基本进程解析
1.taskmgr - taskmgr.exe - 进程信息
进程文件: taskmgr 或者 taskmgr.exe
进程名称: The Windows Task Manager.
描述:taskmgr.exe用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开,这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
2.ttraveler - ttraveler.exe - 进程信息
进程文件: ttraveler 或者 ttraveler.exe
进程名称: ttraveler
描述:腾讯Tencent traveler浏览器相关程序,支持广告拦截功能。
3.timplatform - timplatform.exe - 进程信息
进程文件: timplatform 或者 timplatform.exe
进程名称: timplatformt
描述:timplatform.exe是腾讯即时通讯客户端相关程序。
4.QQ.EXE 这个还用说吗,地球人都知道。
5.dllhost.exe
是运行COM+的组件,即COM代理,运行Windows中的Web和FTP服务器必须有这个东西。
什么时候会出现dllhost.exe?
运行COM+组件程序的时候就会出现。例如江民KV2004
击波杀手又是怎么一回事?
冲击波杀手借用了dllhost.exe作为进程名,但是由于Windows不允许同一个目录下有同名文件的存在,因此,冲击波杀手把病毒体:dllhost.exe放到了C:/Windows/System32/Wins目录里面(Windows 2000是C:/WINNT/System32/Wins,全部假设系统安装在C盘),但是真正的dllhost.exe应该放 在C:/Windows/System32(Windows 2000是C:/WINNT/System32)
换句话说就是:冲击波(Worm.WelChia)为了迷惑用户,避免病毒的执行体被进程管理器终止,采用了dllhost.e xe这个和Windows组件一样的名字,但是并不是说进程里面出现dllhost.exe就等于感染了worm.welchi a
第一个误区————进程出现Dllhost.exe就等于中了病毒
Dllhost.exe是系统文件,但是进程里面出现Dllhost.exe进程不等于中了病毒
第二个误区————一见Dllhost.exe进程就杀死
其实这样做是不好的。很多程序都需要Dllhost.exe,例如KV2004实时监控运行的时候或IIS在解析一些ASP文件 的时候,进程中都会出现Dllhost.exe
之所以大家恐惧Dllhost.exe进程,恐怕是由于冲击波(杀手)的问题。
其实冲击波(杀手)只不过采取了一个偷梁换柱的方法。因为任务管理器里面无法看出进程中exe文件的路径,所以让大家在分析问题 的时候出现一些偏差。
感染冲击波(杀手)的典型特征不是进程中出现Dllhost.exe,而是RPC服务出现问题(冲击波)和System32/w ins目录里面出现svchost.exe和dllhost.exe文件(冲击波杀手)。注意路径!!
那么,Dllhost.exe是什么呢?Dllhost.exe是 COM+ 的主进程。正常下应该位于system32目录里面和system32/dllcache目录里面。而system32/win s目录里面是不会有dllhost.exe文件的。
IIS服务中遇到死循环后,主要的症状为:dllhost.exe进程占用CPU使用率100%,从而导致服务器不能正常工作
在这里再详细的介绍一下
原因:由于中了一些病毒,邮件服务器重复进行工作,造成杀毒软件工作繁忙,所以占用内存高
例如:瑞星就有此毛病,资源占用率居高不下
解决方法:关闭杀毒软件的邮件监控或其他监控,如果占用率下降,则是此原因
原因:WEB站点内有程序打开数据库或建立对象后没有关闭,日积月累就造成了服务器内存站用量颇高。
例如:机器启动后,内存占用量较低,长时间运行后,内存达到近百甚至几百M。
解决办法:使用上面的命令关闭IIS服务,查看监视器,如果内存骤然降低,那么就是此问题,可以对每个站点逐一进行检查,或者找一些相关的软件进行测试。
SERV-U也存在占用资源的问题,有时候开启SERV-U服务时就会占用CPU率100%,但不清楚是怎么回事,不过等等就好了
6.kregex.exe有的说是江民KV2005的杀木马程序,有的说是 江民注册表监视。把我都搞糊涂了,只好都弄上来等待高手解决
7.Maxthon - Maxthon.exe - 进程信息
进程文件: Maxthon 或者 Maxthon.exe
进程名称: Maxthon Browser
描述:Maxthon.exe是遨游浏览器相关进程,支持广告拦截。
8.trojdie.exe
有的说是江民里面带的木马,但江民的说是跟升级有关的进程
9.alg - alg.exe - 进程信息
进程文件: alg 或者 alg.exe
进程名称: Application Layer Gateway Service
描述:alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。
10.KVFW.exe
这个东西应该是江民防火墙吧
11.ctfmon - ctfmon.exe - 进程信息
进程文件: ctfmon 或者 ctfmon.exe
进程名称: Alternative User Input Services
描述:ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
12.kvmonxp.exe
好像也和江民有关,网上都找不到具体的资料
13.explorer - explorer.exe - 进程信息
进程文件: explorer 或者 explorer.exe
进程名称: Microsoft Windows Explorer
描述:explorer.exe是Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致Windows图形界面无法适用。注意:explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。该进程的安全等级是建议删除。
14.ati2evxx - ati2evxx.exe - 进程信息
进程文件: ati2evxx 或者 ati2evxx.exe
进程名称: ATI External Event Utility EXE Module
描述:ati2evxx.exe是ATI显示卡增强工具。它用于管理ATI HotKey特性。
15.rundll32 - rundll32.exe - 进程信息
进程文件: rundll32 或者 rundll32.exe
进程名称: Microsoft Rundll32
描述:rundll32.exe用于在内存中运行DLL文件,它们会在应用程序中被使用。这个程序对你系统的正常运行是非常重要的。注意:rundll32.exe也可能是W32.Miroot.Worm病毒。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
16.spoolsv - spoolsv.exe - 进程信息进程文件: spoolsv or spoolsv.exe
进程名称: Microsoft Printer Spooler Service
描述:spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级别是建议立即删除。
17.svchost - svchost.exe - 进程信息进程文件: svchost 或者 svchost.exe
进程名称: Microsoft Service Host Process
描述:svchost.exe是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。这个程序对你系统的正常运行是非常重要的。注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。更多详细信息参考:
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
,该进程的安全等级是建议立即删除。
18.wdfmgr - wdfmgr.exe - 进程信息进程文件: wdfmgr 或者 wdfmgr.exe
进程名称: Windows Driver Foundation Manager
描述:wdfmgr.exe是微软Microsoft Windows media player 10播放器的一部分。该进程用于减少兼容性问题。
19.OSE - OSE.EXE - 进程信息进程文件: OSE 或者 OSE.EXE
进程名称: Microsoft Office Source Engine
描述:OSE.EXE是微软Microsoft Office套装的一部分,用于CD和Web升级的附加安装支持。
20.lsass - lsass.exe - 进程信息进程文件: lsass 或者 lsass.exe
进程名称: Local Security Authority Service
进程描述: lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
21.services - services.exe - 进程信息进程文件: services 或者 services.exe
进程名称: Windows Service Controller
描述:services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%/system32/目录)和Sober.P (储存在%systemroot%/Connection Wizard/Status/目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
22.winlogon - winlogon.exe - 进程信息
进程文件: winlogon or winlogon.exe
进程名称: Microsoft Windows Logon Process
描述:WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意:winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建SMTP引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。
23.csrss - csrss.exe - 进程信息进程文件: csrss 或者 csrss.exe
进程名称: Microsoft Client/Server Runtime Server Subsystem
描述:csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
24.smss - smss.exe - 进程信息进程文件: smss 或者 smss.exe
进程名称: Session Manager Subsystem
描述:smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
25.mdm - mdm.exe - 进程信息进程文件: mdm 或者 mdm.exe
进程名称: Machine Debug Manager
描述: mdm.exe is是微软Windows进程除错程序。用于使用可视化脚本工具对Internet Explorer除错。注意:该进程同时可能是Win32.Lydra.a木马,该木马允许攻击者访问你的计算机,窃取密码和个人数据。
26.kvwsc.exe
又和江民有关,好像是江民安全中心
27.kvsrvxp.exe
江民的时实监控进程
28.alivecenter.exe
木马防线2005的升级进程
29.system
单丛E文来讲他就是系统,干什么用,我也不清楚
30.System Idle Process - System Idle Process - 进程信息
进程文件: System Idle Process 或者 System Idle Process
进程名称: System Idle Counter
描述:System Idle不是一个进程,更多用于统计剩余的CPU资源情况。无法删除该进程。
进程文件: taskmgr 或者 taskmgr.exe
进程名称: The Windows Task Manager.
描述:taskmgr.exe用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开,这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
2.ttraveler - ttraveler.exe - 进程信息
进程文件: ttraveler 或者 ttraveler.exe
进程名称: ttraveler
描述:腾讯Tencent traveler浏览器相关程序,支持广告拦截功能。
3.timplatform - timplatform.exe - 进程信息
进程文件: timplatform 或者 timplatform.exe
进程名称: timplatformt
描述:timplatform.exe是腾讯即时通讯客户端相关程序。
4.QQ.EXE 这个还用说吗,地球人都知道。
5.dllhost.exe
是运行COM+的组件,即COM代理,运行Windows中的Web和FTP服务器必须有这个东西。
什么时候会出现dllhost.exe?
运行COM+组件程序的时候就会出现。例如江民KV2004
击波杀手又是怎么一回事?
冲击波杀手借用了dllhost.exe作为进程名,但是由于Windows不允许同一个目录下有同名文件的存在,因此,冲击波杀手把病毒体:dllhost.exe放到了C:/Windows/System32/Wins目录里面(Windows 2000是C:/WINNT/System32/Wins,全部假设系统安装在C盘),但是真正的dllhost.exe应该放 在C:/Windows/System32(Windows 2000是C:/WINNT/System32)
换句话说就是:冲击波(Worm.WelChia)为了迷惑用户,避免病毒的执行体被进程管理器终止,采用了dllhost.e xe这个和Windows组件一样的名字,但是并不是说进程里面出现dllhost.exe就等于感染了worm.welchi a
第一个误区————进程出现Dllhost.exe就等于中了病毒
Dllhost.exe是系统文件,但是进程里面出现Dllhost.exe进程不等于中了病毒
第二个误区————一见Dllhost.exe进程就杀死
其实这样做是不好的。很多程序都需要Dllhost.exe,例如KV2004实时监控运行的时候或IIS在解析一些ASP文件 的时候,进程中都会出现Dllhost.exe
之所以大家恐惧Dllhost.exe进程,恐怕是由于冲击波(杀手)的问题。
其实冲击波(杀手)只不过采取了一个偷梁换柱的方法。因为任务管理器里面无法看出进程中exe文件的路径,所以让大家在分析问题 的时候出现一些偏差。
感染冲击波(杀手)的典型特征不是进程中出现Dllhost.exe,而是RPC服务出现问题(冲击波)和System32/w ins目录里面出现svchost.exe和dllhost.exe文件(冲击波杀手)。注意路径!!
那么,Dllhost.exe是什么呢?Dllhost.exe是 COM+ 的主进程。正常下应该位于system32目录里面和system32/dllcache目录里面。而system32/win s目录里面是不会有dllhost.exe文件的。
IIS服务中遇到死循环后,主要的症状为:dllhost.exe进程占用CPU使用率100%,从而导致服务器不能正常工作
在这里再详细的介绍一下
原因:由于中了一些病毒,邮件服务器重复进行工作,造成杀毒软件工作繁忙,所以占用内存高
例如:瑞星就有此毛病,资源占用率居高不下
解决方法:关闭杀毒软件的邮件监控或其他监控,如果占用率下降,则是此原因
原因:WEB站点内有程序打开数据库或建立对象后没有关闭,日积月累就造成了服务器内存站用量颇高。
例如:机器启动后,内存占用量较低,长时间运行后,内存达到近百甚至几百M。
解决办法:使用上面的命令关闭IIS服务,查看监视器,如果内存骤然降低,那么就是此问题,可以对每个站点逐一进行检查,或者找一些相关的软件进行测试。
SERV-U也存在占用资源的问题,有时候开启SERV-U服务时就会占用CPU率100%,但不清楚是怎么回事,不过等等就好了
6.kregex.exe有的说是江民KV2005的杀木马程序,有的说是 江民注册表监视。把我都搞糊涂了,只好都弄上来等待高手解决
7.Maxthon - Maxthon.exe - 进程信息
进程文件: Maxthon 或者 Maxthon.exe
进程名称: Maxthon Browser
描述:Maxthon.exe是遨游浏览器相关进程,支持广告拦截。
8.trojdie.exe
有的说是江民里面带的木马,但江民的说是跟升级有关的进程
9.alg - alg.exe - 进程信息
进程文件: alg 或者 alg.exe
进程名称: Application Layer Gateway Service
描述:alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。
10.KVFW.exe
这个东西应该是江民防火墙吧
11.ctfmon - ctfmon.exe - 进程信息
进程文件: ctfmon 或者 ctfmon.exe
进程名称: Alternative User Input Services
描述:ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
12.kvmonxp.exe
好像也和江民有关,网上都找不到具体的资料
13.explorer - explorer.exe - 进程信息
进程文件: explorer 或者 explorer.exe
进程名称: Microsoft Windows Explorer
描述:explorer.exe是Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致Windows图形界面无法适用。注意:explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。该进程的安全等级是建议删除。
14.ati2evxx - ati2evxx.exe - 进程信息
进程文件: ati2evxx 或者 ati2evxx.exe
进程名称: ATI External Event Utility EXE Module
描述:ati2evxx.exe是ATI显示卡增强工具。它用于管理ATI HotKey特性。
15.rundll32 - rundll32.exe - 进程信息
进程文件: rundll32 或者 rundll32.exe
进程名称: Microsoft Rundll32
描述:rundll32.exe用于在内存中运行DLL文件,它们会在应用程序中被使用。这个程序对你系统的正常运行是非常重要的。注意:rundll32.exe也可能是W32.Miroot.Worm病毒。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
16.spoolsv - spoolsv.exe - 进程信息进程文件: spoolsv or spoolsv.exe
进程名称: Microsoft Printer Spooler Service
描述:spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级别是建议立即删除。
17.svchost - svchost.exe - 进程信息进程文件: svchost 或者 svchost.exe
进程名称: Microsoft Service Host Process
描述:svchost.exe是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。这个程序对你系统的正常运行是非常重要的。注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。更多详细信息参考:
http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
,该进程的安全等级是建议立即删除。
18.wdfmgr - wdfmgr.exe - 进程信息进程文件: wdfmgr 或者 wdfmgr.exe
进程名称: Windows Driver Foundation Manager
描述:wdfmgr.exe是微软Microsoft Windows media player 10播放器的一部分。该进程用于减少兼容性问题。
19.OSE - OSE.EXE - 进程信息进程文件: OSE 或者 OSE.EXE
进程名称: Microsoft Office Source Engine
描述:OSE.EXE是微软Microsoft Office套装的一部分,用于CD和Web升级的附加安装支持。
20.lsass - lsass.exe - 进程信息进程文件: lsass 或者 lsass.exe
进程名称: Local Security Authority Service
进程描述: lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
21.services - services.exe - 进程信息进程文件: services 或者 services.exe
进程名称: Windows Service Controller
描述:services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%/system32/目录)和Sober.P (储存在%systemroot%/Connection Wizard/Status/目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
22.winlogon - winlogon.exe - 进程信息
进程文件: winlogon or winlogon.exe
进程名称: Microsoft Windows Logon Process
描述:WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意:winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建SMTP引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。
23.csrss - csrss.exe - 进程信息进程文件: csrss 或者 csrss.exe
进程名称: Microsoft Client/Server Runtime Server Subsystem
描述:csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
24.smss - smss.exe - 进程信息进程文件: smss 或者 smss.exe
进程名称: Session Manager Subsystem
描述:smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
25.mdm - mdm.exe - 进程信息进程文件: mdm 或者 mdm.exe
进程名称: Machine Debug Manager
描述: mdm.exe is是微软Windows进程除错程序。用于使用可视化脚本工具对Internet Explorer除错。注意:该进程同时可能是Win32.Lydra.a木马,该木马允许攻击者访问你的计算机,窃取密码和个人数据。
26.kvwsc.exe
又和江民有关,好像是江民安全中心
27.kvsrvxp.exe
江民的时实监控进程
28.alivecenter.exe
木马防线2005的升级进程
29.system
单丛E文来讲他就是系统,干什么用,我也不清楚
30.System Idle Process - System Idle Process - 进程信息
进程文件: System Idle Process 或者 System Idle Process
进程名称: System Idle Counter
描述:System Idle不是一个进程,更多用于统计剩余的CPU资源情况。无法删除该进程。