ccmexec.exe
进程名称:Microsoft SMS Agent Host
描述:ccmexec.exe是微软SMS操作系统服务.该SMS Agent Host服务在其它服务之上.这个程序对你系统的正常运行是非常重要的.
出品者:Microsoft
属于:MicrosoftWindowsOperatingSystem

cidaemon.exe
进程名称:Microsoft Indexing Service
描述:cidaemon.exe是一个索引服务,为了让你更加快速的查找文件.
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
停止进程的方法:运行services.msc打开服务管理界面,找到"Indexing Service"并双击,点击"停止"按钮,然后将"启动类型"修改为"禁用"即可.
进程文件:cidaemon or cidaemon.exe
进程名称:Microsoft Indexing Service
进程类别:其他进程
英文描述:cidaemon.exe is an indexing service which catalogues files on your computer to enable for faster file searches.
中文参考:cidaemon.exe是一个索引服务,为了让你更加快速的查找文件.
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
启动了这个服务就会在电脑空闲的时候建立索引,机器会变慢！
可以通过以下的方法取消该服务:
打开我的电脑→按"搜索"→"更改首选项"→"不使用制作索引服务(I)"→选"否,请不要启用制作索引服务(N)" 然后确定就ok了.

cisvc.exe
进程名称:Microsoft Index Service Helper
描述:cisvc.exe是微软Windows操作系统自带的程序.它用于监测CIDAEMON.exe内存使用状态,防止可用内存过低问题,如果cidaemon.exe内存使用超过了40M,则自动重新启动该进程.这是一个系统进程,不要进行删除.
出品者:Microsoft Corp.
属于:Microsoft Windows

csrss.exe
进程名称:Microsoft Client / Server Runtime Server Subsystem
描述:csrss.exe是微软客户端/服务端运行时子系统.该进程管理Windows图形相关任务.这个程序对你系统的正常运行是非常重要的.
注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.WebusTrojan、Win32.Ladex.a等病毒创建的.该病毒通过Email邮件进行传播,当你打开附件时,即被感染.该蠕虫会在受害者机器上建立SMTP服务,用以自身传播.该病毒允许攻击者访问你的计算机,窃取木马和个人数据.这个进程的安全等级是建议立即进行删除.
出品者:Microsoft Corp
属于:Microsoft Windows Operating System

ctfmon.exe
进程名称: Alternative User Input Services
描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条.Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持.
描述:ctfmon.exe是Microsoft Office产品套装的一部分.它可以选择用户文字输入程序,和微软OfficeXP语言条.这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题.
出品者:Microsoft Corp.
属于:Microsoft Office Suite

internat.exe
进程名称:Microsoft Input Locales
描述:internat.exe是微软Windows多语言输入程序.这个程序对你系统的正常运行是非常重要的.
注意:internatt.exe也有可能是Win32.Lydra.a木马的一部分.该木马允许攻击者访问你的计算机,窃取密码和个人数据.该进程的安全等级是建议删除.
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System

inetinfo.exe
进程文件:IIS Admin Service Helper
描述:inetinfo.exe主要用于支持微软WindowsIIS网络服务的除错.这个程序对你系统的正常运行是非常重要的.
出品者:Microsoft Corp.
属于:Microsoft Windows Server Suites
正常情况下,inetinfo.exe 是 IIS admin Service 或 world wide web publishing service,
手动处理:
先停止 OpenSSL.exe和inetinfo.exe 这两个进程,然后再将C:/WINDOWS/SESTEM/OpenSSL.exe 和C:/WINDOWS/SESTEM/inetinfo.exe这两个文件删除就OK了.
inetinfo.exe删除了再重新出现都是由于OpenSSL.exe这个东西在作怪,把OpenSSL.exe 删了,就会发现inetinfo.exe删了不再出现.
如不需要,可在服务管理器services.msc中终止这两项服务即可！

lsass.exe
进程名称:Local Security Authority Service
lsass.exe是一个系统进程,用于微软Windows系统的安全机制.它用于本地安全和登陆策略.
注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播.
lsass.exe is a system process of the Microsoft Windows security mechanisms. It specifically deals with local security and login policies.
Note: lsass.exe also relates to the Windang.worm, irc.ratsou.b, Webus.B, MyDoom.L, Randex.AR, Nimos.worm which
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System

映像名称                       PID 服务
========================= ======== ============================================
lsass.exe                      452 HTTPFilter, Netlogon, PolicyAgent,
                                   ProtectedStorage, SamSs

如果你的启动菜单里有个lsass.exe启动项,那就证明你得lsass.exe木马病毒,中毒后,会在windows里产生lsass.exe和exert.exe两个病毒文件,还会在D盘根目录下产生command.com和autorun.inf两个文件,同时侵入注册表破坏系统文件关联.在进程里可以见到有两个相同的进程,分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行.LSASS.EXE管理exe类执行文件,exert.exe管理程序退出.
下载个进程管理器,找出问题进程的路径,手动终止LSASS.EXE和exert.exe两个进程(管理器不能终止LSASS.EXE,提示系统进程不能终止),打开msconfig.exe取消LSASS.EXE启动项.删除C:/Documents
and Settings/Administrator/Local Settings/tempt和Temporary Internet Files下的文件,断开网络后再删除C:/Program
Files/Common Files/update文件夹,这里exe类文件已不能运行,新建一个reg文件,输入如下内容:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/.exe]
@="exefile"
"Content Type"="application/x-msdownload"
"Content Type"="%1,%*"(此处有疑问)
[HKEY_LOCAL_MACHINE/SOFTWARE/Classes/.exe/PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"
或用工具恢复注册表.
以WIN98为例:
打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程,然后到windows目录下删除这两个文件,这两个文件是隐藏的,再到D:删除command.com和autorun.inf两个文件,最后重启电脑到DOS
运行,用scanreg/restore 命令来恢复注册表,(如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表),重启后进到WINDOWS桌面用杀毒软件(本人用金山毒霸2006)全面杀毒,清除余下的病毒！
windows xp下解决LSASS.exe进程病毒
一、结束进程
先进入文件夹选项设置,把隐藏文件和文件扩展名显示出来.
然后结束LSASS.exe进程.按Ctrl+Alt+Del调出任务管理器,在切换到进程选项,"查看"菜单－"选择列",在弹出的对话框中选择"PID(进程标识符)",并点击"确定".找到映象名称为"LSASS.exe",并且用户名不是"SYSTEM"的一项,记录下其PID号.
进入到命令行控制台(开始－运行－cmd),输入"ntsd –c q -p 1064(其中,1064为LSASS.EXE的PID列的数字)"即可结束LSASS进程.
(如果结束了又会出现,那么你还是用下面的方法吧)
(推荐大家用Process Explorer,很强的进程管理工具,可以直接结束想要结束的进程,用的时候很方便.)
二、删除病毒文件
删除如下几个文件:(与WIN2000的目录有所不同)
C:/Program Files/Common Files/INTEXPLORE.pif (有的没有.pif)
C:/Program Files/Internet Explorer/INTEXPLORE.com
C:/WINDOWS/EXERT.exe
C:/WINDOWS/IO.SYS.BAK
C:/WINDOWS/LSASS.exe
C:/WINDOWS/Debug/DebugProgram.exe
C:/WINDOWS/system32/dxdiag.com
C:/WINDOWS/system32/MSCONFIG.COM
C:/WINDOWS/system32/regedit.com
在D:盘上点击鼠标右键,选择"打开".删除掉该分区根目录下的"Autorun.inf"和"command.com"文件.
三、删除注册表中的其他垃圾信息
将C:/WINDOWS目录下的"regedit.exe"改名为"regedit.com"并运行,删除以下项目:
1、HKEY_CLASSES_ROOT/WindowFiles
2、HKEY_CURRENT_USER/Software/VB and VBA Program Settings
3、HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main 下面的 Check_Associations项
4、HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet/INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run 下面的ToP项
四、修复注册表中被篡改的键值
1、将HKEY_CLASSES_ROOT/.exe的默认值修改为 "exefile"(原来是windowsfile)
2、将HKEY_CLASSES_ROOT/Applications/iexplore.exe/shell/open/command 的默认值修改为 "C:/Program
Files/Internet Explorer/iexplore.exe" %1 (原来是intexplore.com)
3、将HKEY_CLASSES_ROOT/CLSID/{871C5380-42A0-1069-A2EA-08002B30309D}/shell/OpenHomePage/Command
的默认值修改为
"C:/Program Files/Internet Explorer/IEXPLORE.EXE"(原来是INTEXPLORE.com)
4、将HKEY_CLASSES_ROOT /ftp/shell/open/command 和HKEY_CLASSES_ROOT/htmlfile/shell/opennew/command
的默认值修改为"C:/Program Files/Internet Explorer/iexplore.exe" %1 (原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)
5、将HKEY_CLASSES_ROOT /htmlfile/shell/open/command 和
HKEY_CLASSES_ROOT/HTTP/shell/open/command的默认值修改为
"C:/Program Files/Internet Explorer/iexplore.exe" –nohome
6、将HKEY_LOCAL_MACHINE/SOFTWARE/Clients/StartMenuInternet 的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)
五、收尾工作
关掉注册表编辑器
将C:/WINDOWS目录下的regedit.com改回regedit.exe

msiexec.exe
进程名称:Windows Installer Component
进程名称:msiexec.exe是Windows Installer的一部分.用于安装Windows Installer安装包(MSI).这个程序对你系统的正常运行是非常重要的.
出品者:Microsoft Corp.
属于:Windows

msdtc.exe
进程名称:Distributed Transaction Coordinator
描述:msdtc.exe是微软分布式传输协调程序.该进程调用系统Microsoft Personal Web Server和Microsoft SQL Server.该服务用于管理多个服务器.
msdtc.exe是一个并列事务,是分布于两个以上的数据库,消息队列,文件系统或其他事务保护资源管理器,删除要小心.
如果你确定不会用到它,那就可以删除.
控制面板－－管理工具－－服务－－找到Distributed Transaction Coordinator－－禁用
MSDTC(分布式交易协调器).协调跨多个数据库、消息队列、文件系统等资源管理器的事务.该服务的进程名为Msdtc.exe.
依存关系:Remote Procedure Call(RPC)和Security Accounts Manager
建议:一般家用计算机涉及不到,除非你启用Message Queuing服务,可以停止.

services.exe
进程文件:services or services.exe
进程名称:Windows Service Controller
进程类别:其他进程
英文描述:services.exe is a part of the Microsoft Windows Operating System and manages the operation of starting and stopping services. This process also deals with the automatic starting of services during the computers boot-up and the stopping of servicse durin
中文参考:services.exe是微软Windows操作系统的一部分.用于管理启动和停止服务.该进程也会处理在计算机启动和关机时运行的服务.这个程序对你系统的正常运行是非常重要的.
注意:services也可能是W32.Randex.R(储存在%systemroot%/system32/目录)和Sober.P (储存在%systemroot%/Connection Wizard/Status/目录)木马.该木马允许攻击者访问你的计算机,窃取密码和个人数据.该进程的安全等级是建议立即删除.
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:Yes
这个后门还不错,也有点BT吧,共产生14个文件＋3个快捷图标＋2个文件夹.注册表部分,除了1个Run和System.ini,比较有特点是,非普通地利用了EXE文件关联,先修改了.exe的默认值,改.exe从默认的exefile更改为winfiles,然后再创建winfiles键值,使EXE文件关联与木马挂钩.即为中毒后,任意一个EXE文件的属性,"应用程序"变成"EXE文件"
当然,清除的方法也很简单,不过需要注意步骤:
一、注册表:先使用注册表修复工具,或者直接使用regedit修正以下部分
1.SYSTEM.INI (NT系统在注册表:HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon)
shell = Explorer.exe 1 修改为shell = Explorer.exe
2.将 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run下的
Torjan Program----------C:/WINNT/services.exe删除
3. HKEY_Classes_root/.exe
默认值 winfiles 改为exefile
4.删除以下两个键值:
HKEY_Classes_root/winfiles
HKEY_Local_machine/software/classes/winfiles
5. 打开注册表编辑器,依此分别查找"rundll32.com"、"finder.com"、"command.pif",把找到的内容里面的"rundll32.com"、"finder.com"、"command.pif"分别改为"Rundll32.exe"
6. 查找"iexplore.com"的信息,把找到的内容里面的"iexplore.com"改为"iexplore.exe"
7. 查找"explorer.com"的信息,把找到的内容里面的"explorer.com"改为"explorer.exe"
8. 查找"iexplore.pif",应该能找到类似"%ProgramFiles%/Common Files/iexplore.pif"的信息,把这内容改为"C:/Program
Files/Internet Explorer/iexplore.exe"
9. 删除病毒添加的文件关联信息和启动项:
[HKEY_CLASSES_ROOT/winfiles]
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Torjan Program"="%Windows%/services.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/RunServices]
"Torjan Program"="%Windows%/services.exe"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe 1"
改为
"Shell"="Explorer.exe"
10. 这些是病毒释放的一个VB库文件(MSWINSCK.OCX)的相关信息,不一定要删除:
HKEY_CLASSES_ROOT/MSWinsock.Winsock
HKEY_CLASSES_ROOT/MSWinsock.Winsock.1
HKEY_CLASSES_ROOT/CLSID/{248DD896-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/CLSID/{248DD897-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/Interface/{248DD892-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/Interface/{248DD893-BB45-11CF-9ABC-0080C7E7B78D}
HKEY_CLASSES_ROOT/TypeLib/{248DD890-BB45-11CF-9ABC-0080C7E7B78D}
注:因为病毒修改了很多关联信息,所以在那些病毒文件没有被删除之前,请不要做任何多余的操作,以免激活病毒
二、然后重启系统,删除以下文件部分,注意打开各分区时,先打开"我的电脑"后请使用右键单击分区,选"打开"进入.或者直接执行附件的Kv.bat来删除以下文件
c:/antorun.inf (如果你有多个分区,请检查其他分区是否有这个文件,有也一并删除)
%programfiles%/common files/iexplore.pif
%programfiles%/Internat explorer/iexplore.com
%windir%/1.com
%windir%/exeroute.exe
%windir%/explorer.com
%windir%/finder.com
%windir%/mswinsck.ocx
%windir%/services.exe
%windir%/system32/command.pif
%windir%/system32/dxdiag.com
%windir%/system32/finder.com
%windir%/system32/msconfig.com
%windir%/system32/regedit.com
%windir%/system32/rundll32.com
删除以下文件夹:
%windir%/debug
%windir%/system32/NtmsData
彻底解决services.exe进程病毒
一、病毒评估
1.中文名:SCO炸弹变种N
2.英文名:Worm.Novarg.N
3.病毒别名:Worm.Mydoom.m
4.病毒大小:28832字节
5.病毒类型:蠕虫病毒
6.病毒危险等级:★★★★
7.病毒传播途径:邮件
8.病毒依赖系统:Windows 9X/NT/2000/XP
二、病毒的破坏
1.通过电子邮件传播的蠕虫病毒,感染之后,它会先在用户本地机器上搜索电子邮件地址,向其发送病毒邮件；
2.利用在本机上搜索到的邮件地址的后缀当关键词,在Google、Yahoo等四个搜索引擎上搜索相关的email地址,发送病毒邮件传播自身.
3.大量发送的搜索请求使这四个搜索引擎的运行速度明显变慢.
4.感染了此病毒的机器,IE浏览器、OE软件和Outlook软件都不能正常使用.
5.病毒大量向外发送病毒邮件,严重消耗网络资源,可能造成局域网堵塞.
三、技术分析
1.蠕虫病毒,采用Upx压缩.运行后,将自己复制到%WINDOWS%目录下,文件名为:java.exe.释放一个后门病毒在同一目录中,文件名为:services.exe.
2.在注册表启动项"/CurrentVersion/Run"下加入这两个文件的启动键值:JavaVM和Service,实现病毒的开机自启动.
3.强行关闭IE浏览器、OE软件和Outlook软件,使其不能正常使用.
4.在本地机器上搜索电子邮件地址:从注册表中读取当前系统当前使用的wab文件名,并在其中搜索email地址；搜索internet临时目录(Local Settings/Temporary
Internet Files)中的文件,从中提取电子邮件地址；遍历盘符从C:盘到Z:的所有硬盘,并尝试从以下扩展名文件中提取email地址:.adb, .asp,
.dbx, .htm, .php, .pl, .sht, .tbb, .txt, .wab.
5.当病毒搜索到email地址以后,病毒以"mailto+%本地系统搜出的邮件地址%"、"reply+%本地系统搜出的邮件地址%"、"{|contact+| |e|
|-| |mail}+%本地系统搜出的邮件地址％"为关键字,利用以下四种搜索引擎进行email地址邮件搜索:search.lycos.com、search.yahoo.com、www.altavista.com、www.google.com,利用这种手段,病毒能够搜索到非常多的可用邮件地址.
6.病毒邮件的附件名称为:readme, instruction, transcript, mail, letter, file, text, attachment等,病毒附件扩展名为:cmd,
bat, com, exe, pif, scr, zip.
四、手动清除
(1)结束系统中进程名为:Services.exe和java.exe(在%windows%目录中)
(2)删除系统临时目录中的两个病毒数据文件:MLITGB.LOG和ZINCITE.LOG
(3)删除病毒键立的注册表键:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
"JavaVM"=%WINDOWS%/java.exe
和HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
"Services"=%WINDOWS%/Services.exe
注:%WINDOWS% 是指系统的windows目录,在Windows 9X/ME/XP下默认为:
C:/WINDOWS,Win2K下默认为:C:/WINNT
注:%WINDIR%指的是Windows系统的安装目录,在Windows 95/98/ME/XP操作系统下默认为:C:/WINDOWS目录,在WINDOWS2000操作系统下默认为:C:/WINNT目录.

smss.exe
进程名称:Session Manager Subsystem
描述:smss.exe是微软Windows操作系统的一部分.该进程调用对话管理子系统和负责操作你系统的对话.这个程序对你系统的正常运行是非常重要的.
注意:smss.exe也可能是Win32.Ladex.a木马.该木马允许攻击者访问你的计算机,窃取密码和个人数据.该进程的安全等级是建议立即删除.
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
彻底清除SMSS.EXE病毒
SMSS.EXE进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程.
它是一个会话管理子系统,负责启动用户会话.这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映.
在它启动这些进程后,它等待Winlogon或者Csrss结束.如果这些过程时正常的,系统就关掉了.
如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起).
要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%/SMSS.EXE",那就可以肯定是中了病毒或木马了.
重起到安全模式,病毒文件一样被加载了,进程管理起还是有两个SMSS.EXE,
系统自带的任务管理器无法结束,可以去下载一个超强任务管理器,或者用命令ntsd将其结束,不一会,又冒出来.
清除方法:
1. 运行Procexp.exe和SREng.exe
2. 用ProceXP结束%Windows%/SMSS.EXE进程,注意路径和图标
3. 用SREng恢复EXE文件关联
1,2,3步要注意顺序,不要颠倒.
4. 可以删除文件和启动项了……
要删除的清单请见: http://www.pxue.com/Html/736.html
删除的启动项:
Code:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"TProgram"="%Windows%/SMSS.EXE"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Runservices]
"TProgram"="%Windows%/SMSS.EXE"
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"Shell"="Explorer.exe 1"
修改为:
"Shell"="Explorer.exe"
删除的文件就是一开始说的那些,别删错就行
5. 最后打开注册表编辑器,恢复被修改的信息:
查找"explorer.com",把找到的"explorer.com"修改为"explorer.exe"；
查找"finder.com"、"command.pif"、"rundll32.com",把找到的"finder.com"、"command.pif"、"rundll32.com"修改为"rundll32.exe"；
查找"iexplore.com",把找到的"iexplore.com"修改为"iexplore.exe"；
查找"iexplore.pif",把找到的"iexplore.pif",连同路径一起修改为正常的IE路径和文件名,比如"C:/Program Files/Internet
Explorer/iexplore.exe".
解决SMSS.EXE木马
解决方法:
第一步:先写一个BAT文件.也就是进行批量删除文件.
del 1.com
del finders.com
del debug/debugprogram*.exe
del exerouter.exe /ar
del exerouter.exe /ah
del exp10rer.exe /ar
del exp10rer.exe /ah
del d:/command.com /ah
del d:/command.com /ar
del smss.exe /ar
del smss.exe /ah
del system32/dxdiag.com /ah
del system32/msconfig.com /ah
del system32/regedit.com /ah
del system32/rund1132.com /ah
del regedit.com /ah
del inexplore.pif /ah
del inexplore.com /ah
del C:/Program Files/Internet Explorer/inexplore.com
del C:/Program Files/Common Files/inexplore
assoc .exe=exefile
pause
先不用急着用.放到windows里面.
第二步:下载费尔木马强力清除助手.
结束SMSS.EXE进程,然后用费尔木马强力清除助手,抑制该文件(c:/winnt/smss.exe)再次生成.
第三步:删除病毒启动项:
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]
"Torjan Program"="%Windows%/smss.exe"
修改
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon]
"shell"="Explorer.exe 1"
为
"shell"="Explorer.exe"
修改完注册表后立刻 RESET (冷启动).
第三步:重新启动后进入安全模式(带命令提示的):
运行那个在windows下的BAT文件.
(刚刚制作的那个,虽然有些文件会提示找不到删除).
第四步:删除完那些病毒文件后.搞定.重启.OK.
不行再重新试几次.

spoolsv.exe
进程名称:Microsoft Printer Spooler Service
描述:spoolsv.exe用于将Windows打印机任务发送给本地打印机.
注意:spoolsv.exe也有可能是Backdoor.Ciadoor.B木马.该木马允许攻击者访问你的计算机,窃取密码和个人数据.该进程的安全级别是建议立即删除.
出品者:Microsoft Corp.
属于:Microsoft Windows2000 andlater

svchost.exe
进程名称:Microsoft Service Host Process
描述:svchost.exe是一个属于微软Windows操作系统的系统程序,用于执行DLL文件.这个程序对你系统的正常运行是非常重要的.
注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用WindowsLSASS漏洞,制造缓冲区溢出,导致你计算机关机.
更多详细信息参考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx,该进程的安全等级是建议立即删除.
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System

映像名称                       PID 服务
========================= ======== ============================================
svchost.exe                    660 DcomLaunch
svchost.exe                    724 RpcSs
svchost.exe                    780 Dhcp, Dnscache
svchost.exe                    808 LmHosts, W32Time
svchost.exe                    844 AeLookupSvc, AudioSrv, Browser, CryptSvc,
                                   dmserver, EventSystem, helpsvc,
                                   lanmanserver, lanmanworkstation, Netman,
                                   Nla, Schedule, seclogon, SENS,
                                   ShellHWDetection, TrkWks, winmgmt,
                                   wuauserv, WZCSVC
svchost.exe                   1172 ERSvc
svchost.exe                   1416 RemoteRegistry
svchost.exe                   1652 W3SVC
svchost.exe                   1844 TermService

揭开SVCHOST.exe进程之谜
svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺.很多病毒、木马也会调用它.所以,深入了解这个程序,是玩电脑的必修课之一.
大家对windows操作系统一定不陌生,但你是否注意到系统中"svchost.exe"这个文件呢？细心的朋友会发现windows中存在多个 "svchost"进程(通过"ctrl+alt+del"键打开任务管理器,这里的"进程"标签中就可看到了),为什么会这样呢？下面就来揭开它神秘的面纱.
发现
在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的"svchost"进程,用户使用"任务管理器"可查看其进程数目.一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003
server中则更多.这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical
disk manager)、dhcp服务(dhcp client)等.
如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入"tlist -s"命令来查看,该命令是win2000 support
tools提供的.在winxp则使用"tasklist /svc"命令.
svchost中可以包含多个服务
深入
windows系统进程分为独立进程和共享进程两种,"svchost.exe"文件存在于"%systemroot% system32"目录下,它属于共享进程.随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由
svchost.exe进程来启动.但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务.那这些服务是如何实现的呢？
原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务.那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现.下面就以rpcss(remote
procedure call)服务为例,进行讲解.
从启动参数中可见服务是靠svchost来启动的.
实例
以windows xp为例,点击"开始"/"运行",输入"services.msc"命令,弹出服务对话框,然后打开"remote procedure call"属性对话框,可以看到rpcss服务的可执行文件的路径为"c:/windows/system32/svchost
-k rpcss",这说明rpcss服务是依靠svchost调用"rpcss"参数来实现的,而参数的内容则是存放在系统注册表中的.
在运行对话框中输入"regedit.exe"后回车,打开注册表编辑器,找到[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/RpcSs]项,找到类型为"reg_expand_sz"的键"ImagePath",其键值为"%SystemRoot%/system32/svchost.exe
-k rpcss"(这就是在服务窗口中看到的服务启动命令),另外在"Parameters"子项中有个名为"ServiceDll"的键,其值为"%SystemRoot%/system32/rpcss.dll",其中"rpcss.dll"就是rpcss服务要使用的动态链接库文件.这样
svchost进程通过读取"rpcss"服务注册表信息,就能启动该服务了.
解惑
因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒"w32.welchia.worm").但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明.
假设windows xp系统被"w32.welchia.worm"感染了.正常的svchost文件存在于"c:/windows/system32"目录下,如果发现该文件出现在其他目录下就要小心了."w32.welchia.worm"病毒存在于"c:/windows/system32wins"目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒.windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如"windows优化大师"进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理.

winlogon.exe
进程名称:Microsoft Windows Logon Process
描述:WinLogon.exe是WindowsNT登陆管理器.它用于处理你系统的登陆和登陆过程.该进程在你系统的作用是非常重要的.
注意:winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒.该病毒通过Email邮件传播,当你打开病毒发送的附件时,即会被感染.
该病毒会创建SMTP引擎在受害者的计算机上,群发邮件进行传播.该病毒允许攻击者访问你的计算机,窃取密码和个人数据.该进程的安全等级是建议删除.
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System