smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。 ( 系统服务 ) 产生会话密钥以及授予用于交互式客户 / 服务器验证的服务凭据 (ticket) 。 ( 系统服务 )
svchost.exe 包含很多系统服务
svchost.exe
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。 ( 系统服务 )
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少)
mstask.exe 允许程序在指定时间运行。 ( 系统服务 )
regsvc.exe 允许远程注册表操作。 ( 系统服务 )
winmgmt.exe 提供系统管理信息 ( 系统服务 ) 。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。 ( 系统服务 )
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。 ( 系统服务 )
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。 ( 系统服务 )
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。 ( 系统服务 )
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000
Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。 ( 系统服务 )
dns.exe 应答对域名系统 (DNS) 名称的查询和更新请求。 ( 系统服务 )
以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉:
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows2000 Professional 的能力。 ( 系统服务 )
支持以下 TCP/IP 服务: Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day 。 ( 系统服务 )
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。 ( 系统服务 )
ups.exe 管理连接到计算机的不间断电源 (UPS) 。 ( 系统服务 )
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。 ( 系统服务 )
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。 ( 系统服务 )
RsSub.exe 控制用来远程储存数据的媒体。 ( 系统服务 )
locator.exe 管理 RPC 名称服务数据库。 ( 系统服务 )
lserver.exe 注册客户端许可证。 ( 系统服务 )
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。 ( 系统服务 )
clipsrv.exe 支持 " 剪贴簿查看器 " ,以便可以从远程剪贴簿查阅剪贴页面。 ( 系统服务 )
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。 ( 系统服务 )
faxsvc.exe 帮助您发送和接收传真。 ( 系统服务 )
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。 ( 系统服务 )
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。 ( 系统服务 )
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。 ( 系统服务 )
smlogsvc.exe 配置性能日志和警报。 ( 系统服务 )
rsvp.exe 为依赖质量服务 (QoS) 的程序和控制应用程序提供网络信号和本地通信控制安装功能。 ( 系统服务 )
RsEng.exe 协调用来储存不常用数据的服务和管理工具。 ( 系统服务 )
RsFsa.exe 管理远程储存的文件的操作。 ( 系统服务 )
grovel.exe 扫描零备份存储 (SIS) 卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。 ( 系统服务 )
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。 ( 系统服务 )
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。 ( 系统服务 )
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。 ( 系统服务 )
UtilMan.exe 从一个窗口中启动和配置辅助工具。 ( 系统服务 )
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。 ( 系统服务)
现在一个一个说
[system Idle Process]
进程文件 : [system process] or [system process]
进程名称 : Windows 内存处理系统进程
描 述 : Windows 页面内存管理进程,拥有 0 级优先。
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的 cpu 占用率越大表示可供分配的 CPU 资源越多,数字越小则表示 CPU 资源紧张。
System Idle Process 为何物
问:在使用 Windows XP 的过程中,按 "Ctrl+Alt+Del" 键调出任务管理器,在进程中我发现一个名为 "System Idle Process" 的进程,它往往占用了大部分 CPU 资源,经常是 80% 以上,请问为什么它占用了那么多资源?
答:你误解了 "System Idle Process" 进程的意思了,这里的 80% 并不是你所想的占用 CPU 的资源,恰恰相反的是这里的 80% 以上是 CPU 资源空闲了出来的。这里的数字越大表示 CPU 可用资源越多,数字越小则表示 CPU 资源越紧张。该进程是系统必须的,不能禁止哦。
[csrss.exe]
进程文件 : csrss or csrss.exe
进程名称 : Client/Server Runtime Server Subsystem
描 述 : 客户端服务子系统,用以控制 Windows 图形相关子系统。
介 绍 : 这个是用户模式 Win32 子系统的一部分。 csrss 代表客户 / 服务器运行子系统而且是一个基本的子系统必须一直运行。 csrss 用于维持 Windows 的控制,创建或者删除线程和一些 16 位的虚拟 MS-DOS 环境。
纯手工查杀木马 csrss.exe
注意: csrss.exe 进程属于系统进程,这里提到的木马 csrss.exe 是木马伪装成系统进程
前两天突然发现在 C:/Program Files/ 下多了一个 rundll32.exe 文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是 98 下 notepad.exe 的老记事本图标,在我的 2003 系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和 CPU 大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个 rundll32.exe 和一个 csrss.exe 的进程。它和系统进程不一样的地方是用户为 Administrator ,就是我登录的用户名,而非 system ,另外它们的名字是小写的,而由 SYSTEM 启动的进程都是大写的 RUNDLL32.EXE 和 CSRSS.EXE ,觉得不对劲。
然后按 F3 用资源管理器的搜索功能找 csrss.exe ,果然在 C:/Windows 下,大小 52736 字节,生成时间为 12 月 9 日 12:37 。而真正的 csrss.exe 只有 4k ,生成时间是 2003 年 3 月 27 日 12:00 ,位于 C:/Windows/Syetem32 下。
于是用超级无敌的 UltraEdit 打开它,发现里面有 kavscr.exe , mailmonitor 一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有 SelfProtect 的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。灭!
试图用任务管理器结束 csrss.exe 进程失败,称是系统关键进程。先进注册表删除 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] 和 v[Runservice] 下相应值,注销重登录,该进程消失,可见它没有象 3721 那样加载为驱动程序。
然后要查找和它有关的文件。仍然用系统搜索功能,查找 12 月 9 日生成的所有文件,然后看到 12:37 分生成的有 csrss.exe 、 rundll32.exe 和 kavsrc.exe ,但 kavsrc.exe 的图标也是 98 下的记事本图标,它和 rundll32.exe 的大小都是 33792 字节。
此后在 12:38 分生成了一个 tmp.dat 文件,内容是
@echo off
debug C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.dat C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.out
copy C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.dat C:/WINDOWS/system32/netstart.exe>C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.out
del C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.dat >C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.out
del C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.in >C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.out
C:/WINDOWS/system32/netstart.exe
好像是用 debug 汇编了一段什么程序,这年头常用 debug 的少见,估计不是什么善茬,因为商业程序员都用 Delphi 、 PB 等大程序写软件。
汇编大约进行了 1 分钟,在 12:39 生成了 netstart.exe 、 WinSocks.dll 、 netserv.exe 和一个 0 字节的 tmp.out 文件。 netstart.exe 大小 117786 字节,另两个大小也是 52736 字节。前两个位于 C:/Windows/System32 下,后两个在当前用户的 Temp 文件夹里。
这样我就知道为什么我的系统没有感染的表现了。 netstart.exe 并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用 winrar 压缩并选中完成后删除源文件,然后在 rar 文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。
现在木马已经清除了。使用搜索引擎查找关于 csrss.exe 的内容,发现结果不少,有 QQ 病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索 netstart.exe 只有一个日文网站结果,也是一个木马。
这个病毒是怎么进入我的电脑的呢?搜索时发现在 12 月 9 日 12:36 分生成了一个快捷方式,名为 dos71cd.zip ,它是我那天从某网站下载的 DOS7.11 版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
[dllhost.exe]
进程文件 : dllhost or dllhost.exe
进程名称 : DCOM DLL Host 进程
描 述 : DCOM DLL Host 进程支持基于 COM 对象支持 DLL 以运行 Windows 程序。
介 绍: com 代理,系统附加的 dll 组件越多,则 dllhost 占用的 cpu 资源和内存资源就越多,而 8 月的 " 冲击波杀手 " 大概让大家对它比较熟悉吧。
解决 Web 服务器出现的 dllhost.exe 错误
我的 Web 服务器出了问题。一个弹出话框显示 "dllhost.exe 出现错误 " 。当我查看应用事件日志时发现有很多 Active Server Pages Event 5 这样的错误。它们在错误信息中显示为 "line 0 内存溢出 " 。这种错误以前每隔几天就发生一次,但现在是每隔几小时就发生一次。重启后也只能维持一阵子。你对此有什么看法吗?
我还没碰到过这种问题,但我在微软的参考信息中看到 Exchange Outlook Web Access 使用过程中描述过这样的错误。( [url]http://support.microsoft.com/?kbid=224327[/url] )
该链接建议你安装最新的 Exchange 升级版。如果你在使用 Exchange ,不妨尝试一下。如果没有,我就要给你一些建议,它们同那些存在 ASP 3.0 方面问题的人的建议一样:
确保你有所有最新升级版和服务包。
在每个 Web 应用中允许进程隔离。
将应用程序升级到 ASP.NET 。
将 Web 服务器升级到 Windows Server 2003 。
dllhost.exe 是什么?
dllhost.exe 是运行 COM+ 的组件,即 COM 代理,运行 Windows 中的 Web 和 FTP 服务器必须有这个东西。
什么时候会出现 dllhost.exe ?
运行 COM+ 组件程序的时候就会出现。
冲击波杀手又是怎么一回事?
冲击波杀手借用了 dllhost.exe 作为进程名,但是由于 Windows 不允许同一个目录下有同名文件的存在,因此,冲击波杀手把病毒体: dllhost.exe 放到了 C:/Windows/System32/Wins 目录里面( Windows 2000 是 C:/WINNT/System32/Wins ,全部假设系统安装在 C 盘),但是真正的 dllhost.exe 应该放 在 C:/Windows/System32 ( Windows 2000 是 C:/WINNT/System32 )
换句话说就是:冲击波( Worm.WelChia )为了迷惑用户,避免病毒的执行体被进程管理器终止,采用了 dllhost.e xe 这个和 Windows 组件一样的名字,但是并不是说进程里面出现 dllhost.exe 就等于感染了 worm.welchi a
再看看这里的 FAQ 吧
第一个误区 ---- 进程出现 Dllhost.exe 就等于中了病毒
Dllhost.exe 是系统文件,但是进程里面出现 Dllhost.exe 进程不等于中了病毒
第二个误区 ---- 一见 Dllhost.exe 进程就杀死
其实这样做是不好的。很多程序都需要 Dllhost.exe
之所以大家恐惧 Dllhost.exe 进程,恐怕是由于冲击波(杀手)的问题。
其实冲击波(杀手)只不过采取了一个偷梁换柱的方法。因为任务管理器里面无法看出进程中 exe 文件的路径,所以让大家在分析问题 的时候出现一些偏差。
感染冲击波(杀手)的典型特征不是进程中出现 Dllhost.exe ,而是 RPC 服务出现问题(冲击波)和 System32/w ins 目录里面出现 svchost.exe 和 dllhost.exe 文件(冲击波杀手)。注意路径!!
那么, Dllhost.exe 是什么呢? Dllhost.exe 是 COM+ 的主进程。正常下应该位于 system32 目录里面和 system32/dllcache 目录里面。而 system32/win s 目录里面是不会有 dllhost.exe 文件的。
[inetinfo.exe]
进程文件 : inetinfo or inetinfo.exe
进程名称 : IIS Admin Service Helper
描 述 : InetInfo 是 Microsoft Internet Infomation Services (IIS) 的一部分,用于 Debug 调试除错。
介 绍: IIS 服务进程,蓝码正是利用的 inetinfo.exe 的缓冲区溢出漏洞。
inetinfo.exe 占用了 100 %的 cpu 解决方案
当我们在使用 iis 时,如果这时错误关机(停电等),重启机器后,再次使用 iis ,经常发现 inetinfo.exe 占用了 100 %的 cpu ,重装 iis 后,还是没用
这个问题很多人的解决方案就是重装机器,之前我也是那么做的,只是我是从 ghost 恢复,但老这样做,似乎很麻烦。终无我忍无可忍(这样的情况太多了,而且我的同时也经常碰到这样的问题)
我就想,既然国内资料没法找到解决方案,国外的也可以试试吧。经过两个多小时的努力,找到了解决方法:其实很简单,使用 windows update 更新一下电脑一下就行
原文在: [url]http://www.eggheadcafe.com/ng/microsoft.public.inetserver.misc/post210106.asp[/url]
inetinfo.exe 进程占用高达 100%
进程文件 : inetinfo or inetinfo.exe
进程名称 : IIS Admin Service Helper
InetInfo 是 Microsoft Internet Infomation Services (IIS) 的一部分,用于 Debug 调试除错。
可能原因很多 :
1 、 IIS 溢出入侵
默认情况下, IIS 5.0 服务器存在一个后缀为 "printer" 的应用程序映射,这个映射使用位于 WINNTSystem32 下的名为 msw3prt.dll 的动态库文件。这个功能是用于基于 Web 控制的网络打印的,是 Windows2000 为 Internet Printing Protocol(IPP) 协议而设置的应用程序功能。不幸的是,这个映射存在一个缓冲区溢出错误,可以导致 inetinfo.exe 出错
解决方法:删除 printer 的应用程序映射
2 、 shtml.dll
在 Frontpage Extention Server/Windows2000 Server 上输入一个不存在的文件将可以得到 web 目录的本地路径信息:
[url]http://www.victim.com/_vti_bin/shtml.dll/something.html[/url]
这样将返回以下信息:
Cannot open "d:inetpubwwwrootpostinfo1.html": no such file or folder.
但是如果我们请求并非 HTML 、 SHTML 或者 ASP 后缀的文件,我们将会得到不同的信息:
[url]http://207.69.190.42/_vti_bin/shtml.dll/something.exe[/url]
shtml.dll 对较长的带 html 后缀的文件名都会进行识别和处理,利用这一点,可以对 IIS 服务器执行 DOS 攻击,使目标服务器的 CPU 占用率达到 100%
解决方法:禁用 Frontpage 扩展。
Inetinfo.exe 进程停止响应
[url]http://support.microsoft.com/default.aspx?scid=kb;zh-cn;311517[/url]
[kernel32.dll]
进程文件 : kernel32 or kernel32.dll
进程名称 : Windows 壳进程
描 述 : Windows 壳进程用于管理多线程、内存和资源。
介 绍: kernel32.dll 是 Windows 9x/Me 中非常重要的 32 位动态链接库文件,属于内核级文件。它控制着系统的内存管理、数据的输入输出操作和中断处理,当 Win_dows 启动时, kernel32.dll 就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。
[mdm.exe]
进程文件 : mdm or mdm.exe
进程名称 : Machine Debug Manager
描 述 : Debug 除错管理用于调试应用程序和 Microsoft Office 中的 Microsoft Script Editor 脚本编辑器。
介 绍: Mdm.exe 的主要工作是针对应用软件进行排错 (Debug) ,说到这里,扯点题外话,如果你在系统见到 fff 开头的 0 字节文件,它们就是 mdm.exe 在排错过程中产生一些暂存文件,这些文件在操作系统进行关机时没有自动被清除,所以这些 fff 开头的怪文件里是一些后缀名为 CHK 的文件都是没有用的文件,只要系统中有 Mdm.exe 存在,就有可能产生以 fff 开头的怪文件。可以按下面的方法让系统停止运行 Mdm.exe 来彻底删除以 fff 开头的怪文件:首先按 "Ctrl+Alt+Del" 组合键,在弹出的 " 关闭程序 " 窗口中选中 "Mdm" ,按 " 结束任务 " 按钮来停止 Mdm.exe 在后台的运行,接着把 Mdm.exe( 在 C:/Windows/System 目录下 ) 改名为 Mdm.bak 。运行 msconfig 程序,在启动页中取消对 "Machine Debug Manager" 的选择。这样可以不让 Mdm.exe 自启动,然后点击 " 确定 " 按钮,结束 msconfig 程序,并重新启动电脑。另外,如果你使用 IE 5.X 以上版本浏览器,建议禁用脚本调用 ( 点击 " 工具 → Internet 选项 → 高级 → 禁用脚本调用 ") ,这样就可以避免以 fff 开头的怪文件再次产生。
OFF :如何关闭计算机调试管理器 Mdm.exe
found.000 文件夹的问题
问:我的电脑有的时候在 C 盘或 D 盘的根目录下有个名为 found.000 的文件夹,里面有一些后缀名为 CHK 的文件。在 c:/windows 下有很多以 fff 开头的怪文件,而且大小全部为 0 字节。请问这些是什么文件?能否将它们删除?
答: found.000 文件夹里面的一些后缀名为 CHK 的文件是你在使用 " 磁盘碎片整理程序 " 整理硬盘后所产生的 " 丢失簇的恢复文件 " 。在 c:/windows 下有很多以 fff 开头的文件是由 Mdm.exe(Machine Debug Manager) 这个程序产生的。 Mdm.exe 的主要工作是针对应用软件进行排错 (Debug) ,在排错过程中会产生一些暂存文件,这些文件在操作系统进行关机时没有自动被清除,所以这些 fff 开头的怪文件和 found.000 文件夹里面的一些后缀名为 CHK 的文件都是没有用的 :s33 文件,可以任意删除而不会对系统产生不良影响。
但只要系统中有 Mdm.exe 存在,那么以 fff 开头的怪文件就又有可能产生。你可以按下面的方法让系统停止运行 Mdm.exe 来彻底删除以 fff 开头的怪文件:首先按 "Ctrl+Alt+Del" 组合键,在弹出的 " 关闭程序 " 窗口中选中 "Mdm" ,按 " 结束任务 " 按钮来停止 Mdm.exe 在后台的运行,接着把 Mdm.exe( 在 C:/Windows/System 目录下 ) 改名为 Mdm.bak 。运行 msconfig 程序,在启动页中取消对 "Machine Debug Manager" 的选择。这样可以不让 Mdm.exe 自启动,然后点击 " 确定 " 按钮,结束 msconfig 程序,并重新启动电脑。另外,如果你使用 IE 5.X ,建议禁用脚本调用 ( 点击 " 工具 → Internet 选项 → 高级 → 禁用脚本调用 ") ,这样就可以避免以 fff 开头的怪文件再次产生。
[regsvc.exe]
进程文件 : regsvc or regsvc.exe
进程名称 : 远程注册表服务
描 述 : 远程注册表服务用于访问在远程计算机的注册表。可在控制面板,管理工具,服务中禁止相关的服务
[services.exe]
进程文件 : services or services.exe
进程名称 : Windows Service Controller
描 述 : 管理 Windows 服务。
介 绍:大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务,可以看到有很多服务都是在调用 %systemroot%/system32/service.exe
"Worm.NetSky" 病毒解决方案
1 、使用安全工具软件杀掉病毒;
2 、不要轻易点击陌生人的邮件以及下载和运行其所带附件,在运行可疑附件前最好先用毒霸扫描;
3 、手工解决方案:
对于系统是 Windows9x,WindowsMe :
步骤一,删除病毒主程序
请使用干净的系统软盘引导系统到纯 DOS 模式,然后转到系统目录(默认的系统目录为 C:/windows ),分别输入以下命令,以便删除病毒程序:
C:/windows/>del services.exe
完毕后,取出系统软盘,重新引导到 Windows 系统。
如果手中没有系统软件盘,可以在引导系统时按 "F5" 键也可进入纯 DOS 模式。
步骤二,清除病毒在注册表里添加的项
打开注册表编辑器 : 点击开始 > 运行 , 输入 REGEDIT, 按 Enter ;
在左边的面板中 , 双击(按箭头顺序查找,找到后双击):
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows >CurrentVersion>Run 在右边的面板中 , 找到并删除如下项目:
"service" = "%Windir%/services.exe -serv"
关闭注册表编辑器。
对于系统是 Windows NT,Windows2000,Windows XP,Windows 2003 sever :
步骤一,使用进程序管里器结束病毒进程
右键单击任务栏,弹出菜单,选择 " 任务管理器 " ,调出 "Windows 任务管理器 " 窗口。在任务管理器中,单击 " 进程 " 标签,在例表栏内找到病毒进程 "services.exe" ,单击 " 结束进程按钮 " ,点击 " 是 " ,结束病毒进程,然后关闭 "Windows 任务管理器 " ;
步骤二,查找并删除病毒程序
通过 " 我的电脑 " 或 " 资源管理器 " 进入系统目录( Winnt 或 windows) ,找到文件 services.exe" ,将它们删除;
步骤三,清除病毒在注册表里添加的项
打开注册表编辑器 : 点击开始 > 运行 , 输入 REGEDIT, 按 Enter ;
在左边的面板中 , 双击(按箭头顺序查找,找到后双击):
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run 在右边的面板中 , 找到并删除如下项目:
"service" = "%Windir%/services.exe -serv"
关闭注册表编辑器。
Services.exe 中的 CPU 使用率增至 100%
症状
在基于 Windows 2000 的计算机上, Services.exe 中的 CPU 使用率可能间歇性地达到 100 % ,并且计算机可能停止响应(挂起)。出现此问题时,连接到该计算机(如果它是文件服务器或域控制器)的用户会被断开连接。您可能还需要重新启动计算机。如果 Esent.dll 错误地处理将文件刷新到磁盘的方式,则会出现此症状。
解决方案
Service Pack 信息
要解决此问题,请获取最新的 Microsoft Windows 2000 Service Pack 。有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
修复程序信息
Microsoft 提供了受支持的修补程序,但该程序只是为了解决本文所介绍的问题。只有计算机遇到本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其他一些测试。因此,如果这个问题没有对您造成严重的影响, Microsoft 建议您等待包含此修补程序的下一个 Windows 2000 Service Pack 。
要立即解决此问题,请与 "Microsoft 产品支持服务 " 联系,以获取此修补程序。有关 "Microsoft 产品支持服务 " 电话号码和支持费用信息的完整列表,请访问下面的 Microsoft Web 站点:
[url]http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS[/url]
注意 :特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定更新程序无法解决的其他支持问题和事项,将正常收取支持费用。
下表列出了此修补程序的全球版本的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用 " 控制面板 " 中的 " 日期和时间 " 工具中的 时区 选项卡。
状态
Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。 此问题最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。
[snmp.exe]
进程文件 : snmp or snmp.exe
进程名称 : Microsoft SNMP Agent
描 述 : Windows 简单的网络协议代理( SNMP )用于监听和发送请求到适当的网络部分。
简 介:负责接收 SNMP 请求报文,根据要求发送响应报文并处理与 WinsockAPI 的接口。包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
[spoolsv.exe]
进程文件 : spoolsv or spoolsv.exe
进程名称 : Printer Spooler Service
描 述 : Windows 打印任务控制程序,用以打印机就绪。
介 绍:缓冲( spooler )服务是管理缓冲池中的打印和传真作业。
Spoolsv.exe → 打印任务控制程序,一般会先加载以供列表机打印前的准备工作
Spoolsv.exe ,如果常增高,有可能是病毒感染所致
目前常见的是 :
Backdoor/Byshell( 又叫隐形大
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。 ( 系统服务 ) 产生会话密钥以及授予用于交互式客户 / 服务器验证的服务凭据 (ticket) 。 ( 系统服务 )
svchost.exe 包含很多系统服务
svchost.exe
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。 ( 系统服务 )
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少)
mstask.exe 允许程序在指定时间运行。 ( 系统服务 )
regsvc.exe 允许远程注册表操作。 ( 系统服务 )
winmgmt.exe 提供系统管理信息 ( 系统服务 ) 。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。 ( 系统服务 )
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。 ( 系统服务 )
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。 ( 系统服务 )
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。 ( 系统服务 )
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000
Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。 ( 系统服务 )
dns.exe 应答对域名系统 (DNS) 名称的查询和更新请求。 ( 系统服务 )
以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉:
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows2000 Professional 的能力。 ( 系统服务 )
支持以下 TCP/IP 服务: Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day 。 ( 系统服务 )
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。 ( 系统服务 )
ups.exe 管理连接到计算机的不间断电源 (UPS) 。 ( 系统服务 )
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。 ( 系统服务 )
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。 ( 系统服务 )
RsSub.exe 控制用来远程储存数据的媒体。 ( 系统服务 )
locator.exe 管理 RPC 名称服务数据库。 ( 系统服务 )
lserver.exe 注册客户端许可证。 ( 系统服务 )
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。 ( 系统服务 )
clipsrv.exe 支持 " 剪贴簿查看器 " ,以便可以从远程剪贴簿查阅剪贴页面。 ( 系统服务 )
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。 ( 系统服务 )
faxsvc.exe 帮助您发送和接收传真。 ( 系统服务 )
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。 ( 系统服务 )
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。 ( 系统服务 )
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。 ( 系统服务 )
smlogsvc.exe 配置性能日志和警报。 ( 系统服务 )
rsvp.exe 为依赖质量服务 (QoS) 的程序和控制应用程序提供网络信号和本地通信控制安装功能。 ( 系统服务 )
RsEng.exe 协调用来储存不常用数据的服务和管理工具。 ( 系统服务 )
RsFsa.exe 管理远程储存的文件的操作。 ( 系统服务 )
grovel.exe 扫描零备份存储 (SIS) 卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。 ( 系统服务 )
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。 ( 系统服务 )
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。 ( 系统服务 )
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。 ( 系统服务 )
UtilMan.exe 从一个窗口中启动和配置辅助工具。 ( 系统服务 )
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。 ( 系统服务)
现在一个一个说
[system Idle Process]
进程文件 : [system process] or [system process]
进程名称 : Windows 内存处理系统进程
描 述 : Windows 页面内存管理进程,拥有 0 级优先。
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的 cpu 占用率越大表示可供分配的 CPU 资源越多,数字越小则表示 CPU 资源紧张。
System Idle Process 为何物
问:在使用 Windows XP 的过程中,按 "Ctrl+Alt+Del" 键调出任务管理器,在进程中我发现一个名为 "System Idle Process" 的进程,它往往占用了大部分 CPU 资源,经常是 80% 以上,请问为什么它占用了那么多资源?
答:你误解了 "System Idle Process" 进程的意思了,这里的 80% 并不是你所想的占用 CPU 的资源,恰恰相反的是这里的 80% 以上是 CPU 资源空闲了出来的。这里的数字越大表示 CPU 可用资源越多,数字越小则表示 CPU 资源越紧张。该进程是系统必须的,不能禁止哦。
[csrss.exe]
进程文件 : csrss or csrss.exe
进程名称 : Client/Server Runtime Server Subsystem
描 述 : 客户端服务子系统,用以控制 Windows 图形相关子系统。
介 绍 : 这个是用户模式 Win32 子系统的一部分。 csrss 代表客户 / 服务器运行子系统而且是一个基本的子系统必须一直运行。 csrss 用于维持 Windows 的控制,创建或者删除线程和一些 16 位的虚拟 MS-DOS 环境。
纯手工查杀木马 csrss.exe
注意: csrss.exe 进程属于系统进程,这里提到的木马 csrss.exe 是木马伪装成系统进程
前两天突然发现在 C:/Program Files/ 下多了一个 rundll32.exe 文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是 98 下 notepad.exe 的老记事本图标,在我的 2003 系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和 CPU 大量占用,网络流量也正常。
这两天又发现任务管理器里多了这个 rundll32.exe 和一个 csrss.exe 的进程。它和系统进程不一样的地方是用户为 Administrator ,就是我登录的用户名,而非 system ,另外它们的名字是小写的,而由 SYSTEM 启动的进程都是大写的 RUNDLL32.EXE 和 CSRSS.EXE ,觉得不对劲。
然后按 F3 用资源管理器的搜索功能找 csrss.exe ,果然在 C:/Windows 下,大小 52736 字节,生成时间为 12 月 9 日 12:37 。而真正的 csrss.exe 只有 4k ,生成时间是 2003 年 3 月 27 日 12:00 ,位于 C:/Windows/Syetem32 下。
于是用超级无敌的 UltraEdit 打开它,发现里面有 kavscr.exe , mailmonitor 一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有 SelfProtect 的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。灭!
试图用任务管理器结束 csrss.exe 进程失败,称是系统关键进程。先进注册表删除 [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run] 和 v[Runservice] 下相应值,注销重登录,该进程消失,可见它没有象 3721 那样加载为驱动程序。
然后要查找和它有关的文件。仍然用系统搜索功能,查找 12 月 9 日生成的所有文件,然后看到 12:37 分生成的有 csrss.exe 、 rundll32.exe 和 kavsrc.exe ,但 kavsrc.exe 的图标也是 98 下的记事本图标,它和 rundll32.exe 的大小都是 33792 字节。
此后在 12:38 分生成了一个 tmp.dat 文件,内容是
@echo off
debug C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.dat C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.out
copy C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.dat C:/WINDOWS/system32/netstart.exe>C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.out
del C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.dat >C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.out
del C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.in >C:/DOCUME~1/ADMINI~1/LOCALS~1/Temp/tmp.out
C:/WINDOWS/system32/netstart.exe
好像是用 debug 汇编了一段什么程序,这年头常用 debug 的少见,估计不是什么善茬,因为商业程序员都用 Delphi 、 PB 等大程序写软件。
汇编大约进行了 1 分钟,在 12:39 生成了 netstart.exe 、 WinSocks.dll 、 netserv.exe 和一个 0 字节的 tmp.out 文件。 netstart.exe 大小 117786 字节,另两个大小也是 52736 字节。前两个位于 C:/Windows/System32 下,后两个在当前用户的 Temp 文件夹里。
这样我就知道为什么我的系统没有感染的表现了。 netstart.exe 并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用 winrar 压缩并选中完成后删除源文件,然后在 rar 文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。
现在木马已经清除了。使用搜索引擎查找关于 csrss.exe 的内容,发现结果不少,有 QQ 病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索 netstart.exe 只有一个日文网站结果,也是一个木马。
这个病毒是怎么进入我的电脑的呢?搜索时发现在 12 月 9 日 12:36 分生成了一个快捷方式,名为 dos71cd.zip ,它是我那天从某网站下载的 DOS7.11 版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。
[dllhost.exe]
进程文件 : dllhost or dllhost.exe
进程名称 : DCOM DLL Host 进程
描 述 : DCOM DLL Host 进程支持基于 COM 对象支持 DLL 以运行 Windows 程序。
介 绍: com 代理,系统附加的 dll 组件越多,则 dllhost 占用的 cpu 资源和内存资源就越多,而 8 月的 " 冲击波杀手 " 大概让大家对它比较熟悉吧。
解决 Web 服务器出现的 dllhost.exe 错误
我的 Web 服务器出了问题。一个弹出话框显示 "dllhost.exe 出现错误 " 。当我查看应用事件日志时发现有很多 Active Server Pages Event 5 这样的错误。它们在错误信息中显示为 "line 0 内存溢出 " 。这种错误以前每隔几天就发生一次,但现在是每隔几小时就发生一次。重启后也只能维持一阵子。你对此有什么看法吗?
我还没碰到过这种问题,但我在微软的参考信息中看到 Exchange Outlook Web Access 使用过程中描述过这样的错误。( [url]http://support.microsoft.com/?kbid=224327[/url] )
该链接建议你安装最新的 Exchange 升级版。如果你在使用 Exchange ,不妨尝试一下。如果没有,我就要给你一些建议,它们同那些存在 ASP 3.0 方面问题的人的建议一样:
确保你有所有最新升级版和服务包。
在每个 Web 应用中允许进程隔离。
将应用程序升级到 ASP.NET 。
将 Web 服务器升级到 Windows Server 2003 。
dllhost.exe 是什么?
dllhost.exe 是运行 COM+ 的组件,即 COM 代理,运行 Windows 中的 Web 和 FTP 服务器必须有这个东西。
什么时候会出现 dllhost.exe ?
运行 COM+ 组件程序的时候就会出现。
冲击波杀手又是怎么一回事?
冲击波杀手借用了 dllhost.exe 作为进程名,但是由于 Windows 不允许同一个目录下有同名文件的存在,因此,冲击波杀手把病毒体: dllhost.exe 放到了 C:/Windows/System32/Wins 目录里面( Windows 2000 是 C:/WINNT/System32/Wins ,全部假设系统安装在 C 盘),但是真正的 dllhost.exe 应该放 在 C:/Windows/System32 ( Windows 2000 是 C:/WINNT/System32 )
换句话说就是:冲击波( Worm.WelChia )为了迷惑用户,避免病毒的执行体被进程管理器终止,采用了 dllhost.e xe 这个和 Windows 组件一样的名字,但是并不是说进程里面出现 dllhost.exe 就等于感染了 worm.welchi a
再看看这里的 FAQ 吧
第一个误区 ---- 进程出现 Dllhost.exe 就等于中了病毒
Dllhost.exe 是系统文件,但是进程里面出现 Dllhost.exe 进程不等于中了病毒
第二个误区 ---- 一见 Dllhost.exe 进程就杀死
其实这样做是不好的。很多程序都需要 Dllhost.exe
之所以大家恐惧 Dllhost.exe 进程,恐怕是由于冲击波(杀手)的问题。
其实冲击波(杀手)只不过采取了一个偷梁换柱的方法。因为任务管理器里面无法看出进程中 exe 文件的路径,所以让大家在分析问题 的时候出现一些偏差。
感染冲击波(杀手)的典型特征不是进程中出现 Dllhost.exe ,而是 RPC 服务出现问题(冲击波)和 System32/w ins 目录里面出现 svchost.exe 和 dllhost.exe 文件(冲击波杀手)。注意路径!!
那么, Dllhost.exe 是什么呢? Dllhost.exe 是 COM+ 的主进程。正常下应该位于 system32 目录里面和 system32/dllcache 目录里面。而 system32/win s 目录里面是不会有 dllhost.exe 文件的。
[inetinfo.exe]
进程文件 : inetinfo or inetinfo.exe
进程名称 : IIS Admin Service Helper
描 述 : InetInfo 是 Microsoft Internet Infomation Services (IIS) 的一部分,用于 Debug 调试除错。
介 绍: IIS 服务进程,蓝码正是利用的 inetinfo.exe 的缓冲区溢出漏洞。
inetinfo.exe 占用了 100 %的 cpu 解决方案
当我们在使用 iis 时,如果这时错误关机(停电等),重启机器后,再次使用 iis ,经常发现 inetinfo.exe 占用了 100 %的 cpu ,重装 iis 后,还是没用
这个问题很多人的解决方案就是重装机器,之前我也是那么做的,只是我是从 ghost 恢复,但老这样做,似乎很麻烦。终无我忍无可忍(这样的情况太多了,而且我的同时也经常碰到这样的问题)
我就想,既然国内资料没法找到解决方案,国外的也可以试试吧。经过两个多小时的努力,找到了解决方法:其实很简单,使用 windows update 更新一下电脑一下就行
原文在: [url]http://www.eggheadcafe.com/ng/microsoft.public.inetserver.misc/post210106.asp[/url]
inetinfo.exe 进程占用高达 100%
进程文件 : inetinfo or inetinfo.exe
进程名称 : IIS Admin Service Helper
InetInfo 是 Microsoft Internet Infomation Services (IIS) 的一部分,用于 Debug 调试除错。
可能原因很多 :
1 、 IIS 溢出入侵
默认情况下, IIS 5.0 服务器存在一个后缀为 "printer" 的应用程序映射,这个映射使用位于 WINNTSystem32 下的名为 msw3prt.dll 的动态库文件。这个功能是用于基于 Web 控制的网络打印的,是 Windows2000 为 Internet Printing Protocol(IPP) 协议而设置的应用程序功能。不幸的是,这个映射存在一个缓冲区溢出错误,可以导致 inetinfo.exe 出错
解决方法:删除 printer 的应用程序映射
2 、 shtml.dll
在 Frontpage Extention Server/Windows2000 Server 上输入一个不存在的文件将可以得到 web 目录的本地路径信息:
[url]http://www.victim.com/_vti_bin/shtml.dll/something.html[/url]
这样将返回以下信息:
Cannot open "d:inetpubwwwrootpostinfo1.html": no such file or folder.
但是如果我们请求并非 HTML 、 SHTML 或者 ASP 后缀的文件,我们将会得到不同的信息:
[url]http://207.69.190.42/_vti_bin/shtml.dll/something.exe[/url]
shtml.dll 对较长的带 html 后缀的文件名都会进行识别和处理,利用这一点,可以对 IIS 服务器执行 DOS 攻击,使目标服务器的 CPU 占用率达到 100%
解决方法:禁用 Frontpage 扩展。
Inetinfo.exe 进程停止响应
[url]http://support.microsoft.com/default.aspx?scid=kb;zh-cn;311517[/url]
[kernel32.dll]
进程文件 : kernel32 or kernel32.dll
进程名称 : Windows 壳进程
描 述 : Windows 壳进程用于管理多线程、内存和资源。
介 绍: kernel32.dll 是 Windows 9x/Me 中非常重要的 32 位动态链接库文件,属于内核级文件。它控制着系统的内存管理、数据的输入输出操作和中断处理,当 Win_dows 启动时, kernel32.dll 就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。
[mdm.exe]
进程文件 : mdm or mdm.exe
进程名称 : Machine Debug Manager
描 述 : Debug 除错管理用于调试应用程序和 Microsoft Office 中的 Microsoft Script Editor 脚本编辑器。
介 绍: Mdm.exe 的主要工作是针对应用软件进行排错 (Debug) ,说到这里,扯点题外话,如果你在系统见到 fff 开头的 0 字节文件,它们就是 mdm.exe 在排错过程中产生一些暂存文件,这些文件在操作系统进行关机时没有自动被清除,所以这些 fff 开头的怪文件里是一些后缀名为 CHK 的文件都是没有用的文件,只要系统中有 Mdm.exe 存在,就有可能产生以 fff 开头的怪文件。可以按下面的方法让系统停止运行 Mdm.exe 来彻底删除以 fff 开头的怪文件:首先按 "Ctrl+Alt+Del" 组合键,在弹出的 " 关闭程序 " 窗口中选中 "Mdm" ,按 " 结束任务 " 按钮来停止 Mdm.exe 在后台的运行,接着把 Mdm.exe( 在 C:/Windows/System 目录下 ) 改名为 Mdm.bak 。运行 msconfig 程序,在启动页中取消对 "Machine Debug Manager" 的选择。这样可以不让 Mdm.exe 自启动,然后点击 " 确定 " 按钮,结束 msconfig 程序,并重新启动电脑。另外,如果你使用 IE 5.X 以上版本浏览器,建议禁用脚本调用 ( 点击 " 工具 → Internet 选项 → 高级 → 禁用脚本调用 ") ,这样就可以避免以 fff 开头的怪文件再次产生。
OFF :如何关闭计算机调试管理器 Mdm.exe
found.000 文件夹的问题
问:我的电脑有的时候在 C 盘或 D 盘的根目录下有个名为 found.000 的文件夹,里面有一些后缀名为 CHK 的文件。在 c:/windows 下有很多以 fff 开头的怪文件,而且大小全部为 0 字节。请问这些是什么文件?能否将它们删除?
答: found.000 文件夹里面的一些后缀名为 CHK 的文件是你在使用 " 磁盘碎片整理程序 " 整理硬盘后所产生的 " 丢失簇的恢复文件 " 。在 c:/windows 下有很多以 fff 开头的文件是由 Mdm.exe(Machine Debug Manager) 这个程序产生的。 Mdm.exe 的主要工作是针对应用软件进行排错 (Debug) ,在排错过程中会产生一些暂存文件,这些文件在操作系统进行关机时没有自动被清除,所以这些 fff 开头的怪文件和 found.000 文件夹里面的一些后缀名为 CHK 的文件都是没有用的 :s33 文件,可以任意删除而不会对系统产生不良影响。
但只要系统中有 Mdm.exe 存在,那么以 fff 开头的怪文件就又有可能产生。你可以按下面的方法让系统停止运行 Mdm.exe 来彻底删除以 fff 开头的怪文件:首先按 "Ctrl+Alt+Del" 组合键,在弹出的 " 关闭程序 " 窗口中选中 "Mdm" ,按 " 结束任务 " 按钮来停止 Mdm.exe 在后台的运行,接着把 Mdm.exe( 在 C:/Windows/System 目录下 ) 改名为 Mdm.bak 。运行 msconfig 程序,在启动页中取消对 "Machine Debug Manager" 的选择。这样可以不让 Mdm.exe 自启动,然后点击 " 确定 " 按钮,结束 msconfig 程序,并重新启动电脑。另外,如果你使用 IE 5.X ,建议禁用脚本调用 ( 点击 " 工具 → Internet 选项 → 高级 → 禁用脚本调用 ") ,这样就可以避免以 fff 开头的怪文件再次产生。
[regsvc.exe]
进程文件 : regsvc or regsvc.exe
进程名称 : 远程注册表服务
描 述 : 远程注册表服务用于访问在远程计算机的注册表。可在控制面板,管理工具,服务中禁止相关的服务
[services.exe]
进程文件 : services or services.exe
进程名称 : Windows Service Controller
描 述 : 管理 Windows 服务。
介 绍:大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务,可以看到有很多服务都是在调用 %systemroot%/system32/service.exe
"Worm.NetSky" 病毒解决方案
1 、使用安全工具软件杀掉病毒;
2 、不要轻易点击陌生人的邮件以及下载和运行其所带附件,在运行可疑附件前最好先用毒霸扫描;
3 、手工解决方案:
对于系统是 Windows9x,WindowsMe :
步骤一,删除病毒主程序
请使用干净的系统软盘引导系统到纯 DOS 模式,然后转到系统目录(默认的系统目录为 C:/windows ),分别输入以下命令,以便删除病毒程序:
C:/windows/>del services.exe
完毕后,取出系统软盘,重新引导到 Windows 系统。
如果手中没有系统软件盘,可以在引导系统时按 "F5" 键也可进入纯 DOS 模式。
步骤二,清除病毒在注册表里添加的项
打开注册表编辑器 : 点击开始 > 运行 , 输入 REGEDIT, 按 Enter ;
在左边的面板中 , 双击(按箭头顺序查找,找到后双击):
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows >CurrentVersion>Run 在右边的面板中 , 找到并删除如下项目:
"service" = "%Windir%/services.exe -serv"
关闭注册表编辑器。
对于系统是 Windows NT,Windows2000,Windows XP,Windows 2003 sever :
步骤一,使用进程序管里器结束病毒进程
右键单击任务栏,弹出菜单,选择 " 任务管理器 " ,调出 "Windows 任务管理器 " 窗口。在任务管理器中,单击 " 进程 " 标签,在例表栏内找到病毒进程 "services.exe" ,单击 " 结束进程按钮 " ,点击 " 是 " ,结束病毒进程,然后关闭 "Windows 任务管理器 " ;
步骤二,查找并删除病毒程序
通过 " 我的电脑 " 或 " 资源管理器 " 进入系统目录( Winnt 或 windows) ,找到文件 services.exe" ,将它们删除;
步骤三,清除病毒在注册表里添加的项
打开注册表编辑器 : 点击开始 > 运行 , 输入 REGEDIT, 按 Enter ;
在左边的面板中 , 双击(按箭头顺序查找,找到后双击):
HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run 在右边的面板中 , 找到并删除如下项目:
"service" = "%Windir%/services.exe -serv"
关闭注册表编辑器。
Services.exe 中的 CPU 使用率增至 100%
症状
在基于 Windows 2000 的计算机上, Services.exe 中的 CPU 使用率可能间歇性地达到 100 % ,并且计算机可能停止响应(挂起)。出现此问题时,连接到该计算机(如果它是文件服务器或域控制器)的用户会被断开连接。您可能还需要重新启动计算机。如果 Esent.dll 错误地处理将文件刷新到磁盘的方式,则会出现此症状。
解决方案
Service Pack 信息
要解决此问题,请获取最新的 Microsoft Windows 2000 Service Pack 。有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
修复程序信息
Microsoft 提供了受支持的修补程序,但该程序只是为了解决本文所介绍的问题。只有计算机遇到本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其他一些测试。因此,如果这个问题没有对您造成严重的影响, Microsoft 建议您等待包含此修补程序的下一个 Windows 2000 Service Pack 。
要立即解决此问题,请与 "Microsoft 产品支持服务 " 联系,以获取此修补程序。有关 "Microsoft 产品支持服务 " 电话号码和支持费用信息的完整列表,请访问下面的 Microsoft Web 站点:
[url]http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS[/url]
注意 :特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定更新程序无法解决的其他支持问题和事项,将正常收取支持费用。
下表列出了此修补程序的全球版本的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用 " 控制面板 " 中的 " 日期和时间 " 工具中的 时区 选项卡。
状态
Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。 此问题最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。
[snmp.exe]
进程文件 : snmp or snmp.exe
进程名称 : Microsoft SNMP Agent
描 述 : Windows 简单的网络协议代理( SNMP )用于监听和发送请求到适当的网络部分。
简 介:负责接收 SNMP 请求报文,根据要求发送响应报文并处理与 WinsockAPI 的接口。包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
[spoolsv.exe]
进程文件 : spoolsv or spoolsv.exe
进程名称 : Printer Spooler Service
描 述 : Windows 打印任务控制程序,用以打印机就绪。
介 绍:缓冲( spooler )服务是管理缓冲池中的打印和传真作业。
Spoolsv.exe → 打印任务控制程序,一般会先加载以供列表机打印前的准备工作
Spoolsv.exe ,如果常增高,有可能是病毒感染所致
目前常见的是 :
Backdoor/Byshell( 又叫隐形大