瑞星提示我中了Backdoor.Gpigeon.uql 木馬,文件名是IEXPLORE。EXE 為什么查毒后殺毒軟件說IEXPLORE.EXE是Backdo...
C:\WINDOWS\System32\smss.exe Session Manager Subsystem,該進程為會話管理子系統(tǒng)用以初始化系統(tǒng)變量,MS-DOS驅(qū)動名稱類似LPT1以及COM,調(diào)用Win32殼子系統(tǒng)和運行在Windows登陸過程。它是一個會話管理子系統(tǒng),負責啟動用戶會話。這個進程是通過系統(tǒng)進程初始化的并且對許多活動的,包括已經(jīng)正在運行的Winlogon,Win32(Csrss.exe)線程和設定的系統(tǒng)變量作出反映。在它啟動這些進程后,它等待Winlogon或者Csrss結(jié)束。如果這些過程時正常的,系統(tǒng)就關掉了。如果發(fā)生了什么不可預料的事情,smss.exe就會讓系統(tǒng)停止響應(掛起)。要注意:如果系統(tǒng)中出現(xiàn)了不只一個smss.exe進程,而且有的smss.exe路徑是"%WINDIR%\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,這是一種Windows下的PE病毒,它采用VB6編寫 ,是一個自動訪問某站點的木馬病毒。該病毒會在注冊表中多處添加自己的啟動項,還會修改系統(tǒng)文件WIN.INI,并在[WINDOWS]項中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除時請先結(jié)束病毒進程smss.exe,再刪除%WINDIR%下的smss.exe文件,然后清除它在注冊表和WIN.INI文件中的相關項即可。
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe Windows Service Controller,管理Windows服務。大多數(shù)的系統(tǒng)核心模式進程是作為系統(tǒng)進程在運行。打開管理工具中的服務,可以看到有很多服務都是在調(diào)用service.exe。正常的services.exe應位于%System%文件夾中,如果在%Windir%\Connection Wizard\Status中發(fā)現(xiàn)services.exe和csrss.exe、smss.exe的話,則是中了Worm_Sober.N蠕蟲病毒。病毒運行后,顯示一下對話框,看上去是一個錯誤信息。同時,在%Windir%\Connection Wizard\Status和%system%目錄下生成多個文件。病毒會在被感染用戶的系統(tǒng)內(nèi)搜索多種擴展名的文件,找到電子郵件地址,并使用的自帶的SMTP向這些地址發(fā)送帶毒的電子郵件進行傳播。
C:\WINDOWS\system32\lsass.exe 本地安全權(quán)限服務控制Windows安全機制。管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅(qū)動程序等。它會為使用Winlogon服務的授權(quán)用戶生成一個進程。這個進程是通過使用授權(quán)的包,例如默認的msgina.dll來執(zhí)行的。如果授權(quán)是成功的,lsass就會產(chǎn)生用戶的進入令牌,令牌別使用啟動初始的Shell。其他的由用戶初始化的進程會繼承這個令牌的。而Windows活動目錄遠程堆棧溢出漏洞,正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩沖區(qū)邊界檢查,構(gòu)建超過1000個"AND"的請求,并發(fā)送給服務器,導致觸發(fā)堆棧溢出,使LSASS.EXE服務崩潰,系統(tǒng)在30秒內(nèi)重新啟動。這里請記住該進程的正常路徑為C:\WINDOWS\system32,一些病毒,如W32.Nimos.Worm病毒會在其它位置模仿LSASS.EXE來運行。
C:\WINDOWS\system32\svchost.exe ervice Host Process是一個標準的動態(tài)連接庫主機處理服務。Svchost.exe文件對那些從動態(tài)連接庫(DLL)中運行的服務來說是一個普通的主機進程名。Svhost.exe文件定位在系統(tǒng)的Windows\system32文件夾下。在啟動的時候,Svchost.exe檢查注冊表中的位置來構(gòu)建需要加載的服務列表。這就會使多個Svchost.exe在同一時間運行。Windows 2000一般有2個Svchost進程,一個是RPCSS(Remote Procedure Call)服務進程,另外一個則是由很多服務共享的一個Svchost.exe;而在windows XP中,則一般有4個以上的Svchost.exe服務進程;Windows 2003 server中則更多。Svchost.exe是一個系統(tǒng)的核心進程,并不是病毒進程。但由于Svchost.exe進程的特殊性,所以病毒也會千方百計的入侵Svchost.exe。通過察看Svchost.exe進程的執(zhí)行路徑可以確認是否中毒。如果您懷疑計算機有可能被病毒感染,Svchost.exe的服務出現(xiàn)異常的話通過搜索Svchost.exe文件就可以發(fā)現(xiàn)異常情況。一般只會在C:\Windows\System32目錄下找到一個Svchost.exe程序,如果您在其他目錄下發(fā)現(xiàn)Svchost.exe程序的話,那很可能就是中毒了。
C:\Program Files\Rising\Rav\CCenter.exe 瑞星信息中心,是瑞星殺毒軟件的組件。
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe 瑞星實時監(jiān)控SERVICE程序,負責為多用戶打開小傘,增強保護小傘不被關閉。注意,正常的瑞星進程應位于瑞星殺毒軟件安裝文件夾中,而某些病毒可能冒其名以騙過用戶,如Worm_Lovgate.AF(愛之門)蠕蟲病毒,它則位于System32中。
C:\WINDOWS\Explorer.EXE 可能有問題
C:\WINDOWS\system32\spoolsv.exe Printer Spooler Service,Windows打印任務控制程序,用以打印機就緒。緩沖(spooler)服務是管理緩沖池中的打印和傳真作業(yè)。
C:\Program Files\Common Files\Autodesk 不清楚Shared\Service\AdskScSrv.exe 安裝了Autodesk系列產(chǎn)品(如AutoCAD、3D Studio VIZ、Autodesk VIZ等)后出現(xiàn)的進程。該程序位于C:\Program Files\Common Files\Autodesk Shared\中,該目錄用于存放Autodesk系列產(chǎn)品的共用程序。
C:\Program Files\CPUCooL\CooLSrv.exe CPUCooL是一款運行在Windows環(huán)境下的CPU降溫軟件。它提供支持在Windows環(huán)境中最佳化CPU功能(支持AMD、Cyrics、Intel)和監(jiān)視、顯示主機版溫度、風扇速度和電壓(支持Intel、SIS、VIA、ALI等晶片組)。
C:\Program Files\Common 不清楚Files\Real\Update_OB\realsched.exe RealPlayer的自動更新及檢測服務,這個服務可以從RealPlayer的服務器上獲取一些版本更新等消息。
C:\Program Files\D-Tools\daemon.exe Daemon Tools是一個不錯的模擬備份并且合并保護盤的軟件,可以備份SafeDisc保護的軟件,可以打開CUE, ISO, IMB, CCD, BWT, MDS, CDI, VCD等這些虛擬光驅(qū)的鏡像文件。有了它,您就可以把光盤鏡像直接變成一個光盤盤符,也就是說您可以不用把鏡像釋放到硬盤或者再刻出光盤就可以當做光驅(qū)一樣用了。
C:\WINDOWS\system32\nvsvc32.exe NVIDIA Driver Helper Service,NVIDA顯卡驅(qū)動相關程序。
C:\WINDOWS\system32\rundll32.exe Windows RUNDLL32 Helper,Windows Rundll32為了需要調(diào)用DLLs的程序。該文件可有被QQ白骨精病毒所感染,應該先結(jié)束此進程,然后刪除%SysDri%\Rundll32.exe文件,再去找一個正常的Rundll32.exe恢復即可。QQ白骨精病毒是一種用VC編寫的發(fā)送QQ尾巴和盜取信息的木馬病毒,它通過在QQ上發(fā)送以誘惑性文字為名的EXE文件(如:超級MM,超級FLASH,請您笑納.EXE)來傳播。病毒會搜索QQ好友并自動發(fā)送病毒文件,并盜取被感染的電腦中的QQ密碼。若中了此病毒請用KavQQ最新版殺毒。
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe 雅虎中國Yahoo China出品雅虎助手軟件相關升級模塊。
C:\WINDOWS\system32\RunDLL32.exe Windows RUNDLL32 Helper,Windows Rundll32為了需要調(diào)用DLLs的程序。該文件可有被QQ白骨精病毒所感染,應該先結(jié)束此進程,然后刪除%SysDri%\Rundll32.exe文件,再去找一個正常的Rundll32.exe恢復即可。QQ白骨精病毒是一種用VC編寫的發(fā)送QQ尾巴和盜取信息的木馬病毒,它通過在QQ上發(fā)送以誘惑性文字為名的EXE文件(如:超級MM,超級FLASH,請您笑納.EXE)來傳播。病毒會搜索QQ好友并自動發(fā)送病毒文件,并盜取被感染的電腦中的QQ密碼。若中了此病毒請用KavQQ最新版殺毒。
C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe 雅虎助手,流氓軟件
C:\Program Files\Rising\Rav\RavTask.exe 瑞星相關進程。
C:\Program Files\Rising\Rav\Ravmon.exe 瑞星實時監(jiān)控SHELL程序(就是任務欄里的那個小綠傘)
C:\WINDOWS\system32\ctfmon.exe Alternative User Input Services,控制Alternative User Input Text Processor (TIP)和Microsoft Office語言條。Ctfmon.exe提供語音識別、手寫識別、鍵盤、翻譯和其它用戶輸入技術的支持。
C:\Program Files\Rising\Rav\Rav.exe 瑞星進程。
C:\WINDOWS\system32\rundll32.exe Windows RUNDLL32 Helper,Windows Rundll32為了需要調(diào)用DLLs的程序。該文件可有被QQ白骨精病毒所感染,應該先結(jié)束此進程,然后刪除%SysDri%\Rundll32.exe文件,再去找一個正常的Rundll32.exe恢復即可。QQ白骨精病毒是一種用VC編寫的發(fā)送QQ尾巴和盜取信息的木馬病毒,它通過在QQ上發(fā)送以誘惑性文字為名的EXE文件(如:超級MM,超級FLASH,請您笑納.EXE)來傳播。病毒會搜索QQ好友并自動發(fā)送病毒文件,并盜取被感染的電腦中的QQ密碼。若中了此病毒請用KavQQ最新版殺毒。
C:\Program Files\Thunder 迅雷號稱是最快的下載工具,它是一款最新型的基于P2SP技術的下載軟件,兼容傳統(tǒng)的P2S和現(xiàn)在流行的P2P下載技術。尤其在下載游戲、工具、MP3音樂方面有著突出的效果。迅雷的最大特色就是其超群的下載速度,優(yōu)于別的同類軟件。迅雷針對寬帶用戶做了特別的優(yōu)化,能夠充分利用寬帶上網(wǎng)的特點,帶給用戶高速下載的全新體驗!而且在用戶文件管理方面提供了比較完備的支持,尤其是對于用戶比較關注的配置、代理服務器、文件類別管理、批量下載等方面進行了擴充和完善,使得迅雷可以滿足中、高級下載用戶的大部分專業(yè)需求。Network\Thunder\Thunder.exe 迅雷號稱是最快的下載工具,它是一款最新型的基于P2SP技術的下載軟件,兼容傳統(tǒng)的P2S和現(xiàn)在流行的P2P下載技術。尤其在下載游戲、工具、MP3音樂方面有著突出的效果。迅雷的最大特色就是其超群的下載速度,優(yōu)于別的同類軟件。迅雷針對寬帶用戶做了特別的優(yōu)化,能夠充分利用寬帶上網(wǎng)的特點,帶給用戶高速下載的全新體驗!而且在用戶文件管理方面提供了比較完備的支持,尤其是對于用戶比較關注的配置、代理服務器、文件類別管理、批量下載等方面進行了擴充和完善,使得迅雷可以滿足中、高級下載用戶的大部分專業(yè)需求。
C:\DOCUME~1\cosml\LOCALS~1\Temp\HijackThis.exe Merijn Hijackthis程序,用于監(jiān)視您的瀏覽器配置和插件。Hijackthis能夠?qū)⒔壖苣鸀g覽器的程序揪出來并且移除之。或許您只是瀏覽某個網(wǎng)站、安裝了某個軟件,就發(fā)現(xiàn)瀏覽器設定已經(jīng)被綁架了,一般常見的綁架方式莫過于強制竄改您的瀏覽器首頁設定、搜尋頁設定,現(xiàn)在有了這個工具,可以將所有可疑的程序全抓出來,再讓您判斷哪個程序是“肇事者”,然后將其除去。
C:\WINDOWS\system32\Rundll32.exe Windows RUNDLL32 Helper,Windows Rundll32為了需要調(diào)用DLLs的程序。該文件可有被QQ白骨精病毒所感染,應該先結(jié)束此進程,然后刪除%SysDri%\Rundll32.exe文件,再去找一個正常的Rundll32.exe恢復即可。QQ白骨精病毒是一種用VC編寫的發(fā)送QQ尾巴和盜取信息的木馬病毒,它通過在QQ上發(fā)送以誘惑性文字為名的EXE文件(如:超級MM,超級FLASH,請您笑納.EXE)來傳播。病毒會搜索QQ好友并自動發(fā)送病毒文件,并盜取被感染的電腦中的QQ密碼。若中了此病毒請用KavQQ最新版殺毒。
C:\WINDOWS\system32\Rundll32.exe
中了木馬不要著急,我來幫你:
木馬的查殺,可以采用自動和手動兩種方式。最簡單的刪除木馬的方法是安裝殺毒軟件(自動),現(xiàn)在很多殺毒軟件能刪除網(wǎng)絡最猖獗的木馬,建議安裝金山毒霸或安全之星XP,它們在查殺木馬方面很有一套!
由于殺毒軟件的升級多數(shù)情況下慢于木馬的出現(xiàn),因此學會手工查殺非常必要。方法是:
1.)檢查注冊表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”開頭的鍵值名,其下有沒有可疑的文件名。如果有,就需要刪除相應的鍵值,再刪除相應的應用程序。
2.)檢查啟動組
木馬們?nèi)绻[藏在啟動組雖然不是十分隱蔽,但這里的確是自動加載運行的好場所,因此還是有木馬喜歡在這里駐留的。啟動組對應的文件夾為:C:\windows\start menu\programs\startup,在注冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意經(jīng)常檢查這兩個地方哦!
3.)Win.ini以及System.ini也是木馬們喜歡的隱蔽場所,要注意這些地方
比方說,Win.ini的[Windows]小節(jié)下的load和run后面在正常情況下是沒有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小節(jié)的Shell=Explorer.exe后面也是加載木馬的好場所,因此也要注意這里了。當你看到變成這樣:Shell=Explorer.exe wind0ws.exe,請注意那個wind0ws.exe很有可能就是木馬服務端程序!趕快檢查吧。
4.)對于下面所列文件也要勤加檢查,木馬們也很可能隱藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件啟動,那么運行這個程序,看木馬是否被裝入內(nèi)存,端口是否打開。如果是的話,則說明要么是該文件啟動木馬程序,要么是該文件捆綁了木馬程序,只好再找一個這樣的程序,重新安裝一下了。
6.)萬變不離其宗,木馬啟動都有一個方式,它只是在一個特定的情況下啟動
所以,平時多注意一下你的端口,查看一下正在運行的程序,用此來監(jiān)測大部分木馬應該沒問題的。
另外,你也可以試試用下面的辦法來解決:
從網(wǎng)上下一個叫“冰刃”的軟件。這是一個綠色免安裝的小軟件,可以放心使用。
這個是下載地址。
http://www.ttian.net/website/2005/0829/391.html
這個是它的詳細用法。
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般來說,不管是木馬、病毒進入我們的機器后都是“三隱”的即隱進程、隱服務、隱文件的,利害的能將殺毒軟件有實時監(jiān)控給殺死!但在這個冰刃里,它是無法遁身的。開啟的非法進程會以紅色顯示出來。
至于殺毒軟件,應該說各人有各人的喜好,下面給出的鏈接上你看看比較一下:
六款主流殺毒軟件橫向評測
http://it.sohu.com/2004/05/19/39/article220183986.shtml
消費者該如何選擇?六款殺毒軟件橫向評測(這個要詳細些)
http://tech.tom.com/1380/1383/2005513-197230.html
手工查殺灰鴿子2005的關鍵是找到病毒注冊的系統(tǒng)服務名及病毒文件X.exe所在位置。用HijackThis 1.99.0掃日志即可達到此目的(見附圖)。HijackThis 1.99.0的下載地址:http://forum.ikaka.com/download.asp?id=5188960。這步操作在普通WINDOWS模式下即可完成,不一定非在“安全模式”下完成。
安全模式 刪除
不行的話 你可以下個 木馬專殺 殺木馬 很有效果
加我QQ也可以 我把木馬專殺 傳給你 81891819
不用那么麻煩
我以前中過的
用金山毒霸就可以了
由騰17524791731: 我用瑞星從conime查出病毒 Backdoor.Win32.Puppet.e 清除成功了
湘潭縣肘形: ______ conime是輸入法.可能你中的毒感染了這個文件 開始菜單-運行-輸入“msconfig”-確定-打開“系統(tǒng)配置實用程序”-“啟動”選項卡-去掉conime.exe選項前的“勾”,點擊確定. 2.打開任務管理器(ctrl+alt+del),結(jié)束conime.exe進程,然后在...
由騰17524791731: 中了這個病毒:Backdoor.Win32.Gpigeon2008.fb 用瑞星也刪不掉,怎么辦啊 ?
湘潭縣肘形: ______ 你看下你的啟動項里是不是又可疑啟動項.如果沒有就看這個病毒在哪個文件將文件刪除. 如果這2個都解決不了.建議到安全模式殺毒
由騰17524791731: 我每次開機都發(fā)現(xiàn)名叫BackdoorGpigeon.shk的病?
湘潭縣肘形: ______ 1)試試進入安全模式殺毒 2)你可以下載一個專殺 病毒分類 WINDOWS下的PE病毒 病毒名稱 Backdoor.GPigeon 別 名 灰鴿子病毒 行為類型 WINDOWS下的木馬程序 灰鴿子病毒. 灰鴿子病毒專題:
由騰17524791731: Backdoor.Gpigeon6.an病毒如何殺?!!該病毒在
湘潭縣肘形: ______ 注:清除灰鴿子要在安全模式(開機按F8)下操作 第一步,打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點擊“查看”,取消“隱藏受保護的操作系統(tǒng)文...
由騰17524791731: 木馬名稱:Backdoor.GPigeon.3261怎么清除啊? -
湘潭縣肘形: ______ 你是怎么中灰鴿子木馬的啊??我交你個手動清楚的方法` 1、找到c:\windows\taskman32.exe刪除,這是個隱藏文件,罪魁禍首就是它. 2、運行regedit,搜索taskman32.exe,所有相關項刪除. 3、再用瑞星殺毒,C:\Program Files\Internet ...
由騰17524791731: 我用瑞星殺毒 查出來的Backdoor.Win32.PcClient.fwz 總是殺不掉 然后用360粉碎機之后 又用瑞星查還是有這個病毒 我該怎么辦
湘潭縣肘形: ______ 可以備份數(shù)據(jù)然后把XPghost回去就可以了 歡迎采納 有不懂請補充問題
由騰17524791731: 瑞星殺毒軟件開機殺毒問題每次開機殺毒瑞星殺毒軟件都會提醒刪除了一
湘潭縣肘形: ______ 1.殺毒時最好進入安全模式.這樣會比較徹底.引導型病毒只能進入DOS狀態(tài)殺毒,但畢竟不多. 2、每種殺毒軟件能查殺的病毒能達到90%就算是很高了.建議使用2種以上的殺毒軟件結(jié)合殺毒. 3、現(xiàn)在的木馬比病毒更多,而且更可怕.一般的殺毒軟件是殺不掉的.建議適用木馬克星、木馬殺客之類的軟件查殺. 祝你好運. 4、流氓軟件要用專門的清理軟件才能去除.超級兔子和流氓軟件清理大師或許可以幫上你的忙.建議到“綠色軟件聯(lián)盟”搜索“流氓”字眼,挑幾個好用的試試. 流氓軟件很可惡,大概要占用10%~15%的內(nèi)存.我用的是512M的.以前是55/60%,現(xiàn)在是73%!剩余.
由騰17524791731: 我用的是瑞星殺毒軟件,最近每次殺毒都能殺到二三個Backdoor.Win32.RWX.ta個病毒,為什么機器總是中這種毒?向高手請教!!!
湘潭縣肘形: ______ 是木馬保護程序的一中 每幾分鐘甚至幾秒中檢測一次,當保護文件發(fā)現(xiàn)被保護文件被刪或者運行不正常就會自動復制一個并運行 建議:重裝系統(tǒng)
由騰17524791731: 電腦中病毒了,瑞星殺不掉,希望大家?guī)蛶兔!
湘潭縣肘形: ______ Backdoor.Win32.Drwolf.fep (后門程序) Rootkit類木馬具有很強的隱蔽性與再生性,他可以使用多種方式再次激活自己,比如感染可執(zhí)行文件,AutoRun.inf或者插入系統(tǒng)進程. 由于此類木馬的種類非常多,不同的種類也有不同的癥狀,手動清...
由騰17524791731: 電腦中毒啦!求助! -
湘潭縣肘形: ______ 您好不用擔心;既然殺毒軟件能查出來就一定能殺,所謂殺不了,是因為病毒在運行;正在運行的程序不能修改或刪除的.重新啟動,按住F8,進入安全模式,再從安全模式中啟動殺毒軟件就可以輕松殺毒了....
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe Windows Service Controller,管理Windows服務。大多數(shù)的系統(tǒng)核心模式進程是作為系統(tǒng)進程在運行。打開管理工具中的服務,可以看到有很多服務都是在調(diào)用service.exe。正常的services.exe應位于%System%文件夾中,如果在%Windir%\Connection Wizard\Status中發(fā)現(xiàn)services.exe和csrss.exe、smss.exe的話,則是中了Worm_Sober.N蠕蟲病毒。病毒運行后,顯示一下對話框,看上去是一個錯誤信息。同時,在%Windir%\Connection Wizard\Status和%system%目錄下生成多個文件。病毒會在被感染用戶的系統(tǒng)內(nèi)搜索多種擴展名的文件,找到電子郵件地址,并使用的自帶的SMTP向這些地址發(fā)送帶毒的電子郵件進行傳播。
C:\WINDOWS\system32\lsass.exe 本地安全權(quán)限服務控制Windows安全機制。管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅(qū)動程序等。它會為使用Winlogon服務的授權(quán)用戶生成一個進程。這個進程是通過使用授權(quán)的包,例如默認的msgina.dll來執(zhí)行的。如果授權(quán)是成功的,lsass就會產(chǎn)生用戶的進入令牌,令牌別使用啟動初始的Shell。其他的由用戶初始化的進程會繼承這個令牌的。而Windows活動目錄遠程堆棧溢出漏洞,正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩沖區(qū)邊界檢查,構(gòu)建超過1000個"AND"的請求,并發(fā)送給服務器,導致觸發(fā)堆棧溢出,使LSASS.EXE服務崩潰,系統(tǒng)在30秒內(nèi)重新啟動。這里請記住該進程的正常路徑為C:\WINDOWS\system32,一些病毒,如W32.Nimos.Worm病毒會在其它位置模仿LSASS.EXE來運行。
C:\WINDOWS\system32\svchost.exe ervice Host Process是一個標準的動態(tài)連接庫主機處理服務。Svchost.exe文件對那些從動態(tài)連接庫(DLL)中運行的服務來說是一個普通的主機進程名。Svhost.exe文件定位在系統(tǒng)的Windows\system32文件夾下。在啟動的時候,Svchost.exe檢查注冊表中的位置來構(gòu)建需要加載的服務列表。這就會使多個Svchost.exe在同一時間運行。Windows 2000一般有2個Svchost進程,一個是RPCSS(Remote Procedure Call)服務進程,另外一個則是由很多服務共享的一個Svchost.exe;而在windows XP中,則一般有4個以上的Svchost.exe服務進程;Windows 2003 server中則更多。Svchost.exe是一個系統(tǒng)的核心進程,并不是病毒進程。但由于Svchost.exe進程的特殊性,所以病毒也會千方百計的入侵Svchost.exe。通過察看Svchost.exe進程的執(zhí)行路徑可以確認是否中毒。如果您懷疑計算機有可能被病毒感染,Svchost.exe的服務出現(xiàn)異常的話通過搜索Svchost.exe文件就可以發(fā)現(xiàn)異常情況。一般只會在C:\Windows\System32目錄下找到一個Svchost.exe程序,如果您在其他目錄下發(fā)現(xiàn)Svchost.exe程序的話,那很可能就是中毒了。
C:\Program Files\Rising\Rav\CCenter.exe 瑞星信息中心,是瑞星殺毒軟件的組件。
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe 瑞星實時監(jiān)控SERVICE程序,負責為多用戶打開小傘,增強保護小傘不被關閉。注意,正常的瑞星進程應位于瑞星殺毒軟件安裝文件夾中,而某些病毒可能冒其名以騙過用戶,如Worm_Lovgate.AF(愛之門)蠕蟲病毒,它則位于System32中。
C:\WINDOWS\Explorer.EXE 可能有問題
C:\WINDOWS\system32\spoolsv.exe Printer Spooler Service,Windows打印任務控制程序,用以打印機就緒。緩沖(spooler)服務是管理緩沖池中的打印和傳真作業(yè)。
C:\Program Files\Common Files\Autodesk 不清楚Shared\Service\AdskScSrv.exe 安裝了Autodesk系列產(chǎn)品(如AutoCAD、3D Studio VIZ、Autodesk VIZ等)后出現(xiàn)的進程。該程序位于C:\Program Files\Common Files\Autodesk Shared\中,該目錄用于存放Autodesk系列產(chǎn)品的共用程序。
C:\Program Files\CPUCooL\CooLSrv.exe CPUCooL是一款運行在Windows環(huán)境下的CPU降溫軟件。它提供支持在Windows環(huán)境中最佳化CPU功能(支持AMD、Cyrics、Intel)和監(jiān)視、顯示主機版溫度、風扇速度和電壓(支持Intel、SIS、VIA、ALI等晶片組)。
C:\Program Files\Common 不清楚Files\Real\Update_OB\realsched.exe RealPlayer的自動更新及檢測服務,這個服務可以從RealPlayer的服務器上獲取一些版本更新等消息。
C:\Program Files\D-Tools\daemon.exe Daemon Tools是一個不錯的模擬備份并且合并保護盤的軟件,可以備份SafeDisc保護的軟件,可以打開CUE, ISO, IMB, CCD, BWT, MDS, CDI, VCD等這些虛擬光驅(qū)的鏡像文件。有了它,您就可以把光盤鏡像直接變成一個光盤盤符,也就是說您可以不用把鏡像釋放到硬盤或者再刻出光盤就可以當做光驅(qū)一樣用了。
C:\WINDOWS\system32\nvsvc32.exe NVIDIA Driver Helper Service,NVIDA顯卡驅(qū)動相關程序。
C:\WINDOWS\system32\rundll32.exe Windows RUNDLL32 Helper,Windows Rundll32為了需要調(diào)用DLLs的程序。該文件可有被QQ白骨精病毒所感染,應該先結(jié)束此進程,然后刪除%SysDri%\Rundll32.exe文件,再去找一個正常的Rundll32.exe恢復即可。QQ白骨精病毒是一種用VC編寫的發(fā)送QQ尾巴和盜取信息的木馬病毒,它通過在QQ上發(fā)送以誘惑性文字為名的EXE文件(如:超級MM,超級FLASH,請您笑納.EXE)來傳播。病毒會搜索QQ好友并自動發(fā)送病毒文件,并盜取被感染的電腦中的QQ密碼。若中了此病毒請用KavQQ最新版殺毒。
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe 雅虎中國Yahoo China出品雅虎助手軟件相關升級模塊。
C:\WINDOWS\system32\RunDLL32.exe Windows RUNDLL32 Helper,Windows Rundll32為了需要調(diào)用DLLs的程序。該文件可有被QQ白骨精病毒所感染,應該先結(jié)束此進程,然后刪除%SysDri%\Rundll32.exe文件,再去找一個正常的Rundll32.exe恢復即可。QQ白骨精病毒是一種用VC編寫的發(fā)送QQ尾巴和盜取信息的木馬病毒,它通過在QQ上發(fā)送以誘惑性文字為名的EXE文件(如:超級MM,超級FLASH,請您笑納.EXE)來傳播。病毒會搜索QQ好友并自動發(fā)送病毒文件,并盜取被感染的電腦中的QQ密碼。若中了此病毒請用KavQQ最新版殺毒。
C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe 雅虎助手,流氓軟件
C:\Program Files\Rising\Rav\RavTask.exe 瑞星相關進程。
C:\Program Files\Rising\Rav\Ravmon.exe 瑞星實時監(jiān)控SHELL程序(就是任務欄里的那個小綠傘)
C:\WINDOWS\system32\ctfmon.exe Alternative User Input Services,控制Alternative User Input Text Processor (TIP)和Microsoft Office語言條。Ctfmon.exe提供語音識別、手寫識別、鍵盤、翻譯和其它用戶輸入技術的支持。
C:\Program Files\Rising\Rav\Rav.exe 瑞星進程。
C:\WINDOWS\system32\rundll32.exe Windows RUNDLL32 Helper,Windows Rundll32為了需要調(diào)用DLLs的程序。該文件可有被QQ白骨精病毒所感染,應該先結(jié)束此進程,然后刪除%SysDri%\Rundll32.exe文件,再去找一個正常的Rundll32.exe恢復即可。QQ白骨精病毒是一種用VC編寫的發(fā)送QQ尾巴和盜取信息的木馬病毒,它通過在QQ上發(fā)送以誘惑性文字為名的EXE文件(如:超級MM,超級FLASH,請您笑納.EXE)來傳播。病毒會搜索QQ好友并自動發(fā)送病毒文件,并盜取被感染的電腦中的QQ密碼。若中了此病毒請用KavQQ最新版殺毒。
C:\Program Files\Thunder 迅雷號稱是最快的下載工具,它是一款最新型的基于P2SP技術的下載軟件,兼容傳統(tǒng)的P2S和現(xiàn)在流行的P2P下載技術。尤其在下載游戲、工具、MP3音樂方面有著突出的效果。迅雷的最大特色就是其超群的下載速度,優(yōu)于別的同類軟件。迅雷針對寬帶用戶做了特別的優(yōu)化,能夠充分利用寬帶上網(wǎng)的特點,帶給用戶高速下載的全新體驗!而且在用戶文件管理方面提供了比較完備的支持,尤其是對于用戶比較關注的配置、代理服務器、文件類別管理、批量下載等方面進行了擴充和完善,使得迅雷可以滿足中、高級下載用戶的大部分專業(yè)需求。Network\Thunder\Thunder.exe 迅雷號稱是最快的下載工具,它是一款最新型的基于P2SP技術的下載軟件,兼容傳統(tǒng)的P2S和現(xiàn)在流行的P2P下載技術。尤其在下載游戲、工具、MP3音樂方面有著突出的效果。迅雷的最大特色就是其超群的下載速度,優(yōu)于別的同類軟件。迅雷針對寬帶用戶做了特別的優(yōu)化,能夠充分利用寬帶上網(wǎng)的特點,帶給用戶高速下載的全新體驗!而且在用戶文件管理方面提供了比較完備的支持,尤其是對于用戶比較關注的配置、代理服務器、文件類別管理、批量下載等方面進行了擴充和完善,使得迅雷可以滿足中、高級下載用戶的大部分專業(yè)需求。
C:\DOCUME~1\cosml\LOCALS~1\Temp\HijackThis.exe Merijn Hijackthis程序,用于監(jiān)視您的瀏覽器配置和插件。Hijackthis能夠?qū)⒔壖苣鸀g覽器的程序揪出來并且移除之。或許您只是瀏覽某個網(wǎng)站、安裝了某個軟件,就發(fā)現(xiàn)瀏覽器設定已經(jīng)被綁架了,一般常見的綁架方式莫過于強制竄改您的瀏覽器首頁設定、搜尋頁設定,現(xiàn)在有了這個工具,可以將所有可疑的程序全抓出來,再讓您判斷哪個程序是“肇事者”,然后將其除去。
C:\WINDOWS\system32\Rundll32.exe Windows RUNDLL32 Helper,Windows Rundll32為了需要調(diào)用DLLs的程序。該文件可有被QQ白骨精病毒所感染,應該先結(jié)束此進程,然后刪除%SysDri%\Rundll32.exe文件,再去找一個正常的Rundll32.exe恢復即可。QQ白骨精病毒是一種用VC編寫的發(fā)送QQ尾巴和盜取信息的木馬病毒,它通過在QQ上發(fā)送以誘惑性文字為名的EXE文件(如:超級MM,超級FLASH,請您笑納.EXE)來傳播。病毒會搜索QQ好友并自動發(fā)送病毒文件,并盜取被感染的電腦中的QQ密碼。若中了此病毒請用KavQQ最新版殺毒。
C:\WINDOWS\system32\Rundll32.exe
中了木馬不要著急,我來幫你:
木馬的查殺,可以采用自動和手動兩種方式。最簡單的刪除木馬的方法是安裝殺毒軟件(自動),現(xiàn)在很多殺毒軟件能刪除網(wǎng)絡最猖獗的木馬,建議安裝金山毒霸或安全之星XP,它們在查殺木馬方面很有一套!
由于殺毒軟件的升級多數(shù)情況下慢于木馬的出現(xiàn),因此學會手工查殺非常必要。方法是:
1.)檢查注冊表
看HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curren Version和HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion下,所有以“Run”開頭的鍵值名,其下有沒有可疑的文件名。如果有,就需要刪除相應的鍵值,再刪除相應的應用程序。
2.)檢查啟動組
木馬們?nèi)绻[藏在啟動組雖然不是十分隱蔽,但這里的確是自動加載運行的好場所,因此還是有木馬喜歡在這里駐留的。啟動組對應的文件夾為:C:\windows\start menu\programs\startup,在注冊表中的位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell
Folders Startup="C:\windows\start menu\programs\startup"。要注意經(jīng)常檢查這兩個地方哦!
3.)Win.ini以及System.ini也是木馬們喜歡的隱蔽場所,要注意這些地方
比方說,Win.ini的[Windows]小節(jié)下的load和run后面在正常情況下是沒有跟什么程序的,如果有了那就要小心了,看看是什么;在System.ini的[boot]小節(jié)的Shell=Explorer.exe后面也是加載木馬的好場所,因此也要注意這里了。當你看到變成這樣:Shell=Explorer.exe wind0ws.exe,請注意那個wind0ws.exe很有可能就是木馬服務端程序!趕快檢查吧。
4.)對于下面所列文件也要勤加檢查,木馬們也很可能隱藏在那里
C:\windows\winstart.bat、C:\windows\wininit.ini、Autoexec.bat。
5.)如果是EXE文件啟動,那么運行這個程序,看木馬是否被裝入內(nèi)存,端口是否打開。如果是的話,則說明要么是該文件啟動木馬程序,要么是該文件捆綁了木馬程序,只好再找一個這樣的程序,重新安裝一下了。
6.)萬變不離其宗,木馬啟動都有一個方式,它只是在一個特定的情況下啟動
所以,平時多注意一下你的端口,查看一下正在運行的程序,用此來監(jiān)測大部分木馬應該沒問題的。
另外,你也可以試試用下面的辦法來解決:
從網(wǎng)上下一個叫“冰刃”的軟件。這是一個綠色免安裝的小軟件,可以放心使用。
這個是下載地址。
http://www.ttian.net/website/2005/0829/391.html
這個是它的詳細用法。
http://www.ccw.com.cn/soft/review/htm2005/20050930_2107Z.htm
一般來說,不管是木馬、病毒進入我們的機器后都是“三隱”的即隱進程、隱服務、隱文件的,利害的能將殺毒軟件有實時監(jiān)控給殺死!但在這個冰刃里,它是無法遁身的。開啟的非法進程會以紅色顯示出來。
至于殺毒軟件,應該說各人有各人的喜好,下面給出的鏈接上你看看比較一下:
六款主流殺毒軟件橫向評測
http://it.sohu.com/2004/05/19/39/article220183986.shtml
消費者該如何選擇?六款殺毒軟件橫向評測(這個要詳細些)
http://tech.tom.com/1380/1383/2005513-197230.html
手工查殺灰鴿子2005的關鍵是找到病毒注冊的系統(tǒng)服務名及病毒文件X.exe所在位置。用HijackThis 1.99.0掃日志即可達到此目的(見附圖)。HijackThis 1.99.0的下載地址:http://forum.ikaka.com/download.asp?id=5188960。這步操作在普通WINDOWS模式下即可完成,不一定非在“安全模式”下完成。
安全模式 刪除
不行的話 你可以下個 木馬專殺 殺木馬 很有效果
加我QQ也可以 我把木馬專殺 傳給你 81891819
不用那么麻煩
我以前中過的
用金山毒霸就可以了
相關評說:
湘潭縣肘形: ______ conime是輸入法.可能你中的毒感染了這個文件 開始菜單-運行-輸入“msconfig”-確定-打開“系統(tǒng)配置實用程序”-“啟動”選項卡-去掉conime.exe選項前的“勾”,點擊確定. 2.打開任務管理器(ctrl+alt+del),結(jié)束conime.exe進程,然后在...
湘潭縣肘形: ______ 你看下你的啟動項里是不是又可疑啟動項.如果沒有就看這個病毒在哪個文件將文件刪除. 如果這2個都解決不了.建議到安全模式殺毒
湘潭縣肘形: ______ 1)試試進入安全模式殺毒 2)你可以下載一個專殺 病毒分類 WINDOWS下的PE病毒 病毒名稱 Backdoor.GPigeon 別 名 灰鴿子病毒 行為類型 WINDOWS下的木馬程序 灰鴿子病毒. 灰鴿子病毒專題:
湘潭縣肘形: ______ 注:清除灰鴿子要在安全模式(開機按F8)下操作 第一步,打開“我的電腦”,選擇菜單“工具”—》“文件夾選項”,點擊“查看”,取消“隱藏受保護的操作系統(tǒng)文...
湘潭縣肘形: ______ 你是怎么中灰鴿子木馬的啊??我交你個手動清楚的方法` 1、找到c:\windows\taskman32.exe刪除,這是個隱藏文件,罪魁禍首就是它. 2、運行regedit,搜索taskman32.exe,所有相關項刪除. 3、再用瑞星殺毒,C:\Program Files\Internet ...
湘潭縣肘形: ______ 可以備份數(shù)據(jù)然后把XPghost回去就可以了 歡迎采納 有不懂請補充問題
湘潭縣肘形: ______ 1.殺毒時最好進入安全模式.這樣會比較徹底.引導型病毒只能進入DOS狀態(tài)殺毒,但畢竟不多. 2、每種殺毒軟件能查殺的病毒能達到90%就算是很高了.建議使用2種以上的殺毒軟件結(jié)合殺毒. 3、現(xiàn)在的木馬比病毒更多,而且更可怕.一般的殺毒軟件是殺不掉的.建議適用木馬克星、木馬殺客之類的軟件查殺. 祝你好運. 4、流氓軟件要用專門的清理軟件才能去除.超級兔子和流氓軟件清理大師或許可以幫上你的忙.建議到“綠色軟件聯(lián)盟”搜索“流氓”字眼,挑幾個好用的試試. 流氓軟件很可惡,大概要占用10%~15%的內(nèi)存.我用的是512M的.以前是55/60%,現(xiàn)在是73%!剩余.
湘潭縣肘形: ______ 是木馬保護程序的一中 每幾分鐘甚至幾秒中檢測一次,當保護文件發(fā)現(xiàn)被保護文件被刪或者運行不正常就會自動復制一個并運行 建議:重裝系統(tǒng)
湘潭縣肘形: ______ Backdoor.Win32.Drwolf.fep (后門程序) Rootkit類木馬具有很強的隱蔽性與再生性,他可以使用多種方式再次激活自己,比如感染可執(zhí)行文件,AutoRun.inf或者插入系統(tǒng)進程. 由于此類木馬的種類非常多,不同的種類也有不同的癥狀,手動清...
湘潭縣肘形: ______ 您好不用擔心;既然殺毒軟件能查出來就一定能殺,所謂殺不了,是因為病毒在運行;正在運行的程序不能修改或刪除的.重新啟動,按住F8,進入安全模式,再從安全模式中啟動殺毒軟件就可以輕松殺毒了....
