篇一:彻底解决services.exe进程病毒
彻底解决services.exe进程病毒
1 services.exe - services - 进程介绍
进程文件: services or services.exe
进程名称: Windows Service Controller
进程类别:其他进程
英文描述:
services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin
中文参考:
services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection
Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:Yes
网络相关:No
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No
这个后门还不错,也有点BT吧,共产生14个文件+3个快捷图标+2个文件夹。注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的 exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩。即为中毒后,任意一个EXE文件的属性,“应用程序”变成“EXE文件”
当然,清除的方法也很简单,不过需要注意步骤:
一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分
1.SYSTEM.INI (NT系统在注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon)
shell = Explorer.exe 1 修改为shell = Explorer.exe
2.将 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的
Torjan Program----------C:\WINNT\services.exe删除
3. HKEY_Classes_root\.exe
默认值 winfiles 改为exefile
4.删除以下两个键值:
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles
5. 打开注册表编辑器,依此分别查找“rundll32.com”、“finder.com”、“command.pif”,把找到的内容里面的“rundll32.com”、“finder.com”、“command.pif”分别改为“Rundll32.exe”
6. 查找“iexplore.com”的信息,把找到的内容里面的“iexplore.com”改为“iexplore.exe”
7. 查找“explorer.com”的信息,把找到的内容里面的“explorer.com”改为“explorer.exe”
8. 查找“iexplore.pif”,应该能找到类似“%ProgramFiles%\Common Files\iexplore.pif”的信息,把这内容改为“C:\Program Files\Internet Explorer\iexplore.exe”
9. 删除病毒添加的文件关联信息和启动项:
[HKEY_CLASSES_ROOT\winfiles]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Torjan Program"="%Windows%\services.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
HKEY_CLASSES_ROOT\MSWinsock.Winsock
HKEY_CLASSES_ROOT\MSWinsock.Winsock.1
HKEY_CLASSES_ROOT\CLSID\{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\CLSID\{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\Interface\{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT\TypeLib\{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒
二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开“我的电脑”后请使用右键单击分区,选“打开”进入。或者直接执行附件的Kv.bat来删除以下文件
c:\antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
%programfiles%\common files\iexplore.pif
%programfiles%\Internat explorer\iexplore.com
%windir%\1.com
%windir%\exeroute.exe
%windir%\explorer.com
%windir%\finder.com
%windir%\mswinsck.ocx
%windir%\services.exe
%windir%\system32\command.pif
%windir%\system32\dxdiag.com
%windir%\system32\finder.com
%windir%\system32\msconfig.com
%windir%\system32\regedit.com
%windir%\system32\rundll32.com
删除以下文件夹:
%windir%\debug
%windir%\system32\NtmsData
一、病毒评估
1. 病毒中文名: SCO炸弹变种N
2. 病毒英文名: Worm.Novarg.N
3. 病毒别名: Worm.Mydoom.m
4. 病毒大小: 28832字节
5. 病毒类型: 蠕虫病毒
6. 病毒危险等级: ★★★★
7. 病毒传播途径: 邮件
8. 病毒依赖系统: Windows 9X/NT/2000/XP
二、病毒的破坏
1. 通过电子邮件传播的蠕虫病毒,感染之后,它会先在用户本地机器上搜索电子邮件地址,向其发送病毒邮件;
2. 利用在本机上搜索到的邮件地址的后缀当关键词,在Google、Yahoo等四个搜索引擎上搜索相关的email地址,发送病毒邮件传播自身。
3. 大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢。
4. 感染了此病毒的机器,IE浏览器、OE软件和Outlook软件都不能正常使用。
5. 病毒大量向外发送病毒邮件,严重消耗网络资源,可能造成局域网堵塞。
三、技术分析
1. 蠕虫病毒,采用Upx压缩。运行后,将自己复制到%WINDOWS%目录下,文件名为:java.exe。释放一个后门病毒在同一目录中,文件名为:services.exe。
2. 在注册表启动项“\CurrentVersion\Run”下加入这两个文件的启动键值:JavaVM和Service,实现病毒的开机自启动。
3. 强行关闭IE浏览器、OE软件和Outlook软件,使其不能正常使用。
4. 在本地机器上搜索电子邮件地址:从注册表中读取当前系统当前使用的wab文件名,并在其中搜索email地址;搜索internet临时目录 (Local Settings\Temporary Internet Files)中的文件,从中提取电子邮件地址;遍历盘符从C:盘到Z:的所有硬盘,并尝试从以下扩展名文件中提取email地
址:.adb ,.asp ,.dbx ,.htm ,.php ,.pl ,.sht ,.tbb ,.txt ,.wab。
5. 当病毒搜索到email地址以后,病毒以“mailto+%本地系统搜出的邮件地址%”、“reply+%本地系统搜出的邮件地址%”、 “{|contact+| |e| |-| |mail}+%本地系统搜出的邮件地址%”为关键字,利用以下四种搜索引擎进行email地址邮件搜索:search.lycos.com、 search.yahoo.com、、,利用这种手段,病毒能够搜索到非常多的可用邮件 地址。
6. 病毒邮件的附件名称为:readme ,instruction ,transcript ,mail ,letter ,file ,text ,attachment等,病毒附件扩展名为:cmd ,bat ,com ,exe ,pif ,scr ,zip。
四、病毒解决方案:
1. 进行升级
瑞星公司将于当天进行紧急升级,升级后的软件版本号为16.37.10,该版本的瑞星杀毒软件可以彻底查杀“SCO炸弹变种N”病毒,瑞星杀毒软件标准版和网络版的用户可以直接登陆瑞星网站
( .cn/ )下载升级包进行升级,或者使用瑞星杀毒软件的智能升级功能。
2. 使用专杀工具
鉴于该病毒的特性,瑞星公司还为手中暂时没有杀毒软件的用户提供了免费的病毒专杀工具,用户可以到: http://it.rising.com.cn/service/technology/tool.htm 网址免费下载使用。
3. 使用在线杀毒和下载版
用户还可以使用瑞星公司的在线杀毒与下载版产品清除该病毒,这两款产品是通过手机付费使用的,用户可以登陆 http://online.rising.com.cn/ 使用在线杀毒产品,或者登陆 http://go.rising.com.cn/ 使用下载版产品。
4. 打电话求救
如果遇到关于该病毒的其它问题,用户可以随时拨打瑞星反病毒急救电话:010-82678800来寻求反病毒专家的帮助!
5. 手动清除
(1)结束系统中进程名为:Services.exe和java.exe(在%windows%目录中)
(2)删除系统临时目录中的两个病毒数据文件:MLITGB.LOG和ZINCITE.LOG
(3)删除病毒键立的注册表键:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“JavaVM”=%WINDOWS%\java.exe
和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
“Services”=%WINDOWS%\Services.exe
注: %WINDOWS% 是指系统的windows目录,在Windows 9X/ME/XP下默认为:
C:\WINDOWS,Win2K下默认为:C:\WINNT
注: %WINDIR%指的是Windows系统的安装目录,在Windows 95/98/ME/XP操作系统下默认为:C:\WINDOWS目录,在WINDOWS2000操作系统下默认为:C:\WINNT目录。
五、安全建议:
1. 建立良好的安全习惯。 例如:对一些来历不明的邮件及附件不要打开,不要上一些不太了解的网站、不要执行从 Internet 下载后未经杀毒处理的软件等,这些必要的习惯会使您的计算机更安全。
2. 关闭或删除系统中不需要的服务。 默认情况下,许多操作系统会安装一些辅助服务,如 FTP 客户端、Telnet 和 Web 服务器。这些服务为攻击者提供了方便,而又对用户没有太大用处,如果删除它们,就能大大减少被攻击的可能性。
3. 经常升级安全补丁。 据统计,有80%的网络病毒是通过系统安全漏洞进行传播的,象蠕虫王、冲击波、震荡波等,所以我们应该定期到微软网站去下载最新的安全补丁,以防范未然。
4. 使用复杂的密码。 有许多网络病毒就是通过猜测简单密码的方式攻击系统的,因此使用复杂的密码,将会大大提高计算机的安全系数。
5. 迅速隔离受感染的计算机。 当您的计算机发现病毒或异常时应立刻断网,以防止计算机受到更多的感染,或者成为传播源,再次感染其它计算机。
6. 了解一些病毒知识。 这样就可以及时发现新病毒并采取相应措施,在关键时刻使自己的计算机免受病毒破坏。如果能了解一些注册表知识,就可以定期看一看注册表的自启动项是否有可疑键值;如果了解一些内存知识,就可以经常看看内存中是否有可疑程序。
7. 最好安装专业的杀毒软件进行全面监控。 在病毒日益增多的今天,使用杀毒软件进行防毒,是越来越经济的选择,不过用户在安装了反病毒软件之后,应该经常进行升级、将一些主要监控经常打开(如邮件监控)、内存监控等、遇到问题要上报, 这样才能真正保障计算机的安全。
8. 用户还应该安装个人防火墙软件进行防黑。 由于网络的发展,用户电脑面临的黑客攻击问题也越来越严重,许多网络病毒都采用了黑客的方法来攻击用户电脑,因此,用户还应该安装个人防火墙软件,将安全级别设为中、高,这样才能有效地防止网络上的黑客攻击。
篇二:Windows DirectX诊断工具
dxdiag
目录
Dxdiag是Windows的DirectX诊断工具,最早作为DirectX6.0的一部分,在1998年8月发布。。它可
以显示您的计算机上DirectX相关的文件,检查正在运行的文件、输入设备、以及视频驱动程序版本。他还可以用来诊断和测试 DirectPlay、DirectSound、DirectMusic、DirectDraw和Direct3D的功能。
DirectX是微软公司开发的一整套API接口方案,用来驱动高速多媒体和游戏,它是Windows的核心技术。在DirectX以前,微软曾经在WindowsNT平台上使用OpenGL。当时,OpenGL需要“高端”硬件并且着重于工程和CAD应用,而Direct3D作为OpenGL的轻量级伙伴,着重于游戏应用。随着3D游戏兴起,OpenGL逐渐包含了对游戏类交互多媒体应用更好的编程支持,从而为开发者提供OpenGL或者Direct3D作为3D图形API的选择。DirectX在系统后台运行,可以大大加快计算机的处理音频和视频内容。你很少需要考虑它,除非需要知道您的系统详细规格。这就是DirectX诊断工具
DxDiag的用场。当然,你也可以用DxDiag来检查并排除DirectX的故障。 DirectX诊断工具对您的计算机进行一次快照,并显示它所找到的信息。
要运行DirectX诊断工具,单击开始 ,然后选择菜单项运行,在运行对话框中,输入: dxdiag,单击确定。然后,DirectX诊断工具就会被加载,会出现Dxdiag对话框。(在此过程中,可能需要下载WHQL认证) DirectX的主要组成部分
Direct3D 使计算机上的三维动画成为可能。Direct3D旨在提供计算机的显卡和进行3D物体渲染的软件之间强大的联系。你的计算机处理动画的速度越快,三维物体、光照和运动在显示器上的便显得越真实。
DirectDraw 这用来帮助生成二维视觉特效。在发送完成的可视化图像到显示器之前,显卡和许多软件程序之间使用DirectDraw进行交互通信。电脑游戏、2D图形包和Windows系统功能都需要使用DirectDraw。 DirectSound 这提高了音频效果的性能,并且使许多音频混合和回放的微妙效果成为可能。它提供了软件程序和计算机硬件之间的联系。
DirectSound为多媒体程序,例如游戏和电影,提供了硬件加速、混合能力以及访问声卡的能力。
使用Windows DirectX诊断工具Dxdiag
下面列表包含了Dxdiag里面各个标签的描述。
系统 (System)
系统标签提供您的计算机系统的信息,以及计算机上安装的DirectX版本。
DirectX文件 (DirectX Files)
DirectX文件标签列出安装在计算机上的DirectX文件名和版本号,以及许多在DirectX下运行的游戏使用的通用文件的文件名和版本号。 如果DirectX诊断工具检测到有问题的DirectX文件,则出现警告讯息。
显示 (Display)
显示标签上列出您目前的显示设定,并允许您禁用DirectDraw,
Direct3D和AGP纹理加速。此标签也允许测试DirectDraw和Direct3D 。 如果通过这些测试,表明DirectX图形运行文件安装和操作正确。这不是您的计算机显示硬件的全面测试。
显示选项卡上还列出了您的设备的可用内存,并可以告诉你您的视频驱动程序是否“签名” ,如果“签名”意味着它已通过微软Windows硬件质量实验室测试方案。
如果DirectX诊断工具检测到您的显示设置有问题,则会出现警告讯息。
注意: Dxdiag.exe不能够报告在它启动时使用的内存。因此,如果看到报告的内存比显卡实际内存少,这并不奇怪。
声音 (Sound)
声音标签会显示您当前的声音设置,可让您测试DirectSound。它可以告诉你,您的音频驱动程序是否“签名”,表明它是否通过微软Windows硬件质量实验室测试方案。
硬件的声音加速级别滑块用来纠正可能由某些音频驱动程序引起的音频故障。将声音加速减少一格,并重新测试应用程序是排除DirectSound音频问题的最佳方法。
将硬件的声音加速级别从默认设置的“全面加速”降低,可能会停用一些先进的音频处理技术,例如3D空间化功能。
如果DirectX诊断工具检测到您的声音设置问题,会显示一个警告消息。
音乐 (Music)
音乐标签会显示您当前的MIDI设置,使您能够测试DirectX的
DirectMusic组件。如果DirectX诊断工具检测到DirectMusic问题,会显示一个警告消息。
输入 (Input)
输入标签列出了连接到您的计算机的输入设备,以及安装的输入驱动程序。DirectX诊断工具检测到有问题的输入设备或输入驱动程序,会显示一个警告消息。
网络 (Network)
网络选项卡列出了已注册的DirectPlay服务提供程序。这些是DirectPlay将要交互操作的连接方法。
这里的注册问题通常可以通过重新安装DirectX进行解决。 已注册的Lobyable DirectPlay应用程序部分列出了已经通知DirectX,由于网络通信需求而使用DirectPlay的所有应用程序。
这里的注册问题通常可以通过删除并重新安装该应用程序进行解决。 测试DirectPlay使用指定的设置打开基于DirectPlay的一个聊天窗口。无法成功相互聊天的系统几乎将肯定无法建立游戏的网络连接。 如果DirectX诊断工具检测到DirectPlay服务提供程序或应用程序问题,会显示一个警告消息。
更多帮助 (More Help)
如果使用前面的故障检测标签不能解决您的DirectX问题,可以使用更多帮助标签,继续排查问题。
下面的列表包含更多帮助标签上每个按钮描述的功能:
疑难解答按钮启动DirectX疑难解答。
声音按钮启动声音疑难解答。
系统信息按钮启动Msinfo32.exe,这是一个收集您的计算机系统信息的实用工具。该工具创建的文件可以发送到微软的技术支持,以帮助解决当前问题。
替代按钮可以改变DirectDraw的刷新率。
注意: Microsoft不建议改变DirectDraw刷新率作为一般故障排除的步骤。
保存诊断信息
人们发现当需要其他人协助排查系统问题和故障的时候,创建Dxdiag报告非常有用。该报告包含了计算机上安装的一些扩展信息,包括硬件、驱动、解码器等,但是不包含可能泄露个人信息的任何有害信息。 点击Dxdiag对话框右下角的“保存所有信息”按钮,便可以创建Dxdiag报告。该报告为txt文本文件。可以将它发送给技术人员或者发布到论坛上寻求帮助。
Windows Vista的Dxdiag
请注意,在Windows Vista下的DirectX诊断工具进行了一些细微的变化。你仍可以通过在开始菜单的“开始搜索”框中输入dxdiag来访问它。 应用技巧
电影图像截取
先按住alt,再按下pri screen键即可截到当前活动窗图像。但使用该方法对播放中的电影截取图像的时候通常得到的是黑屏。
可以在Dxdiag的显示标签中,禁用dircet 3D和direct draw,来解决这个问题。这个方法对real player和windows media player 播放器有效。
播放电影出现花屏问题
如果利用迅雷看看等播放器观看视频时出现绿屏或者花屏,可以打开Dxdiag,在显示选项卡中把AGP纹理加速禁用来解决。
编辑本段
2. 病毒木马程序
进程文件: dxdiag.exe
进程名称: Feardoor Trojan 程序用途: unknown 作者: unknown 属于: Feardoor Trojan 安全等级 (0-5): 4 (N/A无危险 5最危险) 间谍软件: 否 广告软件: 否 病毒: 是
木马: 是
系统进程: 否 后台程序: 是 使用网络:是 硬件相关:否
篇三:A计算机任务管理器进程
1、System Idle Process系统进程介绍
[system Idle Process]
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描 述: Windows页面内存管理进程,拥有0级优先。
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
System Idle Process为何物
问:在使用Windows XP的过程中,按“Ctrl+Alt+Del”键调出任务管理器,在进程中我发现一个名为“System Idle Process”的进程,它往往占用了大部分CPU资源,经常是80%以上,请问为什么它占用了那么多资源?答:你误解了“System Idle Process”进程的意思了,这里的80%并不是你所想的占用CPU的资源,恰恰相反的是这里的80%以上是CPU资源空闲了出来的。这里的数字越大表示CPU可用资源越多,数字越小则表示CPU资源越紧张。该进程是系统必须的,不能禁止哦。 系统各进程详解
下面列出的都是操作系统的进程,而不是程序的进程,记住这些进程并了解他们的工作原理,用途,能让我们对系统进程的理解提升一个级别。
system Idle Process系统进程介绍 csrss.exe系统进程介绍 dllhost.exe系统进程介绍 inetinfo.exe系统进程介绍 kernel32.dll系统进程介绍 mdm.exe系统进程介绍 regsvc.exe系统进程介绍 services.exe系统进程介绍 snmp.exe系统进程介绍 spoolsv.exe系统进程介绍 svchost.exe系统进程介绍 tcpsvcs.exe系统进程介绍 winmgmt.exe系统进程介绍
alg.exe系统进程介绍 ddhelp.exe系统进程介绍 Explorer.exe系统进程介绍 internat.exe系统进程介绍 lsass.exe系统进程介绍 mmtask.tsk系统进程介绍 rpcss.exe系统进程介绍 smss.exe系统进程介绍 spool32.exe系统进程介绍 stisvc.exe系统进程介绍 taskmon.exe系统进程介绍 winlogon.exe系统进程介绍 system系统进程介绍
2、alg.exe系统进程介绍
[alg.exe]
进程文件: alg or alg.exe
进程名称: 应用层网关服务
描 述: 这是一个应用层网关服务用于网络共享。
介 绍:一个网关通信插件的管理器,为 “Internet连接共享服务”和 “Internet连接防火墙服务”提供第三方协议插件的支持。
Internet 连接共享 (ICS)/Windows 防火墙服务(ICF)的这个子组件对允许网络协议通过防火墙并在 Internet 连接共享后面工作的插件提供支持。应用程序层网关 (ALG) 插件可以打开端口和更改嵌入在数据包内的数据(如端口和 IP 地址)。文件传输协议 (FTP) 是唯一具有 Windows Server 2003 标准版和 Windows Server 2003 企业版附带的一个插件的网络协议。ALG FTP 插件旨在通过这些组件使用的网络地址转换 (NAT) 引擎来支持活动的 FTP 会话。ALG FTP 插件通过重定向所有通过 NAT 的流量和发送到通向环回适配器上 3000 到 5000 范围内的专用侦听端口的端口 21 的流量来支持这些会话。ALG FTP 插件随后监视并更新 FTP 控制通道流量,以便 FTP 插件能够通过 FTP 数据通道的 NAT 转发端口映射。FTP 插件还更新 FTP 控制通道流中的端口。
系统服务名称:ALG应用程序协议 协议 端口FTP 控制TCP 21问:
我是ADSL宽带用户,平时常常下载电影,这几星期里我用网际快车下载电影的时候(下载的中段时候),老是出错:“ALG.EXE文件挂起”。我用的是XP系统,具体询问的问题如下:1.ALG.EXE是什么文件?为什么老是会挂起?2.为什么挂起后就不可以下载了?反映连接不上,但是其它上网都很正常如QQ、MSN、看网站,是一点问题也没有(就是不可以下载了,连FTP也不可以下载)。3.重启以后就好了,但是不到五分钟又是ALG.EXE文件挂起,又不可以下载电影了。我等着,一笑哥给我想想办法吧。答:
ALG嘛,Application Layer Gateway Service是也,是Windows XP的一个应用层网关服务,通过“控制面板|管理工具|服务”,你可以看到其具体解释是“为应用程序级协议插件提供支持并启用网络/协议连接”,在其上点击右键,选择“属性|依存关系”,还可以发现“Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)”需要依赖此服务,而ICF和ICS也就是我们平时所说的XP中自带的防火墙和Internet连接共享。由于ALG的特殊性,因此很多病毒都将自己伪装成ALG.EXE文件,以欺骗系统和使用电脑的朋友,因此经常挂起很可能与你中了病毒有关,建议你使用最新版的杀毒软件进行查杀,看系统是否有问题。而在ALG.EXE挂起时,忘记快车不能够下载,是由于你启用了系统Internet连接的连接共享或者防火墙功能,ALG.EXE挂起导致这些功能失效,因此出现不能下载的情况。你可以关闭Internet连接共享以及防火墙功能,看是否有类似问题再次出现。
3、csrss.exe系统进程介绍
[csrss.exe]
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描 述: 客户端服务子系统,用以控制Windows图形相关子系统。
介 绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。
纯手工查杀木马csrss.exe
注意:csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程
前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。
然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字节,生成时间为12月9日12:37。而真正的csrss.exe只有4k,生成时间是2003年3月27日12:00,位于C:\Windows\Syetem32下。
于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。灭!
试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。
然后要查找和它有关的文件。仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。
此后在12:38分生成了一个tmp.dat文件,内容是
@echo offdebug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.outcopy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.outdel C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.outdel C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:\WINDOWS\system32\netstart.exe
好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。
汇编大约进行了1分钟,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节,另两个大小也是52736字节。前两个位于C:\Windows\System32下,后两个在当前用户的Temp文件夹里。
这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用wiar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。
现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果,也是一个木马。
这个病毒是怎么进入我的电脑的呢?搜索时发现在12月9日12:36分生成了一个快捷方式,名为dos71cd.zip,它是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
4、ddhelp.exe系统进程介绍
[ddhelp.exe]
进程文件: ddhelp or ddhelp.exe
进程名称: DirectDraw Helper
描 述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
简 介:Directx 帮助程序
错误信息:Ddhelp.exe 导致模块 Mgaxdd32.dll 中出现无效页错误症状
当使用 Windows Media Player 播放文件或运行 DxDiag.exe 工具时,您可能会看到以下错误信息:
Ddhelp.exe caused an invalid page fault in module Mgaxdd32.dll at 015F:BAAL521F(Ddhelp.exe 在 015F:BAAL521F 处导致 Mgaxdd32.dll 模块中出现无效页错误)原因
如果您的计算机中装有以下任何项目,就可能会出现此问题: ? Matrox Millennium II 视频适配器
Microsoft DirectX 6.1
不兼容的视频适配器
解决方案
要解决此问题,请与视频适配器的生产厂商联系,以获得更新的视频驱动程序。(重装新版的显卡驱动)
5、dllhost.exe系统进程介绍
[dllhost.exe]
进程文件: dllhost or dllhost.exe
进程名称: DCOM DLL Host进程
描 述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
介 绍:com代理,系统附加的dll组件越多,则dllhost占用的cpu资源和内存资源就越多,而8月的“冲击波杀手”大概让大家对它比较熟悉吧。
解决Web服务器出现的dllhost.exe错误
我的Web服务器出了问题。一个弹出话框显示“dllhost.exe出现错误”。当我查看应用事件日志时发现有很多Active Server Pages Event 5这样的错误。它们在错误信息中显示为“line 0内存溢出”。这种错误以前每隔几天就发生一次,但现在是每隔几小时就发生一次。重启后也只能维持一阵子。你对此有什么看法吗?
我还没碰到过这种问题,但我在微软的参考信息中看到Exchange Outlook Web Access使用过程中描述过这样的错误。(http://support.microsoft.com/?kbid=224327)
该链接建议你安装最新的Exchange升级版。如果你在使用Exchange,不妨尝试一下。如果没有,我就要给你一些建议,它们同那些存在ASP 3.0方面问题的人的建议一样:
确保你有所有最新升级版和服务包。
在每个Web应用中允许进程隔离。
将应用程序升级到ASP.NET。
将Web 服务器升级到Windows Server 2003。
了解真相 dllhost.exe是病毒吗?
dllhost.exe 解释
dllhost.exe是什么?
dllhost.exe是运行COM+的组件,即COM代理,运行Windows中的Web和FTP服务器必须有这个东西。
什么时候会出现dllhost.exe?
运行COM+组件程序的时候就会出现。例如江民KV2004
《dxdiag.exe是进程什么》出自:百味书屋
链接地址:http://www.850500.com/news/72312.html
转载请保留,谢谢!