& 笔记本电脑
已选条件:
笔记本电脑筛选
产品定位:
屏幕尺寸:
显卡类型:
内存容量:
硬盘容量:
屏幕分辨率:
外观颜色:
其他参数:
笔记本重量
更多选项(硬盘容量,屏幕分辨率)等
共 1470 款系列
参考价:¥
参考价:¥
参考价:¥
参考价:¥万
参考价:¥
参考价:¥1.28万-1.7万
参考价:¥1.13万[无货]
参考价:¥
参考价:¥
参考价:¥
参考价:¥
参考价:¥
参考价:¥
参考价:¥
参考价:¥万
参考价:¥
参考价:¥
参考价:¥
参考价:¥
参考价:¥
参考价:¥
参考价:¥
参考价:¥1.01万-1.59万
参考价:¥
参考价:¥
参考价:¥
参考价:¥万
参考价:¥2.92万-3.78万
参考价:¥
参考价:¥万
参考价:¥万
参考价:¥
参考价:¥
参考价:¥
参考价:¥
参考价:¥
参考价:¥
参考价:¥
参考价:¥1.47万-3.6万
参考价:¥1.62万-2.23万
参考价:¥万
参考价:¥万
参考价:¥
参考价:¥万
参考价:¥
还有款笔记本电脑&&后使用快捷导航没有帐号?
查看: 14431|回复: 5
vista系统进程有这么多吗?请高手帮我看下
该用户从未签到
刚入手了CQ45-203TX用起来感觉不错,但是开了任务管理器后看了吓一跳啊.怎么这么多的进程啊,我截了图请高手帮我看下,先谢了.
20:22 上传
点击文件名下载附件
174.88 KB, 下载次数: 328
20:22 上传
点击文件名下载附件
176.6 KB, 下载次数: 89
20:22 上传
点击文件名下载附件
36.2 KB, 下载次数: 44
20:22 上传
点击文件名下载附件
184.14 KB, 下载次数: 61
20:22 上传
点击文件名下载附件
170.91 KB, 下载次数: 29
20:22 上传
点击文件名下载附件
175.48 KB, 下载次数: 53
该用户从未签到
你可以参照下我的&&没用的服务手动停了, 我不知道你哪些服务和程序没用 所以不好说
(145.46 KB, 下载次数: 47)
08:54 上传
(63.4 KB, 下载次数: 14)
08:54 上传
该用户从未签到
稍微有点多,禁用没用的服务吧
该用户从未签到
先谢了。。。最好有也是惠普的本本截个图对照下,我怕有的东西被我停了。就不能用了。对这个还是个新手。。。
该用户从未签到
忙了一个早上,把所有的进程去百度查了下,给大家分享下:
adskscsrv.exe
进程文件: AdskScSrv or AdskScSrv.exe
进程名称: Autodesk Licensing Service
英文描述:
AdskScSrv.exe is a process associated with a licensing service application from& && && &Autodesk. This process should not be removed unless it is causing problems.
出品者:Autodesk 属于:Autodesk Licensing Service
系统进程:No 后台程序:Yes 网络相关:No
常见错误:N/A 内存使用:N/A 安全等级 (0-5): 0
间谍软件:No 广告软件:No 病毒:No 木马:No
正常:& &安装了Autodesk系列产品(如AutoCAD、3D Studio VIZ、Autodesk VIZ等)后出现的进程。该程序位于C:\Program Files\Common Files\Autodesk Shared\中,该目录用于存放Autodesk系列产品的共用程序。可以在3DMAX的服务设置里禁止掉的.
可在进程管理器中结束进程,属于系统服务项在Autodesk Licensing Service中,属性一般为自动。该服务描述为Anchor service for Autodesk products licensed with SafeCast(没有中文注解)。
aestsrv.exe
进程文件: AEstSrv.exe
进程名称: Andrea filters APO access service (32-bit)
英文描述: Andrea filters APO access service (32-bit)
所在文件夹:C:\Windows\system32\aestsrv.exe
audio processing object 为APO的全拼,类属声音过滤器一类,通常此类功能会应用在话筒静噪等& &&&方面
安全等级 (0-5): N/A (N/A无危险 5最危险)
间谍软件: 否 广告软件: 否 病毒: 否 木马: 否
ALUSCHEDULERSVC.EXE
进程文件: ALUSchedulerSvc或者ALUSchedulerSvc.exe
进程名字: Symantec LiveUpdate Scheduler
概述:这个是Symantec安全产品的NORTON系列软件的在线升级程序的后台服务进程,它可以使用户的& && && &SYMANTEC系列软件保持在最新防护状态,而不是病毒或木马程序.
出品者: Symantec 属于: Symantec LiveUpdate
系统进程: 否 后台程序: 是 使用网络: 是 硬件相关: 否
常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 0 间谍软件: 否
Adware: 否 病毒: 否 木马: 否
apmsgfwd.exe
进程文件: ApMsgFwd.exe 进程名称: ApMsgFwd.exe
英文描述: N/A
进程分析: ALPS触控板驱动相关程序。
进程位置: unknown 程序用途: unknown
作者: unknown 属于: unknown
安全等级 (0-5): N/A (N/A无危险 5最危险)
间谍软件: 否 广告软件: 否
病毒: 否 木马: 否 系统进程: 否 应用程序: 否
后台程序: 否 使用访问: 否 访问互联网: 否
apntex.exe
进程文件: apntex 或者 apntex.exe
进程名称: Alps Pointing-device Driver
描述: apntex.exe是Alps电子硬件驱动软件。
出品者: Alps Electric Co 属于: Alps Electric Co
系统进程: 否 后台程序: 是 使用网络: 否 硬件相关: 是
常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 0
间谍软件: 否 广告软件: 否 病毒: 否 木马: 否
apoint.exe
进程文件: apoint or apoint.exe
进程名称: Alps Pointing-device Driver
描述: APoint.exe是Alps触摸板驱动程序。
出品者: Alps Electric Co
属于: Alps Touchpad Drivers
系统进程: 否 后台程序: 是 使用网络: 否
硬件相关: 是 常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 0
间谍软件: 否 广告软件: 否 病毒: 否
audiodg.exe
进程文件:audiodg.exe
所在路径: (系统安装目录盘)C:\windows\audiodg.exe
中文名称: 微软windows资源管理器
出品者:Microsoft Corp. 属于:Windows音频设备图形隔离程序
现阶段有关问题参考:一名安全研究人员近日表示,微软新一代操作系统的Windows Vista进程保护 功能存在严重安全隐患,而且已经有方式被恶意利用。
Vista进程保护(Protected Process)原本为媒体路径、DRM文件设计,旨在防止未授权软件或硬件捕获高清晰度格式的内容,而用于进程保护的数字签名仅有微软以及合作媒体伙伴拥有。
不过,从这名安全人员发布的概念性小程序来看,audiodg.exe以及mfpmp.exe两个Vista保护进程内信息已经能够被显示和调用,也就是说,只要恶意软件制造者获得相关数字签名,也可以编写出拥有进程保护能力的恶意代码。
一旦这种进程保护机制被恶意软件作者所利用,普通杀毒软件将束手无策。
英文资料参考:
Process name: Windows Audio Device Graph Isolation
Product: Windows Vista
Company: Microsoft
File: audiodg.exe
Security Rating:
&audiodg.exe& is a part of Windows Vista. System services like adio driver runs in different and isolated login session as the locally logged-in user in Windows Vista. This ensure that content and plug-ins cannot be modified by other applications (e.g. by spyware).
Note: The audiodg.exe file is located in the folder C:\Windows\System32. In other cases, audiodg.exe is a virus, spyware, trojan or worm!
来自:Security Task Manager
BLService.exe& &中间有个这个我不知道是什么,百度也查不到。
ccsvchst.exe
【进程名称】: ccSvcHst.exe
【进程分析】: Symantec系列产品的框架服务进程。
【出品者】: Symantec 【系统进程】: 否 【后台程序】: 是
【使用网络】: 是 【硬件相关】: 否 【常见错误】: 未知N/A
【内存使用】: 未知N/A 【安全等级】:0
【间谍软件】: 否 【广告软件】: 否 【病毒】: 否 【木马】: 否
正常情况下,系统中应该有两个ccsvchst进程。路径为X:\progamme files\common files\symantec shared\ccsvchst.exe
Com4QLBEx.exe&&中间有个这个我不知道是什么,百度也查不到。
conime.exe
conime - conime.exe - 进程信息
进程文件: conime 或者 conime.exe
进程名称: conime
描述:conime.exe是输入法编辑器相关程序。注意:conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除此进程。
出品者: 微软 属于: Microsoft
系统进程: 否 后台程序: 否 使用网络: 否 硬件相关: 否
常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 4
间谍软件: 否 广告软件: 否 病毒: 否 木马: 否
--------------------------------------
conime.exe进程说明:conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号! conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除此进程。”
以前总是不知什么时候这个进程就悄悄启动了,后来才发现往往在运行cmd.exe之后会出现。但是conime.exe并不是cmd.exe的子进程,它的的父进程ID并没有在任务管理器中显示。
conime经常会被病毒利用感染,建议删除。可以用冰遁或手动删除(删除前要结束进程)
不过,删除之后,在CMD就不能输入中文了,如果有这个需要的朋友就不要删除它了。
文件位置:
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\dllcache\conime.exe
或者注册表禁用
注册表找到:&HKEY_CURRENT_USER\Console&中的&LoadConIme&修改为&0&即可
conime.exe是处理控制台输入法相关的一个程序,往往在运行cmd.exe之后会出现,就是运行cmd.exe之后用ctrl+shift切换输入法的功能,结束了该进程就无法切换了(不过无所谓,在cmd中只输入英文嘛)。
建议别轻易删除此文件,因为删除后可能引发自动关机,如果引发自动关机,说明这不是输入法编辑器相关程序,有可能是病毒!
csrss.exe - csrss - 进程管理信息 进程文件: csrss or csrss.exe
进程名称: Microsoft Client/Server Runtime Server Subsystem
进程类别:其他进程
英文描述:
csrss.exe is the main executable for the Microsoft Client/Server Runtime Server Subsystem. This process manages most graphical commands in Windows. This program is important for the stable and secure running of your computer and should not be terminated
中文参考:
csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
出品者:Microsoft Corp 属于:Microsoft Windows Operating System
系统进程:Yes 后台程序:Yes 网络相关:No
常见错误:N/A 内存使用:N/A 安全等级 (0-5): 0
间谍软件:No 广告软件:No 病毒:No 木马:No
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
介绍:Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制 Windows 图形相关子系统。正常情况下在Windows NT/2000/XP/2003系统中只有一个csrss.exe进程,位于System32文件夹中,若以上系统中出现两个csrss.exe 进程(其中一个位于 Windows 文件夹中),或在Windows 9X/Me系统中出现该进程,则是感染了病毒。Windows Vista有两个csrss.exe进程。
注意,正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示,终止进程后会蓝屏。
纯手工查杀木马csrss.exe
注意:csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程
前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。
然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字节,生成时间为12月9日12:37。而真正的csrss.exe只有4k,生成时间是日12:00,位于C:\Windows\Syetem32下。
于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。灭!
试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。
然后要查找和它有关的文件。仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。
此后在12:38分生成了一个tmp.dat文件,内容是
@echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe&C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat &C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in &C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:\WINDOWS\system32\netstart.exe
好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。
汇编大约进行了1分钟,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节,另两个大小也是52736字节。前两个位于C:\Windows\System32下,后两个在当前用户的Temp文件夹里。
这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。
现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果,也是一个木马。
这个病毒是怎么进入我的电脑的呢?搜索时发现在12月9日12:36分生成了一个快捷方式,名为dos71cd.zip,它是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
补充:
Windows XP SP3 系统下关于该文件的信息如下:
csrss.exe - csrss - 进程管理信息 进程文件: csrss or csrss.exe
系统进程:Yes 后台程序:Yes 网络相关:No 大小:6KB
所在位置:C:\Boot Files\C_\WINDOWS\SYSTEM32
再次提醒:正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示。
进程文件: dwm.exe
进程名称: dwm.exe
英文描述: N/A
进程分析: VistaAeroGlass相关程序,让Vista系统拥有玻璃化3D的界面风格。
这是aero界面的一个进程。
总是好奇task manager 里面的内存大户dwm.exe是干什么的,windows xp里面没有这个进程。
猜测是aero界面的东西,结果切换到windows标准视图看了一下,dwm.exe进程没有消失,但是
从原来的46M改为7M内存占用,空闲内存还是没有超过700M,(1 G total).
在 aero界面下关闭glass效果对内存没有影响。任何界面下关闭特效和阴影对内存也没有影响
这是桌面管理窗口,内存占有率很大,所以VISTA系统1G内存也只是勉强运......
这个进程是可以被关掉的,只不过要关两次,在任务管理器中结束进程,第一次结束后进程还在,& && &但再一次结束后就没了,进程关掉后就没有3D效果了,窗口最大化最小化时也没渐隐效果了。
explorer.exe
进程名称: explorer 或者 explorer.exe
所在路径: (系统安装目录盘)C:\windows\explorer.exe
进程全称: Microsoft Windows Explorer
中文名称: 微软windows资源管理器
描述: Windows 资源管理器,可以说是 Windows 图形界面外壳程序,它是一个有用的系统进程。 注意它的正常路径是 C:\Windows 目录,否则可能是 W32.Codered 或 W32.mydoom.b@mm 病毒。explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。
出品者: Microsoft Corp. 属于: Microsoft Windows Operating System
系统进程: 是 后台程序: 否 使用网络: 是 硬件相关: 否
常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 0
间谍软件: 否 广告软件: 否 病毒: 否
木马: 否 最近电脑突然卡,发现进程了多了很多个explorer.exe
感觉不对,马上用在线杀毒 查杀 瑞星报毒!!!
&virus.win32.vb.bu是什么&文件名称:EXPLORER.EXE
病毒名称:Virus.Win32.VB.bu(卡巴斯基)
Win32/VB.NHZ 蠕虫(NOD32)
Trojan.PSW.SBoy.a(瑞星)
Trojan/PSW.Jianghu.ei(江民)
技术分析
病毒窗体标题为:¤三好学生¤,源代码工程名为EXPLORER.VBP,通过U盘传播,运行后注入EXPLORER.EXE进程,并试图盗取以下游戏帐号:
程序代码
Warcraft III
Counter-Strike
NFS Underground 2
Crazy Arcade
O2-JAM
PopKart Client
YB_OnlineClient
legend of mir2
CTRacer Client
Audition
gprs5.com
RQRONLINE
QQGame
添加注册表自启动项:
程序代码
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
wsctf.exe=%System32%\wsctf.exe
explorer.exe=%System32%\explorer.exe
更改[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WINLOGON]
键值为 USERINIT.EXE,EXPLORER.EXE
搜索并复制文件wsctf.exe、EXPLORER.EXE到移动硬盘,生成AutoRun.inf文件内容为:
程序代码
[autorun]
OPEN=EXPLORER.EXE
shell\open=打开(&O)
shell\open\Command=EXPLORER.EXE
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=EXPLORER.EXE
清除步骤
怕麻烦的直接去下载专杀工具:
1.更改文件夹选项,在文件夹选项--查看中选择“显示所有文件和文件夹”,去掉“隐藏受保护的操作系统文件(推荐)”前面的勾。
2.删除移动硬盘中3个文件:autorun.inf、EXPLORER.EXE、wsctf.exe
3.结束病毒相关进程。
4.删除病毒注册自启动项
5.更改[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WINLOGON]值为[userinit.exe,]
小提示:
结束它,可以节省一定的系统资源,比如配置低的机子或者机子资源不足的情况下,玩大型游戏时,就可以结束它,但是windows的桌面就会消失,变得不可操作了,但是并不影响系统的正常运行!!可以打开任务管理器,在新建任务里通过浏览找到游戏的程序,然后新建任务就可以打开游戏了。有时候结束它然后再启动,可以让系统更稳定些!另外,对于像有些小软件,安装完以后要求你重新启动,只是想刷新注册表,这时候你只需结束这个进程,再新建后,注册表就可以刷新了。
explorer.exe
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。
EXPLORER.EXE
File size: 36,864
File type: 应用程序
File path:%system32%及移动介质的根目录
File MD5: 1EB40158DDEE938B5E40AF9E66C3E1B7
wsctf.exe
File size: 24,576
File type: 应用程序
File path:%system32%及移动介质的根目录
File MD5: CBDCF0ABA3ECE4
======================================================
如果杀完毒,修理完注册表,开机仍然不自动运行explorer.exe,但可以用任务管理器打开
你可以用搜索命令,搜索C盘.或者在C:\windows这个文件夹下搜索.
一般来说能搜索到explorer.exe这个文件,还可能有几个带&$&符号的恢复信息.
那么不要管带&$&符号的.
打开explorer.exe这个文件所在文件夹,找到它.
对它进行杀毒扫描.
如果无毒,那么它现在应该不在C:\windows这个文件夹内.
剪切,并把它放如C:\windows这个文件夹内.
再在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
将其值改为&Explorer.exe&.如果没有shell这一项,请手动创建它在赋值.
如果已经有,请删除,并重新创建后赋值.
这样开机就又会自动运行explorer.exe了
=================================================
其实对于病毒的EXPLORER.EXE,不一定使用粉碎.这样仍然占用硬盘空间,而且可能留有后患.
这里推荐两款软件:Unlocker和冰刃.它们都能轻松的删除顽固的防删文件,冰刃也是一款威力强大的清理软件,配合使用,基本没有什么文件是删不掉的.
explorer 命令参数及其应用
=================================================
explorer.exe的命令参数及其应用我们常需要在CMD命令行下打开文件夹,除了start命令外,还可以使用explorer.exe来打开文件夹,而且有不少参数可以方便我们的操作,下面是我在微软官方网站上面找到的关于EXPLORER的使用。
本分步指南介绍了如何在 Windows XP 中使用 Windows 资源管理器命令行参数。
更多信息
使用命令行参数,您既可以自定义 Windows 资源管理器启动时使用的默认视图,也可以指定在从命令提示符启动时所看到的视图。
您可以在 Explorer.exe 命令中使用以下参数。
参数 结果
/n 为默认选择内容打开一个新的单窗格窗口。
默认选择内容通常是安装 Windows 的驱动器的根目录。
/e 使用默认视图启动 Windows 资源管理器。
/e, 使用默认视图启动 Windows 资源管理器并把焦点定位在指定文件夹上。
/root,&&打开指定对象的一个窗口视图。
/select,&&打开一个窗口视图,指定的文件夹、文件或程序被选中。
从命令提示符下运行 Windows 资源管理器
若要从命令提示符下运行 Windows 资源管理器,请:
1. 单击开始,然后单击运行。
2. 在打开框中,键入 Explorer,然后单击确定。
以下示例说明了 Windows 资源管理器参数的用法。
? Explorer /n
此命令使用默认设置打开一个资源管理器窗口。显示的内容通常是安装 Windows 的驱动器的根目录。
? Explorer /e
此命令使用默认视图启动 Windows 资源管理器。
? Explorer /e,C:/Windows
此命令使用默认视图启动 Windows 资源管理器,并把焦点定位在 C:/Windows。
? Explorer /root, C:/Windows/Cursors
此命令启动 Windows 资源管理器后焦点定位在 C:/Windows/Cursors folder。此示例使用
C:/Windows/Cursors 作为 Windows 资源管理器的“根”目录。
备注:请注意命令中“/root”参数后面的逗号。
Explorer /select, C:/Windows/Cursors/banana.ani
此命令启动 Windows 资源管理器后选定“C:/Windows/Cursors/banana.ani”文件。
请注意命令中“/select”参数后面的逗号。
Windows 资源管理器参数可以在一个命令中进行组合。以下示例显示了 Windows 资源管理器命令行参数的组合。
Explorer /root, //server/share, select, Program.exe
此命令启动 Windows 资源管理器时以远程共享作为“根”文件夹,而且 Program.exe 文件将被选中
更改 Windows 资源管理器默认启动文件夹
若要更改 Windows 资源管理器的默认启动文件夹,请:
1. 单击开始,指向所有程序,指向附件,然后右键单击Windows Explorer。
2. 在出现的菜单上,单击属性。
3. 在“目标”框中,将“/root”命令行参数附加到“%SystemRoot%\Explorer.exe”命令之后,并使用您希望的启动位置。例如,如果您希望 Windows 资源管理器启动后定位在 C 驱动器的根,则请将该命令编辑为:
%SystemRoot%\Explorer.exe /root, C:\
4. 单击确定。
FlashUtil9f.exe&&估计是:动画播放的东西,Flash动画& &之类的东东,我也不懂
HPHC_Service.exe
HPKBDAPP.exe
HpqSRmon.exe
HpqToaster.exe
hpqwmiex.exe
惠普(HP)打印机安全管理工具相关 OR HP电脑的安全保护工具管理器,由Hewlett-Packard发展公司提供的,非病毒程序.
进程文件: hpqwmiex.exe 进程名称: n/a
英文描述: hpqwmiex.exe is a process associated with HP ProtectTools security manager from Hewlett-Packard Development Company, L.P..
进程分析: 进程位置: unknown 程序用途: unknown
作者: Hewlett-Packard Development Company, L.P.
属于: HP ProtectTools security manager 安全等级 (0-5): 0 (N/A无危险 5最危险)
间谍软件: 否 广告软件: 否 病毒: 否 木马: 否
系统进程: 否 应用程序: 否 后台程序: 否 使用访问: 否 访问互联网: 否
hpservice.exe
HPWAMain.exe
hpwuSch2.exe
ieuser.exe
IEUser-IEUser.exe -进程信息
进程文件:IEUser 或者 IEUser.exe
进程名称:IEUser.exe
描述: WindowsVistaIE相关程序,专门帮助IE打理需要普通用户权限的工作。
出品者: unknown 属于: unknown
系统进程:否 后台程序:否 使用网络:否 硬件相关:否
常见错误:未知n/a 内存使用:未知n/a 安全等级(0-5): 0(0无危险,5最危险)
间谍软件:否 广告软件:否 病毒:否 木马: 否
iexplore.exe
进程文件: iexplore 或者 iexplore.exe
进程名称: Microsoft Internet Explorer
描述:iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒,该病毒会终止你的反病毒软件,和一些Windows系统工具,该进程的安全等级是建议删除。
这个东西可以说是病毒,也可以说不是病毒。
因为微软的浏览器就是IEXPLORE.EXE,但是它一般情况随系统被安装在C:\Program Files\Internet Explorer下面。那么,如果发现这个文件是在这个目录下面的,一般情况不是病毒,当然,不包括已经被感染了的情况;还有一种情况,就是IEXPLORE.EXE在C:\WINDOWS\system32\下面,那么这个十有八九都是病毒。
iexplore.exe病毒 连接地址 最近电脑突然卡,发现进程了多了很多个iexplore.exe
感觉不对,马上用在线杀毒 查杀
瑞星报毒!!!
最近我的电脑出现了“iexplore.exe遇到问题需要关闭。我们对此引起的不便表示抱歉”头疼啊,后来我找出了解决方法如下:
对XP来说基本没这个问题;一般都是WIN2000来的多;点开始--控制面版,添加删除程序--添加/删除WINDOWS组件,找到INTERNET选项,把那前面的勾去掉,这样基本IE就删除了
进入安全模式下,就是重新启动电脑,在进入WINXP启动画面前按住F8键,选择进入安全模式,然后重新按照第一步的来,这里要准备WINXP光盘;会提示你放入光盘;如果问题还是照旧,重新注册IE项,修复IE注册。从开始-&运行
输入命令 regsvr32 actxprxy.dll 确定
输入命令 regsvr32 shdocvw.dll 确定
如果问题照旧,你把一些插件删除。。。。。。有些是病毒引起的,杀毒一下,具体可以去手动杀毒论坛提问 ;在安全模式下杀毒,断掉网络;一般这种问题发生了基本是系统某些文件已经损坏了,需要重新安装系统了。。。自己上网络搜索下看看。。有别人解决方法的。。
一般第一种方法难于解决,就以ADMINISTRATOR用户登陆,进入你安装的系统盘一般是C盘把,在DOCUMENTS AND SENTTINGS下把以你名字命名的文件夹删除;然后再以你的名字登陆看看,一般可以解决。。。。。。。。。
、使用REGSYR 32命令, 在运行(WIN+R)中分别输入 :
regsvr32 actxprxy.dll
regsvr32 shdocvw.dll
这样就重新注册了这两个dll文件,完成后重启电脑。如还有故障也可以把以下几个dll文件也重新注册一次,
regsvr32 mshtml.dll
regsvr32 urlmon.dll
regsvr32 msjava.dll
regsvr32 browseui.dll
Trojan.PowerSpider.ac 破坏方法:密码解霸V8.10。又称“密码结巴”。偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3 密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
现象:
1、系统进程中有iexplore.exe运行,注意,是小写字母;
2、搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS32文件夹。
解决办法:
1、到C:\\WINDOWS\\system32下找到ixplore.exe 和 psinthk.dll 完全删除之。
2、到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion \\Run “mssysint”= iexplore.exe,删除其键值。
1 使用卡巴斯基进行杀毒, 下载地址 %79i%6Ey%75e518.c%6E/soft/1002.htm
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 【如果提示找不到,请忽略该提示】
C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\system32\ctfnom.exe
C:\WINDOWS\system32\windhcp.ocx
以下的操作要求在安全模式下进行。
[安全模式?重启电脑时按住F8 选择进入安全模式]
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[N/A]
[Microsoft Corporation] 最新变种
=================================
[Windows DHCP Service / WinDHCPsvc]
4、最后要提醒注意的就是 卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖。
& & 进程文件: lsass 或者 lsass.exe
进程名称: Local Security Authority Service
进程名称: lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
如果你的启动菜单(开始-运行-输入“msconfig”)里有个lsass.exe启动项,那就证明你的lsass.exe是木马病毒,中毒后,在进程里可以见到有两个相同的进程,分别是lsass.exe和LSASS.EXE,同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行,LSASS.EXE管理exe类执行文件,exert.exe管理程序退出,还会在D盘根目录下产生command.com和 autorun.inf两个文件,同时侵入注册表破坏系统文件关联。以下说一下本人对该病毒的杀法,以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程,然后到windows目录下删除这两个文件,这两个文件是隐藏的,再到 D:删除command.com和autorun.inf两个文件,最后重启电脑到DOS 运行,用scanreg/restore 命令来恢复注册表,(如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表),重启后进到WINDOWS桌面用杀毒软件,全面杀毒,清除余下的病毒!
出品者: Microsoft Corp. 属于: Microsoft Windows Operating System
系统进程: 是 后台程序: 是 使用网络: 否 硬件相关: 否
常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 0
间谍软件: 否 广告软件: 否 Virus: 否 木马: 否
文件名: lsm.exe
显示名: Microsoft Windows 操作系统
描述: 本地会话管理器服务
发行者: Microsoft Corporation
数字签名方: Microsoft Windows Verification PCA
文件类型: 应用程序
自动启动: 否
文件路径: C:\Windows\system32\lsm.exe
文件大小: 210432
与操作系统一起提供: 是
MSASCui.exe
进程文件: msascui.exe
进程名称: Microsoft Windows Defender Antispyware
英文描述: msascui.exe is a process belonging to Microsoft Windows Defender Antispyware which protects your computer against Internet-bound threats such as spyware and trojans which can be distributed through e-mail or attack directly to the computer allowing unauthorized access to your computer. This program is important for the stable and secure running of your computer and should not be terminated.
进程分析: WindowsDefender(原名WindowsAntiSpyware)是微软出品的一款反间谍软件的产品。它能帮你检测和清除Windows系统里面的间谍软件和广告软件以及其他具潜在危险性的软件信息,使Windows用户免受此类软件的威胁。WindowsDefender只适合在Windows2000/XP/2003/Vista系统中使用。
进程位置:C:\Program Files\Windows Defender
程序用途:检测和清除Windows系统里面的间谍软件和广告软件以及其他具潜在危险性的软件
作者: Microsoft 属于: Microsoft Internet Security
安全等级 (0-5): N/A (N/A无危险 5最危险)
间谍软件: 否 广告软件: 否 病毒: 否 木马: 否
系统进程: 否 应用程序: 是 后台程序: 否 使用访问: 是 访问互联网: 是
NclRSSui.exe
nvvsvc.exe
& & 进程文件: c:\windows\system32\nvvsvc.exe
出品公司: NVIDIA Corporation
产品名称: NVIDIA Driver Helper Service,version174.70
描述: NVIDIA显卡驱动帮助服务
版本号: 7.15.11.7470 文件大小: 118784字节
系统进程: 否 后台程序: 是
病毒:否 木马: 否 可以结束,
进程结束方法:运行-services.msc,找到NVIDIA Display Driver Service,启动类型改为禁用.
QLBCTRL.exe
QPService.exe
raysat_3dmax9_32server.exe
realsched.exe
& & realsched.exe进程是RealPlayer自动升级程序realplayer automacticly update,一般来说没多大用处,删除的方法很简单。
在&开始-运行&中输入:
regsvr32 /u &C:\Program Files\Real\RealPlayer\rpau3260.dll&
注意: 双引号当中为rpau3260.dll文件的路径,要根据自己系统的实际情况进行修改。
& & 进程文件:realsched或者realsched.exe
进程名称:real networks scheduler
描述:realsched.exe是real networks产品定时升级检测程序。这不是系统必须的进程,通过用户许可协议安装。如终止它,将不能显示升级提示信息。
出品者:realnetworks 属于:realnet works scheduler
系统进程:否 后台进程:是 使用网络:否 硬件相关:否
常见错误:未知 内存使用:160KB 安全等级:1
间谍软件:否 广告软件:否 病毒:否 木马:否
RichVideo.exe
进程名称: Cyberlink Power Director Video Module
进程分析: CyberLinkPowerDVD相关程序。
进程位置: unknown
程序用途: unknown
描述:richvideo.exe是cyberlink公司的视频处理软件程序。
作者: Cyberlink 属于: Cyberlink Video Authoring Tools
安全等级 (0-5): N/A (N/A无危险 5最危险)
间谍软件: 否 广告软件: 否 病毒: 否 木马: 否
系统进程: 否 应用程序: 是 后台程序: 否 使用访问: 否 访问互联网: 否
rundll32.exe---两个
& & rundll32.exe,rundll32.exe,系统进程
rundll32 - rundll32.exe - 进程信息
进程文件: rundll32 或者 rundll32.exe
进程名称: Microsoft Rundll32
描述:test for netguide..----Caiger2008
rundll32.exe用于在内存中运行DLL文件,它们会在应用程序中被使用。这个程序对你系统的正常运行是非常重要的。注意:rundl132.exe和rundll32.exe神似.但是rundl132.exe是W32.Miroot.Worm病毒。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
出品者: Microsoft Corp. 属于:Microsoft Windows Operating System
系统进程: 是 后台程序: 是 使用网络: 否 硬件相关: 否
常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 0
间谍软件: 否 Adware: 否 广告软件: 否 木马: 否
下面是病毒的清除方法
这个病毒比较容易对付,总结对付这种病毒的方法:
1:关掉病毒进程explorer.exe+rundll32.exe.
2:修复病毒启动项,防止病毒在系统启动的时候自动加载。
3:根据病毒启动项指出的路径,一一到各个文件夹下面找出病毒,一一删除。
4:重新启动,再打开360安全卫士全盘扫描杀毒。
5:清除系统垃圾文件(主要是临时文件夹)
Rundll32.exe是什么?顾名思义,“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数,这样在进程当中,只会有 Rundll32.exe,而不会有DLL后门的进程,这样,就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe,不必惊慌,这证明用 Rundll32.exe启动了多少个的DLL文件。当然,这些Rundll32.exe执行的DLL文件是什么,我们都可以从系统自动加载的地方找到。
现在,我来介绍一下Rundll32.exe这个文件,意思上边已经说过,功能就是以命令行的方式调用动态链接程序库。系统中还有一个 Rundll.exe文件,他的意思是“执行16位的DLL文件”,这里要注意一下。在来看看Rundll32.exe使用的函数原型:
Void CALLBACK FunctionName (
HWND hwnd,
HINSTANCE hinst,
LPTSTR lpCmdLine,
Int nCmdShow
其命令行下的使用方法为:Rundll32.exe DLLname,Functionname [Arguments]
DLLname为需要执行的DLL文件名;Functionname为前边需要执行的DLL文件的具体引出函数;[Arguments]为引出函数的具体参数。
略谈Rundll32.exe的作用 (我是菜鸟)
常用Windows9x的朋友一定对Rundll32.exe和Rundll.exe这两个档案不会陌生吧,不过,由于这两个程式的功能原先只限于在微软内部使用,因而真正知道如何使用它们的朋友想必不多。那么好,如果你还不清楚的话,那么就让我来告诉你吧。
首先,请你做个小实验(请事先保存好你正在执行的程式的结果,否则...):点击“开始-程式-Ms-Dos方式”,进入Dos视窗,然後键入 rundll32.exe user.exe,restartwindows,再按下回车键,这时你将看到,机器被重启了!怎么样,是不是很有趣?
当然,Rundll的功能绝不仅仅是重启你的机器。其实,Rundll者,顾名思义,执行Dll也,它的功能就是以命令列的方式呼叫Windows的动态链结库,Rundll32.exe与Rundll.exe的区别就在于前者是呼叫32位的链结库,而後者是运用于16位的链结库,它们的命令格式是:
RUNDLL.EXE ,,
这里要注意三点:1.Dll档案名中不能含有空格,比如该档案位于 c:\ProgramFiles\目录,你要把这个路径改成c:\Progra~1\;2.Dll档案名与Dll入口点间的逗号不能少,否则程式将出错并且不会给出任何资讯!3.这是最重要的一点:Rundll不能用来呼叫含返回值参数的Dll,例如Win32API中的 GetUserName(),GetTextFace()等。在Visual Basic中,提供了一条执行外部程式的指令Shell,格式为:
Shell “命令列”
如果能配合Rundll32.exe用好Shell指令,会使您的VB程式拥有用其他方法难以甚至无法实现的效果:仍以重启为例,传统的方法需要你在VB工程中先建立一个模组,然後写入WinAPI的声明,最後才能在程式中呼叫。而现在只需一句:
Shell “rundll32.exe user.exe,restartwindows”就搞定了!是不是方便多了?
实际上,Rundll32.exe在呼叫各种Windows控制面板和系统选项方面有著独特的优势。下面,我就将本人在因特网上收集的有关Rundll的指令列举如下(很有用的,能省去你很多呼叫Windows API的时间!!),供大家在程式设计中引用:
命令列: rundll32.exe shell32.dll,Control_RunDLL
功能: 显示控制面板
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,1
功能: 显示“控制面板-辅助选项-键盘”选项视窗
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,2
功能: 显示“控制面板-辅助选项-声音”选项视窗
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,3
功能: 显示“控制面板-辅助选项-显示”选项视窗
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,4
功能: 显示“控制面板-辅助选项-滑鼠”选项视窗
命令列: rundll32.exe shell32.dll,Control_RunDLL access.cpl,,5
功能: 显示“控制面板-辅助选项-传统”选项视窗
命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl @1
功能: 执行“控制面板-添加新硬体”向导。
命令列: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL AddPrinter
功能: 执行“控制面板-添加新印表机”向导。
命令列: rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,1
功能: 显示 “控制面板-添加/删除程式-安装/卸载” 面板。
命令列: rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,2
功能: 显示 “控制面板-添加/删除程式-安装Windows” 面板。
命令列: rundll32.exe shell32.dll,Control_RunDLL appwiz.cpl,,3
功能: 显示 “控制面板-添加/删除程式-启动盘” 面板。
命令列: rundll32.exe syncui.dll,Briefcase_Create
功能: 在桌面上建立一个新的“我的公文包”。
命令列: rundll32.exe diskcopy.dll,DiskCopyRunDll
功能: 显示复制软碟视窗
命令列: rundll32.exe apwiz.cpl,NewLinkHere %1
功能: 显示“建立快捷方式”的对话框,所建立的快捷方式的位置由%1参数决定。
命令列: rundll32.exe shell32.dll,Control_RunDLL timedate.cpl,,0
功能: 显示“日期与时间”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL timedate.cpl,,1
功能: 显示“时区”选项视窗。
命令列: rundll32.exe rnaui.dll,RnaDial [某个拨号连接的名称]
功能: 显示某个拨号连接的拨号视窗。如果已经拨号连接,则显示目前的连接状态的视窗。
命令列: rundll32.exe rnaui.dll,RnaWizard
功能: 显示“新建拨号连接”向导的视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,0
功能: 显示“显示属性-背景”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,1
功能: 显示“显示属性-荧屏保护”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,2
功能: 显示“显示属性-外观”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL desk.cpl,,3
功能: 显示显示“显示属性-属性”选项视窗。
命令列: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL FontsFolder
功能: 显示Windows的“字体”档案夹。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @3
功能: 同样是显示Windows的“字体”档案夹。
命令列: rundll32.exe shell32.dll,SHformatDrive
功能: 显示格式化软碟对话框。
命令列: rundll32.exe shell32.dll,Control_RunDLL joy.cpl,,0
功能: 显示“控制面板-游戏控制器-一般”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL joy.cpl,,1
功能: 显示“控制面板-游戏控制器-进阶”选项视窗。
命令列: rundll32.exe mshtml.dll,PrintHTML (HTML文档)
功能: 列印HTML文档。
命令列: rundll32.exe shell32.dll,Control_RunDLL mlcfg32.cpl
功能: 显示Microsoft Exchange一般选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @0
功能: 显示“控制面板-滑鼠” 选项 。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @1
功能: 显示 “控制面板-键盘属性-速度”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @1,,1
功能: 显示 “控制面板-键盘属性-语言”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @2
功能: 显示Windows“印表机”档案夹。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @3
功能: 显示Windows“字体”档案夹。
命令列: rundll32.exe shell32.dll,Control_RunDLL main.cpl @4
功能: 显示“控制面板-输入法属性-输入法”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL modem.cpl,,add
功能: 执行“添加新调制解调器”向导。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,0
功能: 显示“控制面板-多媒体属性-音频”属性页。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,1
功能: 显示“控制面板-多媒体属性-视频”属性页。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,2
功能: 显示“控制面板-多媒体属性-MIDI”属性页。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,3
功能: 显示“控制面板-多媒体属性-CD音乐”属性页。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl,,4
功能: 显示“控制面板-多媒体属性-设备”属性页。
命令列: rundll32.exe shell32.dll,Control_RunDLL mmsys.cpl @1
功能: 显示“控制面板-声音”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL netcpl.cpl
功能: 显示“控制面板-网路”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL odbccp32.cpl
功能: 显示ODBC32资料管理选项视窗。
命令列: rundll32.exe shell32.dll,OpenAs_RunDLL {drive:\path\filename}
功能: 显示指定档案(drive:\path\filename)的“打开方式”对话框。
命令列: rundll32.exe shell32.dll,Control_RunDLL password.cpl
功能: 显示“控制面板-密码”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL powercfg.cpl
功能: 显示“控制面板-电源管理属性”选项视窗。
命令列: rundll32.exe shell32.dll,SHHelpShortcuts_RunDLL PrintersFolder
功能: 显示Windows“印表机”档案夹。(同rundll32.exe shell32.dll,Control_RunDLL main.cpl @2)
命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,0
功能: 显示“控制面板-区域设置属性-区域设置”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,1
功能: 显示“控制面板-区域设置属性-数字”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,2
功能: 显示“控制面板-区域设置属性-货币”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,3
功能: 显示“控制面板-区域设置属性-时间”选项视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL intl.cpl,,4
功能: 显示“控制面板-区域设置属性-日期”选项视窗。
命令列: rundll32.exe desk.cpl,InstallScreenSaver [荧屏保护档案名]
功能: 将指定的荧屏保护档案设置为Windows的屏保,并显示荧屏保护属性视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,0
功能: 显示“控制面板-系统属性-传统”属性视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,1
功能: 显示“控制面板-系统属性-设备管理器”属性视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,2
功能: 显示“控制面板-系统属性-硬体配置档案”属性视窗。
命令列: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,3
功能: 显示“控制面板-系统属性-性能”属性视窗。
命令列: rundll32.exe user.exe,restartwindows
功能: 强行关闭所有程式并重启机器。
命令列: rundll32.exe user.exe,exitwindows
功能: 强行关闭所有程式并关机。
命令列: rundll32.exe shell32.dll,Control_RunDLL telephon.cpl
功能: 显示“拨号属性”选项视窗
命令列: rundll32.exe shell32.dll,Control_RunDLL themes.cpl
功能: 显示“桌面主旨”选项面板
当然,不止是VisualBasic,象Delphi.VisualC++等其他程式设计语言也可以通过呼叫外部命令的方法来使用Rundll的这些功能,具体方法这里就不再详细叙述了。灵活的使用Rundll,一定会使你的程式设计轻轻松松,达到事半功倍的效果!
rundll32.exe也是控制面板中各种设置的进程.
[义项一]
RUNDLL32.EXE经常导致的占用很大CPU原因:
1、被病毒感染。 解决办法:升级最新杀软全盘杀毒。
2、杀软显示无毒、无木马。 解决办法:可能下载了紫光V6输入法,只要不把V6设为首选输入法,则一切正常。
SearchFilterHost.exe
& & 进程文件: searchfilterhost.exe
进程名称: n/a
英文描述: searchfilterhost.exe is a process associated with Microsoft Windows Operating System from Microsoft Corporation.
进程分析: Mirosoft Windows Vista 桌面搜索过滤器程序
进程位置: unknown
程序用途: unknown
作者: Microsoft Corporation 属于: Microsoft Windows Operating System
安全等级 (0-5): 0 (N/A无危险 5最危险)
& & 间谍软件: 否 & & 广告软件: 否 病毒: 否 木马: 否
系统进程: 否 应用程序: 否 后台程序: 否 使用访问: 否 访问互联网: 否
SearchIndexer.exe
进程文件 searchindexer.exe 进程名称 searchindexer.exe
相关资料 searchindexer.exe is a service belonging to Windows Vista
程序用途 - Windows Vista 增强搜索功能
作者 - Microsoft 属于 - Microsoft
安全等级 (0-5) N/A (N/A无危险 5最危险)
间谍软件 否 广告软件 否 病毒 否 木马 否
系统进程 否 应用程序 否 后台程序 否 使用访问 否 访问互联网 否
对Vista来说是一个很重要的功能,资源占用不大但搜索功能达到了飞越.
SearchProtocolHost.exe
进程文件: searchprotocolhost.exe
进程名称: n/a
英文描述: searchprotocolhost.exe is a process associated with Microsoft庐 Windows庐 Operating System from Microsoft.
进程分析:
MirosoftWindowsVista桌面搜索协议信程序。
路径:C:\Windows\System32\SearchProtocolHost.exe
PCSuite.exe
& & 手机PC套件
ServiceLayer.exe
servicelayer-servicelayer.exe -进程信息
进程文件:servicelayer 或者 servicelayer.exe
进程名称:Nokia Connectivity Library
描述:servicelayer.exe is a process belonging to Nokia Connectivity Library. It is needed when running the Nokia Connection Manager.
诺基亚手机电脑套件程序。
出品者: Nokia 属于: Nokia Connectivity Library
系统进程:否 后台程序:否 使用网络:否 硬件相关:否
常见错误:未知n/a 内存使用:未知n/a 安全等级(0-5): 0(0无危险,5最危险)
间谍软件:否 广告软件:否 病毒:否 木马: 否
Services.exe
& & 进程文件: services 或者 services.exe
进程名称: Windows Service Controller
& & 编辑本段描述:services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。正常的services.exe应位于%systemroot%\System32文件夹中,也就是在进程里用户名显示为“system”,不过services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
英文描述:services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin
出品者: Microsoft Corp. 属于:Microsoft Windows Operating System
系统进程: 是 后台程序: 是 使用网络: 否 硬件相关: 否 常见错误: 未知N/A
内存使用: 1336kb 安全等级 (0-5): 0
间谍软件: 否 Adware: 否 广告软件: 否 木马: 否
长时间使用电脑会导致services.exe占用大量内存,其主要原因是Event Log过多,而services.exe启动时会加载Event log。由此使得进程占用大量内存。
解决方法:“控制面板”-“管理工具”-“事件查看器”里,把三种事件日志全部清空。
最近电脑突然卡,发现进程了多了很多个services.exe
感觉不对,马上用在线杀毒 查杀
技术分析
==========
MSN蠕虫变种,向MSN联系人发送不同语言的诱惑文字消息和带毒压缩包,当联系人接收并打开带毒压缩包中的病毒文件时系统受到感染。
病毒运行后复制自身到系统目录:
%systemroot%\system\services.exe
创建包含自身的带毒ZIP压缩包:
%systemroot%\IMG0024.zip
压缩包中包含的病毒文件名为:IMG0017-
创建启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
&Windows Services Registry&=&%Windows%\system\services.exe&
在Windows防火墙中添加自身到例外列表:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
&%systemroot%\system\services.exe&=&%Windows%\system\services.exe:*:Enabled:Messenger Sharing&
设置注册表信息:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
&WaitToKillServiceTimeout&=&7000&
根据染毒系统的语言向MSN联系人发送相应的诱惑文字消息,同时发送带毒压缩包IMG0024.zip诱使联系人接收打开:
ay no ese pelo fue lo mas chistoso...q estabas pensando
jajaja yo me recuerdo cuando tuvistes el pelo asi
oye ponga esa foto en tu myspace como la foto principal
voy a poner esa foto de nosotros en mi blog ya
esa foto de tu y yo la voy a poner en myspace
hola esas son las fotos
jaja debes poner esa foto como foto principal en tu myspace o algo
oye voy a agregar esa foto a mi blog ya
jaja recuerda cuando tuviste el pelo asi
oye voy a poner esa foto de nosotros en mi myspace :-&
Per favore nessuno lasciare vede le nostre foto
Io ricordo quando abbiamo portato questa foto
Caricher?questa foto al mio myspace adesso
省略。。。
尝试连接远程IRC:sz.secdreg.org
清除步骤
( 需要用的工具请先下载: )
1. 删除病毒创建的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
&Windows Services Registry&=&%Windows%\system\services.exe&
2. 重新启动计算机
3. 删除病毒文件:
%systemroot%\system\services.exe
%systemroot%\IMG0024.zip
4. 删除Windows防火墙例外列表中的“Messenger Sharing”项:
该项对应病毒文件:%systemroot%\system\services.exe
5. 设置注册表信息:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
&WaitToKillServiceTimeout&=&20000&
( 如果大家还是不明白的话,可以去找专杀工具
sidebar.exe
& & 进程文件 sidebar.exe
& & 进程名称 sidebar.exe
出品者 属于 部分小工具属于微软
系统进程& & 后台进程 使用网络& & 硬件相关
常见错误& & 内存使用 安全等级& & 广告软件
间谍软件& & 病毒 & & 木马
描述 WindowsVista侧边栏程序。
& & 文件名称:SLsvc.exe
文件全程:Software Licensing Service
文件类型:应用程序
描述:Microsoft 软件授权(licensing)技术提供所需的API服务
位置:C:\Windows\System32
大小:2,592,256 字节
运行方式:自动
& & 进程文件: smss or smss.exe
简介:smss.exe(Session Manager Subsystem),该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Windows登录程序(winlogon.exe),Win32子系统(csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程是正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂机)。
注意:正常的smss.exe位于system32文件夹下,双击后会提示无法在Win32模式中运行。
-----------------------------------------------------
SMSS病毒
QQ尾巴,Trojan/PSW.MiFeng蜜蜂大盗等木马病毒:
进程文件: smss.exe
进程名称: PWSteal.Wowcraft.b木马病毒
英文描述: N/A
进程分析: QQ尾巴,Trojan/PSW.MiFeng蜜蜂大盗等木马病毒。主要通过浏览恶意网页传播。该病毒修改注册表创建Run/Tok-Cirrhatus项实现自启动。新变种也通过修改注册表Winlogon项下的Userinit实现自启动,并将病毒模块regsvr.dll,cn_spi.dll注入进程运行。
安全等级 (0-5): 0 (N/A无危险 5最危险) 间谍软件: 是 广告软件: 是
病毒: 是 木马: 是 系统进程: 否 应用程序: 否 后台程序: 是 使用访问: 是 访问互联网: 否
清除方法:
1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%\SMSS.EXE进程,注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序,不要颠倒。
4. 可以删除文件和启动项了……
要删除的清单请见:
删除的启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
&TProgram&=&%Windows%\SMSS.EXE&
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
&TProgram&=&%Windows%\SMSS.EXE&
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
&Shell&=&Explorer.exe 1&
修改为:
&Shell&=&Explorer.exe&
删除的文件就是一开始说的那些,别删错就行
5. 最后打开注册表编辑器,恢复被修改的信息:
查找“explorer.com”,把找到的“explorer.com”修改为“explorer.exe”;
查找“finder.com”、“command.pif”、“rundll32.com”,把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”;
查找“iexplore.com”,把找到的“iexplore.com”修改为“iexplore.exe”;
查找“iexplore.pif”,把找到的“iexplore.pif”,连同路径一起修改为正常的IE路径和文件名,比如“C:\Program Files\Internet Explorer\iexplore.exe”。
smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
清除的方法请见:
1. 结束病毒的进程%Windows%\smss.exe(用进程管理软件可以结束,如:Process viewer)
2. 删除相关文件:
C:\MSCONFIG.SYS
%Windows%\1.com
%Windows%\ExERoute.exe
%Windows%\explorer.com
%Windows%\finder.com
%Windows%\smss.exe
%Windows%\Debug\DebugProgram.exe
%System%\command.pif
%System%\dxdiag.com
%System%\finder.com
%System%\MSCONFIG.COM
%System%\regedit.com
%System%\rundll32.com
%ProgramFiles%\Internet Explorer\iexplore.com
%ProgramFiles%\Common Files\iexplore.pif
3. 恢复EXE文件关联
删除[HKEY_CLASSES_ROOT\winfiles]项
4. 删除病毒启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
&Torjan Program&=&%Windows%\smss.exe&
修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
&shell&=&Explorer.exe 1&
&shell&=&Explorer.exe&
5. 恢复病毒修改的注册表信息:
(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息,将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
(2)查找“explorer.com”的信息,将“explorer.com”修改为“explorer.exe”
(3)查找“iexplore.com”的信息,将“iexplore.com”修改为“iexplore.exe”
(4)查找“iexplore.pif”的信息,将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
6 在command模式下写入assoc .exe=exefile
修复exe关联,这样exe文件才可以打的开
spoolsv.exe
spoolsv.exe 是Print Spooler的进程,管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。该进程属 Windows 系统服务。
正常spoolsv进程信息
进程文件: spoolsv or spoolsv.exe
进程名称: Microsoft Printer Spooler Service
描述:spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级别是建议立即删除。
出品者: Microsoft Corp. 属于:Microsoft Windows 2000 and later
系统进程: 是 后台程序: 是 使用网络: 否 硬件相关: 否
常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 0
间谍软件: 否 Adware: 否 病毒: 否 木马: 否
木马spoolsv进程信息:
描述:这个垃圾软件利用将msicn\msibm.dll插入多个进程的方法对系统进行监控,在system32下创建如下该死的东西:
wmpdrm.dll
msicn\msibm.dll
msicn\ube.exe
msicn\plugins\
spoolsv\spoolsv.exe(这个还长得像微软打印服务,shit!!)
注册表加入如下垃圾:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
&spoolsv&=&%System%\spoolsv\spoolsv.exe -printer&
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
@=&%System%\wmpdrm.dll&
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\]
[HKEY_CLASSES_ROOT\Interface\]
然后每隔4秒左右对以上东西进行监控,前后互相照应,让你无从下手
启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer
cfs2…… 相关文件、目录:
%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe,有一个启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
&spoolsv&=&%System%\spoolsv\spoolsv.exe -printer&
运行后会调用%System%\msicn\msibm.dll,创建%System%\1116\目录,备份用。
%System%\1116\目录是备份目录,里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。
%System%\msicn\msibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
&spoolsv&
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
@=&%System%\wmpdrm.dll&
注:&spoolsv&的数据不会被监视,所以修改它的数据也不会被恢复,只有删除&spoolsv&才会被恢复。
还可能会从远程服务器下载文件:
secp.exe是个安装程序,安装以下文件:
%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\(目录里4个dll文件)
%System%\wmpdrm.dll是一个BHO,%System%\msicn\ube.exe像是卸载程序。
另外,在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如:
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
注:如果%System%\spoolsv\spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
另外……
在“开始菜单”&&“程序”里 可能 会有一项“NavAngel”,里面有个快捷方式NavAngel.lnk,指向:%System%\spoolsv\spoolsv.exe -ctrlfun:4,3
“添加/删除程序”里有一项“NavAngel”,对应命令是:%System%\spoolsv\spoolsv.exe -ctrlfun:4,2
还有一项“WinDirected 2.0”,对应命令是:%System%\spoolsv\spoolsv.exe -uninst
还可能会有mscache\目录,从名字看像是存放临时缓存文件的。
BHO相关注册表信息:
[HKEY_CLASSES_ROOT\CLSID\]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\]
[HKEY_CLASSES_ROOT\Interface\]
判别自己是否中毒:
1、点开始-运行,输入msconfig,回车,打开实用配置程序,选择“启动”, 感染以后会在启动项里面发现运行Spoolsv.exe的启动项, 每次进入windows会有NTservice的对话框。
2、打开系统盘,假设C盘,看是否存在C:\WINDOWS\system32\spoolsv文件夹,里面有个spoolsv.exe文件,有“傲讯浏览器辅助工具”的字样说明,正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录下。
3,打开任务管理器,会发现spoolsv.exe进程,而且CPU占用率很高。
清除方法:
1、重新启动,开机按F8进入安全模式。
2、点开始-运行,输入cmd,进入dos。
利用rd命令删除以下目录(如果存在)( 在dos窗口下输入:rd(空格)C:\WINDOWS\system32\spoolsv/s,回车,出现提示,输入y回车,即可删除整个目录。):
C:\WINDOWS\system32\msibm
C:\WINDOWS\system32\spoolsv
C:\WINDOWS\system32\bakcfs
C:\WINDOWS\system32\msicn
利用del命令删除下面的文件(如果存在)(比如在dos窗口下输入:del(空格)C:\windows\system32\spoolsv.exe,回车,即可删除被感染的spoolsv.exe,这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到
C:\windows\system32文件夹。):
C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\wmpdrm.dll
3、重启按F8再次进入安全模式。
(1)桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击
NTservice,选择“属性”,修改启动类型为“禁用”。
(2)点开始,运行,输入regedit,回车打开注册表,点菜单上的编辑,选择查找,查找含有spoolsv.exe的注册表项目,删除。可以利用F3继续查找,将含有spoolsv.exe的注册表项目全部删除。
4、若以上操作完成后,仍然有该进程。请桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击print spooler,选择“属性”,先点“停止”然后修改启动类型为手动或“禁用”。随后重复以上步骤。
另外解决方案 直接删除C:\WINDOWS\system32\spool\PRINTERS 下的文件即可
我还遇到一种情况:经检查,不是以上所描述的病毒,但经常占CPU 100%,但是连续关进程几次,便不再出现,奇怪。
如上所述,在system32里有 spool文件夹。直接把 \PRINTERS 下的文件删除,便解决了这个问题。
这可能不是“病毒”问题,而是系统的故障,但出现了还是很麻烦的。
-----------------------------------------------------------------
微软的解释
Windows 2000 后台打印程序没有删除打印作业后台文件
您向打印机发送打印作业时,后台打印程序在打印作业完成后可能没有从 %Systemroot%\System32\Spool\Printers 文件夹删除打印后台文件,因而后台打印程序可能会反复地尝试对该打印作业进行后台处理。
该打印后台文件的存在并不会阻止其他打印作业的后台处理。
如果打印作业的打印后台文件具有只读属性,就会发生这种问题。
解决方案
为避免发生此问题,请不要在打印后台文件位于 %Systemroot%\System32\Spool\Printers 文件夹中时更改它的属性。
要解决此问题,请删除只读属性,然后将该后台文件从 %Systemroot%\System32\Spool\Printers 文件夹中删除。
要删除只读属性,请右键单击 Windows 资源管理器或我的电脑中的后台文件,单击属性,单击清除只读复选框,然后单击确定。
有关如何在 Windows 2000 中删除文件的更多信息,请单击开始,单击帮助,单击索引选项卡,键入删除,然后双击删除文件主题。
这种现象是设计所导致的。
更多信息
默认情况下,打印后台文件只有存档属性。打印后台文件属性只会在以下情况下发生更改:当文件位于 %Systemroot%\System32\Spool\Printers 文件夹中时,程序更改了它的属性;或者,用户或管理员特意更改了文件属性。
stacsc.exe
sttray.exe
sttray.exe - sttray - 进程信息,Sigmatel音频调节控制进程,无任何危害!
进程名称: n/a 英文描述: n/a
进程分析:
在任务管理器中出现该进程,会危害电脑吗?需要如何处理吗?
不会危害电脑,可以在启动里将其去掉,以后就不会再出现了。
进程位置: unknown
程序用途: Sigmatel音频调节控制进程
作者: Sigmatel 属于: Sigmatel 安全等级 (0-5): 0 (N/A无危险 5最危险)
间谍软件: 否 广告软件: 否 病毒: 否 木马: 否
系统进程: 否 应用程序: 是 后台程序: 否 使用访问: 否 访问互联网: 否
svchost.exe---14个
进程文件: svchost or svchost.exe
进程名称: Generic Service Host Process for Win32 Services
进程类别:系统进程
位置:C:/windows/system32/svchost.exe (如果你的svchost.exe进程不是在这个目录下的话,那么就要当心了)
描述svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对你系统的正常运行是非常重要,而且是不能被结束的。
(注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。更多详细信息参考:,该进程的安全等级是建议立即删除。)
出品者:Microsoft Corp. 属于:Microsoft Windows Operating System
系统进程:Yes 后台程序:Yes 网络相关:Yes
常见错误:N/A 内存使用:N/A 安全等级 (0-5): 0
间谍软件:No 广告软件:No 病毒:No 木马:No
发现:
在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remoteprocedurecall)、dmserver服务(logicaldiskmanager)、dhcp服务(dhcpclient)等。到了Windows Vista 系统时svchost 进程多达12个,这些svchost.exe都是同一个文件路径下C :\Windows\System32\svchost.exe , 它们分别是imgsvc、 NetworkServic什么玩艺workRestricted、 LocalServiceNoNetwork 、NetworkService 、LocalService 、netsvcs 、LocalSystemNetworkRestricted、 LocalServic什么玩艺workRestricted 、services 、rpcss、 WerSvcGroup 、DcomLaunch服务组。如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist-s”命令来查看,该命令是win2000supporttools提供的。在winxp则使用“tasklist/svc”命令。
svchost中可以包含多个服务
深入:windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot%system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?
原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remoteprocedurecall)服务为例,进行讲解。
从启动参数中可见服务是靠svchost来启动的。
以windowsxp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remoteprocedurecall”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost-krpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine\system\currentcontrolset\services\rpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost-krpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“%systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。
假设windowsxp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
Svchost.exe说明解疑对Svchost的困惑
---------------
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost)来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
简单的说没有这个RPC服务,机器几乎就上不了网了。很多应用服务都是依赖于这个RPC接口的,如果发现这个进程占了太多的CPU资源,直接把系统的RPC服务禁用了会是一场灾难:因为连恢复这个界面的系统服务设置界面都无法使用了。恢复的方法需要使用注册表编辑器,找到 HKEY_LOCAL_MACHINE && SYSTEM && CurrentControlSet && Services && RpcSs, 右侧找到Start属性,把它的值改为2再重启即可
造成svchost占系统CPU 100%的原因并非svchost服务本身:以上的情况是由于Windows Update服务下载/安装失败而导致更新服务反复重试造成的。而Windows的自动更新也是依赖于svchost服务的一个后台应用,从而表现为svchost.exe负载极高。 常发生这类问题的机器一般是上网条件(尤其是去国外网站)不稳定的机器,比如家里的父母的机器,往往在安装机器几个月以后不定期发生,每个月的第二个星期是高发期:因为最近几年MS很有规律的在每个月的第二个星期发布补丁程序)。上面的解决方法并不能保证不重发作,但是为了svchost文件而每隔几个月重装一次操作系统还是太浪费时间了。
更多的信息
为了能看到正在运行在Svchost列表中的服务。
开始-运行-敲入cmd
然后在敲入 tlist -s (tlist 应该是win2k工具箱里
