设为首页收藏本站

中国病毒学论坛|我们一直在坚持!

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
热搜: 活动 交友 discuz
查看: 2100|回复: 0
打印 上一主题 下一主题

可疑进程描述与解密

[复制链接]

1210

帖子

614

学分

1996

金币

论坛区长

Rank: 9Rank: 9Rank: 9Rank: 9

积分
614
跳转到指定楼层
楼主
发表于 2015-6-12 14:29:56 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
Q:可疑进程描述与解密
  A:进程文件: Svchost.exe
    Svchost.exe文件存在于“%system root%\system32”(例如C:\Windows\system32)目录下,它是Windows NT核心的重要进程(Windows 9X没有该进程),专门为系统启动各种服务的。例如Svchost.exe调用rpcss.dll文件,就会启动rpcss服务(remote procedure call)。

  Svchost.exe实际上是一个服务宿主,它本身并不能给用户提供任何服务,但是可以用来运行动态链接库DLL文件,从而启动对应的服务。Svchost.exe进程可以同时启动多个服务。

   正常情况下,windows中可以有多个Svchost.exe进程同时运行,例如Windows 2000至少有2个Svchost进程,Windows XP中有4个以上,Windows 2003中则有更多,所以当你看到多个Svchost进程时,未必就是病毒!

    辨别正常的Svchost.exe进程:

    Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”,如图1所示。图1中每个键值表示一个独立的Svchost.exe组。

    微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。系统列出如图2所示的服务列表。图2中红框包围起来的区域就是Svchost.exe启动的服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。

    还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。

    上面简单的介绍了Svchost.exe进程的相关情况。总而言之,Svchost.exe是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。

    进程文件: hkcmd or hkcmd.exe
    进程名称: Intel Hotkey
    进程类别:应用进程
    英文描述:
    hkcmd.exe is installed alongside Intel multimedia devices and allows configuration and diagnostic options for these devices. This program is non-essential process to the running of the system, but should not be terminated unless suspected to be causing
    中文参考:
    hkcmd.exe是Intel显示卡相关程序,用于配置和诊断相关设备。
    出品者:Intel Corporation
    属于:Intel Hotkey
    系统进程:No
    后台程序:Yes
    网络相关:No
    常见错误:N/A
    内存使用:N/A
    安全等级 (0-5): 0
    间谍软件:No
    广告软件:No
    病毒:No
    木马:No

    进程文件: conime or conime.exe
    进程名称: BFGhost 1.0
    进程类别:系统进程
    英文描述:
    conime.exe is a process which is registered as the BFGhost 1.0 Remote administration backdoor tool. This backdoor application can allow attackers to access your computer, stealing passwords and personal data. It is a registered security risk and should
    中文参考:
    conime.exe是BFGhost 1.0远程控制后门程序的一部分。这个后门程序能够运行攻击者访问你的计算机,窃取密码和个人数据。这个进程的安全等级是建议立即进行删除。
    出品者:na
    属于:BFGhost 1.0
    系统进程:No
    后台程序:Yes
    网络相关:Yes
    常见错误:N/A
    内存使用:N/A
    安全等级 (0-5): 4
    间谍软件:No
    广告软件:No
    病毒:No
    木马:Yes

    彻底删除禁止conime.exe启动运行方法:

    第一步首先结速conime.exe进程,然后在system32中找到conime.exe将其删除。
    第二步修改注册表找到:“HKEY_CURRENT_USER\Console“中的“LoadConIme“修改为“0“即可
    --------------------------------------
    conime.exe进程说明:conime.exe是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号! conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除此进程。”
    以前总是不知什么时候这个进程就悄悄启动了,后来才发现往往在运行cmd.exe之后会出现。但是conime.exe并不是cmd.exe的子进程,它的的父进程ID并没有在任务管理器中显示。
    conime经常会被病毒利用感染,建议删除。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享 支持支持 反对反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|论坛App下载|Archiver|小黑屋|中国病毒学论坛    

GMT+8, 2024-12-23 01:14 , Processed in 0.104365 second(s), 28 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表