoolsv.exe
程序檔案:spoolsv or spoolsv.exe
描述:spoolsv.exe 是Print Spooler的程序,管理所有本地和網路列印佇列及控制所有列印工作。如果此服務被停用,本地計算機上的列印將不可用。該程序屬 Windows 系統服務。spoolsv.exe用於將Windows印表機任務傳送給本地印表機,快取列印資料等,通常情況下會隨著系統啟動啟動。
注意:spoolsv.exe也可能是Backdoor.Ciadoor.B木馬。該木馬允許攻擊者訪問你的計算機,竊取密碼和個人資料。該程序的安全級別是建議立即刪除。
中毒跡象:”開始“”執行“輸入msconfig,回車,開啟實用配置程式,選擇“啟動”, 感染以後會在啟動項裡面發現Spoolsv.exe啟動項, 每次進入windows會有NTservice的對話方塊。
開啟工作管理員,會發現spoolsv.exe程序,而且CPU佔用率很高。
wmiprvse.exe 程序檔案:wmiprvse或者wmiprvse.exe
程序名稱:microsoft windows management instrumentation
位置:C:\WINDOWS\System32\Wbem
描述:用於通過winmgmt.exe程式處理wmi操作。對系統的正常執行是非常重要的。
中毒跡象:不停呼叫wmiprvse.exe,或wmiprvse.exe程序很多。
注意:W32/SillyFDC-AW(蠕蟲病毒)、W32/Sonebot-B(木馬後門)等會使用相同的名稱來感染Windows系統。
internat.exe
程序檔案: internat 或者 internat.exe
程序名稱: Microsoft Input Locales
描述:internat.exe是微軟Windows多語言輸入程式。對系統的正常執行是非常重要的。
注意:internat.exe也有可能是Win32.Lydra.a木馬的一部分。該木馬允許攻擊者訪問你的計算機,竊取密碼和個人資料。該程序的安全等級是建議刪除。