lsass.exe
程序名稱: Local Security Authority Service
程序名稱: lsass.exe是一個系統程序,用于微軟Windows系統的安全機制。它用于本地安全和登陸政策。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm建立的,病毒通過軟碟、群發郵件和P2P檔案共享進行傳播。
出品者: Microsoft Corp.
屬于: Microsoft Windows Operating System
因這個程序為系統程序,強行結束将會出現倒計時關機的字樣,隻能重新啟動.
如果你的啟動菜單(開始-運作-輸入“msconfig”)裡有個lsass.exe啟動項,那就證明你的lsass.exe是木馬病毒,中毒後,在程序裡可以見到有兩個相同的程序,分别是lsass.exe和LSASS.EXE,同時在windows下生成LSASS.EXE和exert.exe兩個可執行檔案,且在背景運作,LSASS.EXE管理exe類執行檔案,exert.exe管理程式退出,還會在D盤根目錄下産生command.com和autorun.inf兩個檔案,同時侵入系統資料庫破壞系統檔案關聯。以下說一下本人對該病毒的殺法,以WIN98為例:打開IE屬性删除cookies和所有脫機内容,啟動程序殺手終止lsass.exe和exert.exe兩個程序,然後到windows目錄下删除這兩個檔案,這兩個檔案是隐藏的,再到D:删除command.com和autorun.inf兩個檔案,最後重新開機電腦到DOS 運作,用scanreg/restore 指令來恢複系統資料庫,(如果不會的或者是XP系統不能用的可以用瑞星系統資料庫修複程式之類的軟體修複一下系統資料庫),重新開機後進到WINDOWS桌面用防毒軟體(本人用金山毒霸2006)全面殺毒,清除餘下的病毒!
其實這也隻是個治标不治本的方法,對付仿冒LSASS程序的處理相對是比較簡單,但是鏡像劫持該程序的話,可以用鏡像劫持修複工具進行修複,但是如果病毒注入了LSASS程序的話,處理就要複雜多了,建議重新裝下系統。
jtagserver.exe
描述:Altera公司的FPGA下載下傳工具
msmdsrv.exe
描述:
msmdsrv.exe is a process belonging to Microsoft SQL Server. This program is a system service, and should not be terminated unless suspected to be causing problems.
分析服務在啟動時為所有的資料庫将所有的次元裝載入易失性存儲器。在處理過程中,伺服器消耗附加存儲器以處理次元和多元資料集的更新。可執行在分析服務之後的服務叫做msmdsrv。
MsDtsSrvr.exe
描述:
MicrosoftSQLServer的IntegrationServices服務程序。用于存儲和執行提供管理支援。
屬于: SQL Server
inetinfo.exe
描述:
inetinfo.exe主要用于支援微軟Windows IIS網絡服務的除錯。這個程式對你系統的正常運作是非常重要的。
ImeUtil.exe
搜狗拼音的一個程序,如果您安裝的是3.2之後的版本就會出現這個,占記憶體大概2M多
直接到搜狗的安裝路徑裡把ImeUtil.exe删除掉了,這樣沒有任何影響(包括更新詞庫),也省得勞累ssm進行幹預了,呵呵
但是,發現3.5.0.1088之前的版本沒有任何問題,而一旦更新到3.6版本,如果再删除掉ImeUtil.exe,那麼就會不斷報錯,然後更新詞庫也更新不了。(之前我在搜狗吧裡發了個文章詢問為什麼非要啟動ImeUtil.exe這個程序,也許搜狗新版針對此點增強了保護機制………………)
建議:如果你很在乎資源的占用,建議使用3.5.0.1088或之前的版本,然後删除掉ImeUtil.exe,使用正常也可以更新詞庫
防毒軟體升到最新,多了兩個程序:
scanfrm.exe 是2009版瑞星的空閑時段清除程序,你要不用就在瑞星的設定中将空間時段清除删除了,然後結束這個程序。
rsnetsvr.exe 這是瑞星軟體的網絡安全程序,要讓它不啟動容易啊,在開始菜單的“運作”輸入“services.msc”确定後在服務裡面找到這個項,右擊完把它禁用就可以了。
rssafety.exe是瑞星的賬号保險櫃程序。
sqlserver.exe
描述:
是微軟Microsoft SQL Server服務套裝的一部分。該程序用于SQL基礎服務。
sqlwriter.exe
程序分析:
MicrosoftSQLServer的SQL編寫器服務,允許備份和還原應用程式以便在VolumeShadowCopyService(VSS)架構中進行操作。伺服器上的所有SQL執行個體隻有一個SQL編寫器服務執行個體。
mscorsvw.exe
程序分析:
MicrosoftVirtulStdio2005Framework預編譯工具。
程式用途: 背景預編譯.net的assemblies
屬于: Microsoft .NET Framework
備注:
什麼是mscorsvw.exe,為什麼它狂占用我的電腦的CPU?什麼是“新CLR優化服務”? mscorsvw.exe是在背景預編譯.net的assemblies。一旦它執行完畢,就停止。一般來說,當你安裝了.NET的分發程式,它就會先用5到10分鐘預編譯那些高優先級的assemblies,然後等到你的電腦空閑的時候再去處理那些低優先級的assemblies 。一旦它全部處理完畢,它将會終止,你将不會再看到mscorsvw.exe。很重要的一點是,當你看到CPU被100%地占用,這就是發生在它處于一個低優先級的程序之中,是以它盡可能地不讓其他你正運作的程序搶占CPU。一旦所有的assemblies都被編譯完畢,assemblies将能跨程序地分享記憶體頁。一般來說,這時的熱啟動将會快得多,是以我們不再丢棄你的其他程序。 如果你真的想要從你的任務管理器中消除mscorsvw.exe,可以這樣做: ngen.exe executequeueditems 這就可以讓其後所有排隊等候的程序開始工作。
Microsoft.NETRuntimeOptimizationService是.NET運作優化服務程序。
.NET Runtime 的其他主要功能的設計目的是為元件開發提供第一手支援。對屬性和事件的直接支援使得基于元件的程式設計變得更簡單,而不需要特殊的接口和适配設計模式。自動記憶體管理處理棘手的對象生存期問題。序列化支援允許以多種格式編寫“凍幹”元件,包括基于業界标準 XML 的 SOAP(并不隻是專利二進制格式),并且以後重新組織它們。有了調用和建立業界标準 Web 服務的能力,您可以向 Internet 上任何地方、使用任何裝置的任何人展示元件,也可以使用 Internet 上任何地方的任何裝置上的元件。例外提供了處理錯誤條件的有力、協調的方式。每個子產品都具有内置的完整中繼資料,這意味着諸如動态建立和方法調用之類的功能更容易,也更安全。(.NET 甚至允許您靈活地建立和執行代碼。)您可以控制應用程式使用的元件的版本,這使應用程式更可靠。最後,該代碼是與處理器無關的和易于驗證的中間語言 (IL),而不是某一種特定的機器語言,這意味着元件不但可以在多種計算機上運作,而且可以確定元件不會覆寫它們不使用的記憶體,也不會潛在地導緻系統崩潰。
.NET Runtime 包含這裡提到的每一個關鍵特征,是以,您可以很容易地編寫出有活力的面向對象的元件。
acrord32.exe 程序資訊
中文參考:acrord32.exe是Adobe Acrobat Reader閱讀器的一部分。該程序用于打開和察看PDF文檔,它能夠從Adobe.com下載下傳。
reader_sl.exe
程序名稱: Adobe Reader Speed Launch
描述:
reader_sl.exe是Adobe Reader相關程式。該程序用于減少打開PDF檔案的讀取時間。
注意:不是reader_s1.exe
wowexec.exe
解釋:
一直以來大家認為這是WINDOWS的自動更新程式,隻要關閉自動更新就不會再出現。
其實不是這樣的,系統運作時讀取和儲存檔案時,都會在硬碟上産生檔案碎片,這不僅
影響硬碟的速度,而且對硬碟也會有損傷,而wowexec 或者 wowexec.exe則是當硬碟上
的檔案碎片過多時,系統自動進行碎片整理,如果你有這個閑情雅緻,可以開着任務管理
器,一直盯着這個程序,用不了多久,當碎片整理完後,程序就自動關閉了。是以大家完
全不用擔心這個程序是不是病毒之類的。
另外補充一點,系統自動更新的程序是wuauclt.exe,這個程序确實是關閉自動更新後
就不會再出現。
conime
描述:
conime.exe是輸入法編輯器相關程式。注意:conime.exe同時可能是一個bfghost1.0遠端控制後門程式。此程式允許攻擊者通路你的計算機,竊取密碼和個人資料。建議立即删除此程序。
很多人問conime.exe是什麼程序,而大部分人會參照國内外網上的程序描述,說是病毒并教他們怎麼結束他。
大家都知道在運作cmd.exe之後程序中會出現一個conime.exe的程序。
GrooveMonitor.exe
程序分析:
Groove是MircosoftOffice2007企業版元件之一,該版本內建來來自微軟并購的Groove網絡公司的另外一項協作技術,它可以讓一個項目小組實時同步一些文檔,同時選擇在同步之前進行離線操作。
Office Groove 2007 是一個協作軟體程式,即便工作組成員是為不同的組織服務、遠端工作或脫機工作,該程式都能幫助工作組成員随時、随地同任何人動态地進行有效的協同工作。在 Groove 工作區中工作,使用者可以節省時間、提高效率,并提高工作組可傳遞結果的品質。2007 Microsoft Office system 努力幫助工作組群組織更有效進行協作,Office Groove 2007 僅是其中一例。
動态協同工作
使您的工作組、工具、檔案和資訊集中于一處。
隻需點選兩下滑鼠,就能直接在您的計算機上建立 Groove 工作區。
邀請您的同僚、合作夥伴和客戶一同參加,而不必擔心網絡或伺服器問題。
添加工具來支援工作組不斷發展的需要:檔案共享、讨論、會議、業務表單等等。
FlvDetector.exe
Windows防火牆例外選項中的FlvDetector.exe及進階選項中的FG2等是什麼?
懸賞分:0 - 解決時間:2008-10-30 19:45
點“開始”,再點“設定”,再點“網絡連接配接”,再右擊“寬帶連接配接”的屬性,再點“進階”,再點“防火牆”“例外”,選項中有QQ,有FlvDetector.exe等,我可以删除QQ,但不敢動FlvDetector.exe,不知是什麼東西。另外在“例外”右邊的“進階”選項中“本地連接配接”與“寬帶連接配接”的“設定、服務”中有FG1、FG2,我不敢去掉其前的鈎,不知是什麼。
請高手幫助我。
Windows防火牆例外選項中的FlvDetector.exe及進階選項中的FG2等是什麼?
msiexec.exe(11月3日發現)
程序名稱: Windows Installer Component
程序名稱: msiexec.exe是Windows Installer的一部分。用于安裝Windows Installer安裝包(MSI)。這個程式對你系統的正常運作是非常重要的。
出現msiexec.exe程序原因:此程序一般在運作Microsoft Update安裝更新的時候出現,占用記憶體比較大!
7lf5.exe
簡介:病毒
rundll32.exe
簡介:注意與rund1132.exe差別,因為後者是病毒。
描述:test for netguide..----Caiger2008
rundll32.exe用于在記憶體中運作DLL檔案,它們會在應用程式中被使用。這個程式對你系統的正常運作是非常重要的。注意:rundl132.exe和rundll32.exe神似.但是rundl132.exe是W32.Miroot.Worm病毒。該病毒允許攻擊者通路你的計算機,竊取密碼和個人資料。該程序的安全等級是建議立即删除。
Rundll32.exe是什麼?顧名思義,“執行32位的DLL檔案”。它的作用是執行DLL檔案中的内部函數,這樣在程序當中,隻會有 Rundll32.exe,而不會有DLL後門的程序,這樣,就實作了程序上的隐藏。如果看到系統中有多個Rundll32.exe,不必驚慌,這證明用 Rundll32.exe啟動了多少個的DLL檔案。當然,這些Rundll32.exe執行的DLL檔案是什麼,我們都可以從系統自動加載的地方找到。
wuauclt.exe
簡介:Windows自動更新管理程式。該程序會不斷線上檢測更新。删除該程序将使你無法得到最新更新資訊。
System Idle P...
簡介:系統閑置CPU量 意思是說,CPU有多少未用.如果他等于0 說明你系統已經癱瘓了。
System
系統裡确實有system這個程序,但注意,它并不是system.exe,可能是木馬僞裝而成的,還是先查查木馬吧
程序檔案:system.exe
程序名稱:system.exe
描述:
system.exe是netcontroller木馬病毒生成的檔案,出現在c:/windows目錄下,建議将其删除。但要系統的system程序區分開來。system程序是沒有.exe的
RavMonD
程序名稱: 瑞星防毒軟體
描述:
RAVMOND.exe是瑞星防毒軟體相關監控程式。注意:RAVMOND.exe也可能是Lovegate.F木馬相關程式。該木馬允許攻擊者通路你的計算機,竊取密碼和個人資料。
RSTray.exe
RSTray.exe正确的位置是X:/Rising/AntiSpyware/RSTray.exe(X指的是你安裝的盤符)
RSTray.exe是瑞星卡卡上網安全助手6.0的實時監控程式。你結束它的程序後,右下角的一個藍色小球程式就沒了。RSTray.exe是負責監控的,基本每種防毒軟體都帶着這種類似的監控程式,防止病毒木馬侵入,提醒攔截惡意廣告用的。
rav.exe
程序名稱: 瑞星防毒軟體
描述:
rav.exe是瑞星防毒軟體主程式。
explorer.exe
所在路徑: (系統安裝目錄盤)C:/windows/explorer.exe
程序全稱: Microsoft Windows Explorer
中文名稱: 微軟windows資料總管
描述:
Windows 資料總管,可以說是 Windows 圖形界面外殼程式,它是一個有用的系統程序。 注意它的正常路徑是 C:/Windows 目錄,否則可能是 W32.Codered 或 [email protected] 病毒。explorer.exe也有可能是w32.Codered和[email protected]病毒。該病毒通過email郵件傳播,當你打開病毒發送的附件時,即被感染。該病毒會在受害者機器上建立SMTP服務。該病毒允許攻擊者通路你的計算機、竊取密碼和個人資料。
smss.exe
簡介:smss.exe(Session Manager Subsystem),該程序為會話管理子系統用以初始化系統變量,MS-DOS驅動名稱類似LPT1以及COM,調用Win32殼子系統和運作在Windows登陸過程。這是一個會話管理子系統,負責啟動使用者會話。這個程序是通過系統程序初始化的并且對許多活動的,包括已經正在運作的Windows登入程式(winlogon.exe),Win32子系統(csrss.exe)線程和設定的系統變量作出反映。在它啟動這些程序後,它等待Winlogon或者Csrss結束。如果這些過程是正常的,系統就關掉了。如果發生了什麼不可預料的事情,smss.exe就會讓系統停止響應(就是挂機)。
stormliv.exe
程序名稱: 暴風影音媒體控制中心
描述:
nvsvc32.exe是暴風影音媒體控制中心。
停止stormliv.exe程序的具體操作:
控制台–> 管理工具–> 服務,找到“Contrl Center of Storm Media”,輕按兩下,在服務狀态下點“停止”,啟動類型中選“已禁用”或者“手動”。
TXPlatform.exe
描述:騰訊即時通訊用戶端相關程式,用于阻止同一個QQ号在同一台電腦上登陸2次
和支援外部添加功能(如添加到使用者自定義面闆)。
這是2007年下半年騰訊公司更新的qq上的檔案,原來的檔案名是Timplatform.exe
可以删除以減少記憶體使用(将TXPFProxy.dll與TXPlatform.exe一起删除)。
這個程序通常出現于有遠端協助開啟的時候,對系統資源占用不多
雖然這個程序加載的很快,但是多少也影響點速度,加載了這個程序後也不能同時登陸兩個相同的QQ号碼,而且是程序就占用系統資源,可以說是百害而無一利,有沒有辦法讓其不加載呢?辦法當然是有的。
辦法很簡單,找到QQ目錄裡的TIMPlatform.exe檔案,然後按Shift+Delete将其删除,OK,大功告成,看看QQ啟動速度是不是快了?至少也要快1秒!(如果你的電腦是古董級的,登陸速度會明顯加快喲!)
而且現在也能同時登陸兩個相同的QQ号碼了,還能倒出一點點CPU和記憶體來,是不是不錯噢。
PS:如果提示TIMPlatform.exe正在使用,那你先将TIMPlatform.exe程序結束掉,然後再删;如果你不會結束程序的話就重新開機電腦,先不要運作QQ,把QQ目裡的TIMPlatform.exe删掉就OK了
注意:在QQ2007beat2-1以後的該程序變成TxPlatform了,一樣的作用,我都不在細講了
另一種阻止方法:可以用HIPS軟體阻止該程序建立(如SSM),規則設定為阻止即可(這樣就算下次更新QQ,該程序也不能建立)。
QQ音樂與TXPlatform.exe這個程序有關聯 如果把QQ目錄下TXPlatform.exe檔案删掉那麼您QQ音樂上播放的音樂将無法在QQ狀态欄中顯示。 但是你不用QQ音樂這個軟體是可以删掉。對系統和QQ沒有影響
另一說法:
TXPlatform.exe的作用是釋放QQ使用過程中資源。 TXPlatform雖然占了一定的記憶體,但是如果不啟動TXPlatform你的QQ會占用更大的資源。經測試不開TXPlatform的QQ2小時後記憶體占用會達30+MB,虛拟記憶體70+MB,而開着TXPlatform的QQ記憶體占用始終是10MB以内,虛拟記憶體40MB以内(如果視訊或語音記憶體會臨時增加,結束後記憶體會立即釋放) 。
有心人自己試一試。
csrss.exe
描述:
是微軟用戶端/服務端運作時子系統。該程序管理Windows圖形相關任務。這個程式對你系統的正常運作是非常重要的。 注意:csrss.exe也有可能是[email protected]、W32.Webus Trojan、Win32.Ladex.a等病毒建立的。該病毒通過Email郵件進行傳播,當你打開附件時,即 被感染。該蠕蟲會在受害者機器上建立SMTP服務,用以自身傳播。該病毒允許攻擊者通路你的 計算機,竊取木馬和個人資料。這個程序的安全等級是建議立即進行删除。
注意,正常的csrss.exe輕按兩下後會出現“不能在Win32模式下運作”的提示,終止程序後會藍屏。
正常情況下在Windows NT/2000/XP/2003系統中隻有一個csrss.exe程序,位于System32檔案夾中,若以上系統中出現兩個csrss.exe 程序(其中一個位于 Windows 檔案夾中),或在Windows 9X/Me系統中出現該程序,則是感染了病毒。Windows Vista有兩個csrss.exe程序。
winlogon.exe
描述:
Windows Logon Process,Windows NT 使用者登陸程式,管理使用者登入和退出。該程序的正常路徑應是 C:/Windows/System32 且是以 SYSTEM 使用者運作,若不是以上路徑且不以 SYSTEM 使用者運作,則可能是 [email protected] 蠕蟲病毒,該病毒通過 EMail 郵件傳播,當你打開病毒發送的附件時,即會被感染。該病毒會建立 SMTP 引擎在受害者的計算機上,群發郵件進行傳播。手工清除該病毒時先結束病毒程序 winlogon.exe,然後删除 C:/Windows 目錄下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 檔案,再清除 AOL instant messenger 7.0 服務,位于系統資料庫 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services] 下的 aol7.0 鍵。
services.exe
描述
services.exe是微軟Windows作業系統的一部分。用于管理啟動和停止服務。該程序也會處理在計算機啟動和關機時運作的服務。這個程式對你系統的正常運作是非常重要的。終止程序後會重新開機。正常的services.exe應位于%systemroot%/System32檔案夾中,也就是在程序裡使用者名顯示為“system”,不過services也可能是W32.Randex.R(儲存在%systemroot%/system32/目錄)和Sober.P (儲存在%systemroot%/Connection Wizard/Status/目錄)木馬。該木馬允許攻擊者通路你的計算機,竊取密碼和個人資料。該程序的安全等級是建議立即删除。
lsass.exe
描述:
lsass.exe是一個系統程序,用于微軟Windows系統的安全機制。它用于本地安全和登陸政策。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm建立的,病毒通過軟碟、群發郵件和P2P檔案共享進行傳播。
如果你的啟動菜單(開始-運作-輸入“msconfig”)裡有個lsass.exe啟動項,那就證明你的lsass.exe是木馬病毒,中毒後,在程序裡可以見到有兩個相同的程序,分别是lsass.exe和LSASS.EXE,同時在windows下生成LSASS.EXE和exert.exe兩個可執行檔案,且在背景運作,LSASS.EXE管理exe類執行檔案,exert.exe管理程式退出,還會在D盤根目錄下産生command.com和 autorun.inf兩個檔案,同時侵入系統資料庫破壞系統檔案關聯。以下說一下本人對該病毒的殺法,以WIN98為例:打開IE屬性删除cookies和所有脫機内容,啟動程序殺手終止lsass.exe和exert.exe兩個程序,然後到windows目錄下删除這兩個檔案,這兩個檔案是隐藏的,再到 D:删除command.com和autorun.inf兩個檔案,最後重新開機電腦到DOS 運作,用scanreg/restore 指令來恢複系統資料庫,(如果不會的或者是XP系統不能用的可以用瑞星系統資料庫修複程式之類的軟體修複一下系統資料庫),重新開機後進到WINDOWS桌面用防毒軟體,全面殺毒,清除餘下的病毒!
ati2evxx.exe
程序名稱: ATI External Event Utility EXE Module
描述:
ati2evxx.exe是ATI顯示卡增強工具。它用于管理ATI HotKey特性
svchost.exe
程序名稱: Generic Service Host Process for Win32 Services
程序類别:系統程序
位置:C:/windows/system32/svchost.exe (如果你的svchost.exe程序不是在這個目錄下的話,那麼就要當心了)
描述:
svchost.exe是一個屬于微軟Windows作業系統的系統程式,微軟官方對它的解釋是:Svchost.exe 是從動态連結庫 (DLL) 中運作的服務的通用主機程序名稱。這個程式對你系統的正常運作是非常重要,而且是不能被結束的。
(注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造緩沖區溢出,導緻你計算機關機。更多詳細資訊參考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx,該程序的安全等級是建議立即删除。)
RTHDCPL.exe
程序名稱: Realtek HD Audio Sound Effect Manager
描述:
RTHDCPL.exe是Realtek聲霸卡特性設定軟體相關程式。
rthdcpl.exe應該是聲霸卡的一個音效或者控制台的程序,關閉他不會影響聲音的.因為我們平時基本不會用這個控制台調整音效.聲音預設值幾可以了.我每次裝系統後都會禁用這個控制台.
你可以在運作裡輸入"msconfig"檢視啟動項,如果有聲霸卡控制台的啟動項删掉他就可以了.
記得修改啟動項後,要重起電腦才能起作用
MOM.exe
如果是裝了新的ATI驅動的話那應該是正常的。
如果不是,應該是木馬。
CCenter.exe
描述:ccenter.exe是瑞星資訊中心,是瑞星防毒軟體的元件。
daemon.exe
程序名稱: Daemon Tools
描述:
daemon.exe是一個背景程式,用于打開例如iso之類的鏡像檔案,做成虛拟光驅檔案。
mDNSResponder.exe
程序名稱: Bonjour for Windows Component
描述:
mDNSResponder.exe是一款名為Bonjour的音樂分享軟體相關程式。
出品者: Apple
這個程序很多時候是安裝了ADOBE CS3 之後出現的。不過,蘋果公司的一些産品(如 Safari 浏覽器)中也捆綁有它,不過在安裝前會詢問,而且在系統的“添加或者删除程式”中也有解除安裝入口。
它在windows服務裡面加了一個服務項。程序為mDNSResponder.exe。
解決方法:
運作"C:/Program Files/Bonjour/mDNSResponder.exe" -remove
打開 C:/Program Files/Bonjour ,重命名 mdnsNSP.dll 為 mdnsNSP.old
重新開機電腦
删除 Program Files/Bonjour 檔案夾
到此清理完畢。
有用的清除方法
1.開始→控制台→管理工具→服務,把那個像亂碼一樣的服務停止并禁用.這樣開機就不加載這項服務了,并不能完全殺滅,還需繼續進行下一步.
2.重新開機,删除 C:/Program Files目錄下的 Bonjour檔案夾,如遇無法删除請重複第一步後将此檔案夾下的DLL檔案改名,将字尾改為.old檔案,重新開機後再删除即可.
3.最後清理系統資料庫,開始→運作→regedit,搜尋Bonjour,将搜尋到的鍵值删除.次服務到此全部清理完畢.
smnet_c.exe
路徑:..、Net Manager/client
描述:是網絡管理【被控端】的相關程序。(教師機可以直接控制學生機的電腦)
RavMonD.exe
程序檔案: RAVMOND 或者 RAVMOND.exe
程序名稱: 瑞星防毒軟體
描述:
RAVMOND.exe是瑞星防毒軟體相關監控程式。注意:RAVMOND.exe也可能是Lovegate.F木馬相關程式。該木馬允許攻擊者通路你的計算機,竊取密碼和個人資料。
程序檔案: lkcitdl.exe
程序名稱: National Instruments Part of Logos
英文描述: lkcitdl.exe is a process associated with National Instruments Logos from National Instruments, Inc..
程序分析: LabVIEW相關程式。LabVIEW是NationalInstruments,Inc.出品的一種圖形化的程式設計語言,用于快速建立靈活的、可更新的測試、測量和控制應用程式。使用LabVIEW,工程師和科學家們可以采集到實際信号,并對其進行分析得出有用資訊,然後将測量結果和應用程式進行分享。無論您是否有程式設計經驗,使用LabVIEW,您都可以友善快捷地開發測量程式。
RAVtask.exe
程序名稱: RavTasK.exe(瑞星任務計劃程式)
完整路徑: C:/Program Files/Rising/Rav/RavTask.exe
安全級别: 應用程式-安全
“RavTask.exe遇到問題需要關閉.”這種錯誤的常見原因:
一、應用程式沒有檢查記憶體配置設定失敗
程式需要一塊記憶體用以儲存資料時,就需要調用作業系統提供的“功能函數”來申請,如果記憶體配置設定成功,函數就會将所新開辟的記憶體區位址傳回給應用程式,應用程式就可以通過這個位址使用這塊記憶體。這就是“動态記憶體配置設定”,記憶體位址也就是程式設計中的“指針”。
記憶體不是永遠都招之即來、用之不盡的,有時候記憶體配置設定也會失敗。當配置設定失敗時系統函數會傳回一個0值,這時傳回值“0”已不表示新啟用的指針,而是系統向應用程式發出的一個通知,告知出現了錯誤。作為應用程式,在每一次申請記憶體後都應該檢查傳回值是否為0,如果是,則意味着出現了故障,應該采取一些措施挽救,這就增強了程式的“健壯性”。
若應用程式沒有檢查這個錯誤,它就會按照“思維慣性”認為這個值是給它配置設定的可用指針,繼續在之後的運作中使用這塊記憶體。真正的0位址記憶體區儲存的是計算機系統中最重要的“中斷描述符表”,絕對不允許應用程式使用。在沒有保護機制的作業系統下(如DOS),寫資料到這個位址會導緻立即當機,而在健壯的作業系統中,如Windows等,這個操作會馬上被系統的保護機制捕獲,其結果就是由作業系統強行關閉出錯的應用程式,以防止其錯誤擴大。這時候,就會出現上述的“寫記憶體”錯誤,并指出被引用的記憶體位址為“0x00000000”。
記憶體配置設定失敗故障的原因很多,記憶體不夠、系統函數的版本不比對等都可能有影響。是以,這種配置設定失敗多見于作業系統使用很長時間後,安裝了多種應用程式(包括無意中“安裝”的病毒程式),更改了大量的系統參數和系統檔案之後。
二、應用程式由于自身BUG引用了不正常的記憶體指針
在使用動态配置設定的應用程式中,有時會有這樣的情況出現:程式試圖讀寫一塊“應該可用”的記憶體,但不知為什麼,這個預料中可用的指針已經失效了。有可能是“忘記了”向作業系統要求配置設定,也可能是程式自己在某個時候已經登出了這塊記憶體而“沒有留意”等等。登出了的記憶體被系統回收,其通路權已經不屬于該應用程式,是以讀寫操作也同樣會觸發系統的保護機制,企圖“違法”的程式唯一的下場就是被操作終止運作,回收全部資源。計算機世界的法律還是要比人類有效和嚴厲得多啊! 像這樣的情況都屬于程式自身的BUG,你往往可在特定的操作順序下重制錯誤。無效指針不一定總是0,是以錯誤提示中的記憶體位址也不一定為“0x00000000”,而是其他随機數字。
如果系統經常有所提到的錯誤提示,下面的建議可能會有幫助:
1.檢視系統中是否有木馬或病毒。這類程式為了控制系統往往不負責任地修改系統,進而導緻作業系統異常。平常應加強資訊安全意識,對來源不明的可執行程式絕不好奇。
2.更新作業系統,讓作業系統的安裝程式重新拷貝正确版本的系統檔案、修正系統參數。有時候作業系統本身也會有BUG,要注意安裝官方發行的更新程式。
3.試用新版本的應用程式。
感覺是病毒的可能性非常大,建議重新安裝防毒軟體試一下。
簡單的解決辦法是“開始”——“運作”-輸入“MSCONFIG”——“啟動”,把有RAVTASK。EXE這一項前面的對勾點掉,然後重新啟動
出現這種情況無非是以下幾種原因造成的。
1,硬體沖突引起,進行硬體排查,更換硬體。
2,軟體沖突引起,是否新安裝軟體引起,解除安裝新安裝的軟體。
3,病毒引起,更新防毒軟體至最新版,安全模式下殺毒。
taskmgr.exe
程序名稱: The Windows Task Manager.
描述:taskmgr.exe用于Windows任務管理器。它顯示你系統中正在運作的程序。該程式使用Ctrl+Alt+Del打開,這不是純粹的系統程式,但是如果終止它,可能會導緻不可知的問題。
最近電腦突然卡,發現程序了多了很多許多個taskmgr.exe
感覺不對,馬上用專業的線上殺毒http://www.antidu.cn/board/online/ 清除
瑞星報毒!!
樣本提供者還提供了一個Gameeeeeee.vbs。監控了一下其運作:Gameeeeeee.vbs運作後,到 C:/Documents and Settings/Administrator/Local Settings/Temp目錄下找Gameeeeeee.pif。找到後,即刻加載運作之。看來,這可能是個來自網絡的腳本病毒。
我事先用工具禁止了任何程式針對%system%/drivers目錄的建立/寫入操作,然後在影子環境下運作此病毒樣本,重新開機後,系統一切正常(system32目錄下以及dllcache目錄下的debug.exe、taskmgr.exe等還是系統程式,病毒未能改寫之)。
這裡的關鍵是:病毒在%system%/drivers目錄下釋放ntkapi.sys的動作被俺成功阻截了。
至于病毒可能釋放驅動的其它位置,如:系統根目錄、%Program Files%Internet Explorer/PLUGINS目錄、目前使用者temp目錄、%windows%/temp目錄.....,使用者也應采取恰當防護措施,禁止外來程式在上述目錄下建立.sys檔案。
spoolsv.exe
程序名稱: Microsoft Printer Spooler Service
描述:
spoolsv.exe 是Print Spooler的程序,管理所有本地和網絡列印隊列及控制所有列印工作。如果此服務被停用,本地計算機上的列印将不可用。該程序屬 Windows 系統服務。
spoolsv.exe用于将Windows列印機任務發送給本地列印機。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木馬。該木馬允許攻擊者通路你的計算機,竊取密碼和個人資料。該程序的安全級别是建議立即删除。
RavStub.exe
描述:
RavStub.exe是瑞星防毒軟體相關程式。
CCC.exe
程序名稱: Catalyst Control Centre: Host application
描述:
ccc.exe 是ATI 公司出品的ATI顯示卡控制中心的一個程式。這個程式不是必須的程式。如果它給你的計算機系統造成不穩定,可以删除它。
ctfmon.exe
程序名稱: Alternative User Input Services
描述:
ctfmon.exe是Microsoft Office産品套裝的一部分。它可以選擇使用者文字輸入程式,和微軟Office XP語言條。這不是純粹的系統程式,但是如果終止它,可能會導緻不可知的問題。
程式ctfmon.exe是有關輸入法的一個可執行程式,系統預設情況下是随電腦開機而自動啟動的。如果你設定了ctfmon.exe不随機自動啟動,進入系統後你的電腦工作列中的輸入法圖示(即語言欄)就不見了。
要設定ctfmon.exe随機自動啟動,可以單擊“開始”——>“運作”——>輸入“msconfig”(引号不要輸入),回車——>打開“系統配置使用程式”視窗——>選擇“啟動”頁,找到ctfmon項并在其前面打上鈎,按“應用”、“确定”,重新開機機器即可生效。
如果在“啟動”頁,找不到ctfmon項,說明系統資料庫中已将該項删除,可以單擊“開始”——>“運作”——>輸入“regedit”(引号不要輸入),回車——>打開“系統資料庫編輯器”,定位到HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run,在視窗的右側建立名字為ctfmon.exe的字元串值(REG_SZ),并将其值設定為“C:/WINDOWS/system32/ctfmon.exe”,然後關閉系統資料庫編輯器,再執行前一步的操作即可.
ppsap.exe
描述:
ppstream每次啟動都會另開一個程序“網絡加速器”(ppsap.exe) ,
(1) 每次開機都會自動運作,
(2) 退出ppstream之後會繼續存在,
(3) 可手動在任務管理器裡結束,
(4) 自動通路網絡。也就是說,即使你退出ppstream了,你的電腦還在為其他觀看者提供網絡流量。占用一定帶寬 。
出品者:PPS網絡電視
停止ppsap.exe程序的具體操作:
打開ppstream,然後:“工具”-> “選項”->“點播服務 ”-> 勾掉“允許pps加速器”. 不過這樣一來觀看畫面可能不如以前流暢。也可以直接在任務管理器中結束ppsap.exe程序 ,播放ppstream時會自動加載ppsap.exe ,不影響正常使用 。
禁止ppsap.exe在開機時自動運作方法:一般防毒軟體(比如卡巴斯基)都帶有系統資料庫保護功能,隻需在防毒軟體内禁止ppsstream寫入資訊到系統資料庫即可。以卡巴斯基為例,先确定開啟系統資料庫保護功能(預設為開啟),ppstream 在安裝或點播時都會自動向系統系統資料庫啟動項裡寫入ppsap.exe。此時卡巴斯基會跳出警告視窗,詢問阻止或允許,在選擇阻止之前,勾選建立規則。這樣ppstream每次向系統資料庫啟動項添加ppsap.exe 時就會被卡巴斯基禁止。 也可以直接在開始——運作菜單輸入msconfig,在啟動項中把ppsap前面的鈎去掉 。
gammatray.exe
程序名稱: MagicTune 2.5
描述:
gammatray.exe是三星顯示器MagicTune調節軟體相關程式。
出品者: 三星
lkads.exe
nidmsrv.exe,nisvcloc.exe ,lkcitdl.exe,lktsrv.exe,lkads.exe是National Instruments安裝後,在系統啟動後多出的5個程序,涉及到四項服務,應改為手動并關閉。
三項以National Instruments開頭的:
National Instruments Domain Service ---------> nidmsrv.exe
National Instruments PSP Server Locator
National Instruments Time Synchronization
一項為
NI Service Locator ---------------------------> nisvcloc.exe
可以在服務裡改,也可以在dos視窗下輸入:
lkcitdl -remove
lktsrv -remove
lkads -remove
在需要時輸入:
lkcitdl -install -manual
lktsrv -install -manual
lkads -install -manual
MagicTuneEngine.exe
描述:顯示器調節工具,與MagicTune.exe一起開動,但不一起關閉,若強行關閉,則在重新開機電腦前不能再次打開MagicTune.exe
nidmsrv.exe
程序分析:
LabVIEW相關程式。LabVIEW是NationalInstruments,Inc.出品的一種圖形化的程式設計語言,用于快速建立靈活的、可更新的測試、測量和控制應用程式。使用LabVIEW,工程師和科學家們可以采集到實際信号,并對其進行分析得出有用資訊,然後将測量結果和應用程式進行分享。無論您是否有程式設計經驗,使用LabVIEW,您都可以友善快捷地開發測量程式。
nisvcloc.exe
LabVIEW相關程式。LabVIEW是NationalInstruments,Inc.出品的一種圖形化的程式設計語言,用于快速建立靈活的、可更新的測試、測量和控制應用程式。使用LabVIEW,工程師和科學家們可以采集到實際信号,并對其進行分析得出有用資訊,然後将測量結果和應用程式進行分享。無論您是否有程式設計經驗,使用LabVIEW,您都可以友善快捷地開發測量程式。
出品者: National Instruments
NOTEPAD.exe
notepad - notepad.exe - 程序資訊
程序檔案: notepad 或者 notepad.exe
程序名稱: Notepad.exe
描述: notepad.exe是Windows自帶的記事本程式。
正常位置:C:/WINDOWS/Notepad.exe 或 C:/WINDOWS/system32/Notepad.exe 或C:/WINDOWS/system32/dllcache/Notepad.exe
RsAgent.exe
程序名稱: Rising Agent
描述:
RsAgent.exe是瑞星防毒軟體精靈程式,RsAgent.exe也可能是紅蜘蛛多媒體網絡教室軟體相關程式。
出品者: Rising
PDSched.exe
程序檔案: pdsched or pdsched.exe
程序名稱: PerfectDisk Scheduler
描述:
pdsched.exe是raxco perfectdisk磁盤碎片整理計劃任務程式。注意:pdsched.exe也可能是sdbot.cn蠕蟲病毒。
出品者:Raxco
agentsvr.exe
程序名稱: Microsoft Agent Server
描述:
agentsvr.exe是一個ActiveX插件,用于多媒體程式。這不是純粹的系統程式,但是如果終止它,可能會導緻不可知的問題。
所在位置:C:/WINDOWS/msagent/
Office運作時,出現該程序則為Office助手程序
若強行終止該程序,則Office助手将自動關閉
本程序一般為正常程序,無須擔心
瑞星防毒軟體的助手程序也是agentsvr.exe
隻要把助手退出程序就會結束
簡單說就是啟動瑞星防毒軟體的時候,獅子卡卡就蹦出來了,退出瑞星防毒軟體之後,獅子卡卡不會随着消失,而這個程序就是獅子卡卡的程序,完全可以将其結束掉!
alg.exe
程序名稱: Application Layer Gateway Service
路徑:C:/WINDOWS/system32/alg.exe
指令行:C:/WINDOWS/System32/alg.exe
檔案描述:Application Layer Gateway Service
描述:
alg.exe是微軟Windows作業系統自帶的程式。它用于處理微軟Windows網絡連接配接共享和網絡連接配接防火牆。這個程式對你系統的正常運作是非常重要的。
![win10 在目前檔案夾快速打開cmd指令行[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)