csrss.exe(鼠标为什么会乱动)
资讯
2024-02-02
184
1. csrss.exe,鼠标为什么会乱动?
鼠标会自己乱动就像被人操控了一样,我同学说可能是鼠标连线了到底是怎没回事啊!现象:鼠标有时胡乱乱动,不听指挥。我怀疑是有病毒或木马之类,所以用金山毒霸、iparmor5.33、thecleaner查杀过,均未发现过问题。但我在“系统信息→正在运行的任务”下发现几个没有路径、版本和任何信息的任务。不知道和这有没有关,请问这三个任务是什么东西,能否删除,怎样删除? 这是一种NIMDA病毒。解决方案如下: (1)检查临时文件夹是否存在MEPXXXX.tmp和MEPXXXX.tmp.exe文件,XXXX是由字幕和数字随机组成的字符串。 (2)检查C:\,D:\,E:\是否存在httpodbc.dll文件。 (3)是否带宽被严重占用。 (4)在Windows9x/ME系统中,\Windows\system目录下是否存在LOAD.exe文件。 (5)在WindowsNT/2K系统中,\Windows\System目录下是否存在CSRSS.exe隐藏文件。 查杀步骤:停掉系统所有正在运行的程序。如果你的系统是WindowsMe,你必须停掉WindowsMe的系统恢复功能,因为病毒有可能被自动保存在备份目录里。双击运行FxNimdaE.com,运行此程序需要你以系统管理员帐号登录,在操作前停掉IIS服务或者拔离网线,以免在清除过程中再次感染。然后点击Start键运行程序直到报告说系统已经清除掉病毒
2. Windows7的进程类型有几种?
audiodg.exe windows音频设备管理器 可以结束但是一旦打开音频文件还是会重新加载
csrss.exe-是微软客户端、服务端运行时子系统,管理Windows图形相关任务 可以被强制结束但是会蓝屏 数量为2个
dwm.exe-桌面窗口管理器 可以被结束(需2次) 结束无法显示Aero效果 无法重新新建任务还原
explorer.exe-windows任务管理器 可以被结束但是任务栏和桌面图标会消失掉 可以重新新建
lsass.exe-lsass.exe是一个系统进程,用于本地安全授权.关闭该进程会系统关闭防火墙同时系统会1分钟后重启
lsm.exe-本地会话管理器服务 关闭该进程系统会1分钟后重启(所谓本地会话个人理解应该是本地用户或者程序提出一系列请求,系统调用相应服务与之响应)
services.exe - 服务和控制器应用 用于管理启动和停止服务 关闭该进程系统会1分钟后重启
spoolsv.exe-后台处理程序子系统应用程序 管理所有打印工作 可以关闭
svchost.exe- windows服务主进程 有很多个(大约9-13个具体看加载的服务)window很多服务都要用到该进程 local的可以关闭 ,其他关闭自动恢复
system-windows页面内存管理进程 无法关闭
system Idle Process-系统虚拟进程 显示cpu空闲占有率 无法关闭
taskhost.exe-win7计划任务程序 可以被结束 但是定时任务就会失效
taskmgr.exe-按ctrl+shift+esc调出的任务管理器
wininit.exe-windows启动初始化进程 会启动services.exe lsass.exe lsm.exe。关闭会蓝屏
winlogon.exe-windows用户登录管理器 结束该进程导致只有桌面背景和鼠标指针,无法进行任何其他操作
WMIADAP.exe- 用于通过WinMgmt.exe程序处理WMI操作 开机一段时间会消失
WmiPrvSE.exe-微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作,数量为2个,开机一段时间会消失
WUDFHost.exe- windows驱动程序基础,查了网上资料应该是当连接新设备时,该进程会自动调用驱动,无法被结束。
3. 任务管理器的进程那些可以关闭?
wmiprvse.exe,禁止关闭。微软WINDOWS操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。这个程序对你系统的正常运行是非常重要的。
taskmgr.exe,可以关闭。这个是任务管理器进程
①iexplorer.exe,可以关闭。这是IE(浏览器)进程
TXplatform.exe,可以关闭。这个进程是qq宠物的进程,最可恶,即使不登陆qq宠物也会加载,所以我一上qq就立马结束这个进程
alg.exe,可以关。这是跟系统自带防火墙有关的,如果你安装了其它防火墙就直接关了
spoolsv.exe,禁止关闭。线程共享用的,想关闭系统也不会让你关的
ctfmon.exe,不推荐关闭。此为右下角语言栏图标,关闭了则无法显示语言栏,而且打字只能打英文了
kavstart.exe,不推介关闭。金山杀毒主进程,最好别关
KXESERV.EXE,不推荐关闭。这是金山密保的进程
KWatch.exe,不推荐关闭。这是金山防火墙进程
explorer.exe,不推荐关闭。资源管理器,关了就看不到桌面了
②svchost.exe,禁止关闭。(必须是在C:\windows\system32\svchost.exe,其它目录下的可能就是病毒了)。动态链接库进程,相当于线程共享进程的动态链接库
pastisvc.exe,可以关闭。这个应该是摄像头相关程序的文件,如果没有或者不用摄像头就可以关闭
KPfwSvc.exe,不推荐关闭。这是金山毒霸个人防火墙相关程序
nvsvc32.exe,可以关闭。这是提供NVIDIA显卡的系统和桌面相关支持服务,没多大用处,不用显卡配置的话直接关闭
KSWebShield.exe,不推荐关闭。这是金山网盾进程
kissvc.exe,不推荐关闭。金山毒霸系统服务管理程序
svchost.exe,同②
QQ.exe,可以关闭。QQ进程,关闭就是退出qq,想运行的话就不用关闭了
svchost.exe,同②
iexplorer.exe,同①
svchost.exe,同②
lsass.exe禁止关闭。是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略
services.exe,禁止关闭。这是管理系统服务的进程
winlogon.exe,禁止关闭。管理用户登录和退出,关闭了则系统自动关闭
csrss.exe,不可以关闭。这是管理Windows图形相关任务进程
system,不可以关闭。这个进程不用解释了吧
SystemIDProcess,禁止关闭。这是操作系统最底层进程,拥有0级(最高级)优先权,禁止任何进程关闭此进程
说明:进程不区分大小写,所以大写小写均一样,OVER!
关闭用语解释:
禁止关闭:系统运行必须的进程(即使你想关闭,系统也会禁止你关闭)
不推荐关闭:此类进程可以关闭,但关闭了以后可能会导致系统运行不稳定,比如杀毒软件进程
可以关闭:此类进程是系统运行非必须的,不过用不到(不如QQ)就可以直接关闭
另外附上一篇简单病毒判断的文章(需要用到"Wopti进程管理"这个软件查看进程路径):
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法
1.以假乱真
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
2.偷梁换柱
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录),如果病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
3.借尸还魂
除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。
上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe-kLocalService”,而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe-knetsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了。
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。
iexplore.exe
常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是MicrosoftInternetExplorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。
iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。
rundll32.exe
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exeuser32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\Windows\system32”,在别的目录则可以判定是病毒。
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“PrintSpooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:
1.仔细检查进程的文件名;
2.检查其路径。
通过这两点,一般的病毒进程肯定会露出马脚。
找个管理进程的好帮手
系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具,例如Procexp。Procexp可以区分系统进程和一般进程,并且以不同的颜色进行区分,让假冒系统进程的病毒进程无处可藏。
运行Procexp后,进程会被分为两大块,“SystemIdleProcess”下属的进程属于系统进程,
explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“SystemIdleProcess”,如果你在“explorer.exe”中发现了svchost.exe,那么不用说,肯定是病毒冒充的.
“wopti进程管理”可以通过安装“windows优化大师”获取:
以上方法都是被动关闭,有些进程、程序、服务或线程会开机启动,可以配合360安全卫士关闭,具体操作:安装并打开360安全卫士-软件管家-开机加速,左上角“请选择启动项分类”:所有分类,按照上面提示禁止进程、程序、服务或线程等开机加载
最后:楼主的所有进程都是本人亲自寻找,并且全部手工打字。希望对你有帮助
4. 为什么一点了Microsoft?
原因分析:
1、word文件太大,经常在保存的时候卡机,属正常情况,
2、病毒作怪,许多病毒绑定到office软件上,比如伪装系统csrss.exe的病毒等。
解决方法:
1、使用360急救箱杀毒。
2、重装word。
5. exe蠕虫病毒怎么杀?
杀毒方法:
第一步,结束病毒进程csrss.exe,注意是Windowscsrss.exe而不是WindowsSystem32csrss.exe。
第二步,找到以下文件并删除。(这些文件并非都有,可能只有几个,但只要有,就删!)
Code:
>> Systemdxdiag.com
>> Systemfinder.com
>> Systemmsconfig.com
>> C:autorun.inf
>> ProgramfilesInternet Exploreriexplore.com
>> ProgramfilesCommon Filesiexplore.pif
>> Windows.com
>> Windowscsrss.exe
>> WindowsExERoute.exe
>> Windowsexplorer1.com
>> Windowsfinder.com
>> WindowsDebugDebugProgram.exe
>> systemcommand.pif
>> Systemregedit.com
>> Systemrundll32.com
同时查看“开始”---“程序”中是否有以下连接安全测试.lnk、计算机安全中心.lnk、系统信息管理器.ink,有的话就删除!
第三步,打开注册表编辑器:
(1)分别查找“finder.com”、“rundll32.com”、“command.pif”的信息,把找到值中的“finder.com”、“rundll32.com”、“command.pif”改为“rundll32.exe”;
(2)查找“iexplore.com”的信息,把找到值中的“iexplore.com”改为“iexplore.exe”;查找“iexplore.pif”的信息,把找到值中类似“%ProgramFiles%Common Filesiexplore.pif”的信息改为类似“%ProgramFiles%Internet Exploreriexplore.exe”;
(3)查找“explorer1.com”的信息,把找到值中的“explorer1.com”改为“explorer.exe”;
第四步,删除病毒启动项:
Code:
[HKEL_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"Torjan Program"="%Windows%CSRSS.exe"
[HKEL_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"Torjan Program"="%Windows%CSRSS.exe"
在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
删除[HKEY_CLASSES_ROOTApplicationsiexplore.com]项和[HKEY_CLASSES_ROOTwinfiles]项
第五步,重启计算机,完成。
虽然说上面的操作有点复杂繁琐,但是这是最有效的查杀csrss.exe病毒的方法,当然经过手动杀毒后,还可以用杀毒软件彻底查杀一遍,以防万一,建议杀毒软件更新到最新版本。
6. 任务管理器里面有程序结束不了怎么办?
1、单击开始菜单,在搜索框内输入“CMD”。
2、按回车,打开命令提示符窗口。
3、在命令提示符窗口中输入:tasklist。
4、按回车键,就会显示出当前运行的程序。
5、输入“Taskkill/im进程名.后缀名/f”。
6、按回车键,就会提示“成功:已中止进程”。
7、这样就可以结束任务管理器无法结束的进程。8、不要关闭System、SMSS.EXE和CSRSS.EXE进程
7. 任务管理器自动启动的程序?
system:这是一个进程树,隶属于System Idle Process
Csrss.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境
System Idle Process:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。
Smss.exe:这是一个会话管理子系统,负责启动用户会话。
WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程
lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略
本站涵盖的内容、图片、视频等数据系网络收集,部分未能与原作者取得联系。若涉及版权问题,请联系我们删除!联系邮箱:ynstorm@foxmail.com 谢谢支持!
1. csrss.exe,鼠标为什么会乱动?
鼠标会自己乱动就像被人操控了一样,我同学说可能是鼠标连线了到底是怎没回事啊!现象:鼠标有时胡乱乱动,不听指挥。我怀疑是有病毒或木马之类,所以用金山毒霸、iparmor5.33、thecleaner查杀过,均未发现过问题。但我在“系统信息→正在运行的任务”下发现几个没有路径、版本和任何信息的任务。不知道和这有没有关,请问这三个任务是什么东西,能否删除,怎样删除? 这是一种NIMDA病毒。解决方案如下: (1)检查临时文件夹是否存在MEPXXXX.tmp和MEPXXXX.tmp.exe文件,XXXX是由字幕和数字随机组成的字符串。 (2)检查C:\,D:\,E:\是否存在httpodbc.dll文件。 (3)是否带宽被严重占用。 (4)在Windows9x/ME系统中,\Windows\system目录下是否存在LOAD.exe文件。 (5)在WindowsNT/2K系统中,\Windows\System目录下是否存在CSRSS.exe隐藏文件。 查杀步骤:停掉系统所有正在运行的程序。如果你的系统是WindowsMe,你必须停掉WindowsMe的系统恢复功能,因为病毒有可能被自动保存在备份目录里。双击运行FxNimdaE.com,运行此程序需要你以系统管理员帐号登录,在操作前停掉IIS服务或者拔离网线,以免在清除过程中再次感染。然后点击Start键运行程序直到报告说系统已经清除掉病毒
2. Windows7的进程类型有几种?
audiodg.exe windows音频设备管理器 可以结束但是一旦打开音频文件还是会重新加载
csrss.exe-是微软客户端、服务端运行时子系统,管理Windows图形相关任务 可以被强制结束但是会蓝屏 数量为2个
dwm.exe-桌面窗口管理器 可以被结束(需2次) 结束无法显示Aero效果 无法重新新建任务还原
explorer.exe-windows任务管理器 可以被结束但是任务栏和桌面图标会消失掉 可以重新新建
lsass.exe-lsass.exe是一个系统进程,用于本地安全授权.关闭该进程会系统关闭防火墙同时系统会1分钟后重启
lsm.exe-本地会话管理器服务 关闭该进程系统会1分钟后重启(所谓本地会话个人理解应该是本地用户或者程序提出一系列请求,系统调用相应服务与之响应)
services.exe - 服务和控制器应用 用于管理启动和停止服务 关闭该进程系统会1分钟后重启
spoolsv.exe-后台处理程序子系统应用程序 管理所有打印工作 可以关闭
svchost.exe- windows服务主进程 有很多个(大约9-13个具体看加载的服务)window很多服务都要用到该进程 local的可以关闭 ,其他关闭自动恢复
system-windows页面内存管理进程 无法关闭
system Idle Process-系统虚拟进程 显示cpu空闲占有率 无法关闭
taskhost.exe-win7计划任务程序 可以被结束 但是定时任务就会失效
taskmgr.exe-按ctrl+shift+esc调出的任务管理器
wininit.exe-windows启动初始化进程 会启动services.exe lsass.exe lsm.exe。关闭会蓝屏
winlogon.exe-windows用户登录管理器 结束该进程导致只有桌面背景和鼠标指针,无法进行任何其他操作
WMIADAP.exe- 用于通过WinMgmt.exe程序处理WMI操作 开机一段时间会消失
WmiPrvSE.exe-微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作,数量为2个,开机一段时间会消失
WUDFHost.exe- windows驱动程序基础,查了网上资料应该是当连接新设备时,该进程会自动调用驱动,无法被结束。
3. 任务管理器的进程那些可以关闭?
wmiprvse.exe,禁止关闭。微软WINDOWS操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。这个程序对你系统的正常运行是非常重要的。
taskmgr.exe,可以关闭。这个是任务管理器进程
①iexplorer.exe,可以关闭。这是IE(浏览器)进程
TXplatform.exe,可以关闭。这个进程是qq宠物的进程,最可恶,即使不登陆qq宠物也会加载,所以我一上qq就立马结束这个进程
alg.exe,可以关。这是跟系统自带防火墙有关的,如果你安装了其它防火墙就直接关了
spoolsv.exe,禁止关闭。线程共享用的,想关闭系统也不会让你关的
ctfmon.exe,不推荐关闭。此为右下角语言栏图标,关闭了则无法显示语言栏,而且打字只能打英文了
kavstart.exe,不推介关闭。金山杀毒主进程,最好别关
KXESERV.EXE,不推荐关闭。这是金山密保的进程
KWatch.exe,不推荐关闭。这是金山防火墙进程
explorer.exe,不推荐关闭。资源管理器,关了就看不到桌面了
②svchost.exe,禁止关闭。(必须是在C:\windows\system32\svchost.exe,其它目录下的可能就是病毒了)。动态链接库进程,相当于线程共享进程的动态链接库
pastisvc.exe,可以关闭。这个应该是摄像头相关程序的文件,如果没有或者不用摄像头就可以关闭
KPfwSvc.exe,不推荐关闭。这是金山毒霸个人防火墙相关程序
nvsvc32.exe,可以关闭。这是提供NVIDIA显卡的系统和桌面相关支持服务,没多大用处,不用显卡配置的话直接关闭
KSWebShield.exe,不推荐关闭。这是金山网盾进程
kissvc.exe,不推荐关闭。金山毒霸系统服务管理程序
svchost.exe,同②
QQ.exe,可以关闭。QQ进程,关闭就是退出qq,想运行的话就不用关闭了
svchost.exe,同②
iexplorer.exe,同①
svchost.exe,同②
lsass.exe禁止关闭。是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略
services.exe,禁止关闭。这是管理系统服务的进程
winlogon.exe,禁止关闭。管理用户登录和退出,关闭了则系统自动关闭
csrss.exe,不可以关闭。这是管理Windows图形相关任务进程
system,不可以关闭。这个进程不用解释了吧
SystemIDProcess,禁止关闭。这是操作系统最底层进程,拥有0级(最高级)优先权,禁止任何进程关闭此进程
说明:进程不区分大小写,所以大写小写均一样,OVER!
关闭用语解释:
禁止关闭:系统运行必须的进程(即使你想关闭,系统也会禁止你关闭)
不推荐关闭:此类进程可以关闭,但关闭了以后可能会导致系统运行不稳定,比如杀毒软件进程
可以关闭:此类进程是系统运行非必须的,不过用不到(不如QQ)就可以直接关闭
另外附上一篇简单病毒判断的文章(需要用到"Wopti进程管理"这个软件查看进程路径):
任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法。但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文。
当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法
1.以假乱真
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。
2.偷梁换柱
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\system32目录),如果病毒将自身复制到“C:\WINDOWS\”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?
3.借尸还魂
除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。
上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe-kLocalService”,而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe-knetsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了。
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:\Windows”目录,除此之外则为病毒。
iexplore.exe
常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是MicrosoftInternetExplorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。
iexplore.exe进程对应的可执行程序位于C:\ProgramFiles\InternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。
rundll32.exe
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exeuser32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:\Windows\system32”,在别的目录则可以判定是病毒。
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“PrintSpooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
限于篇幅,关于常见进程的介绍就到这里,我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:
1.仔细检查进程的文件名;
2.检查其路径。
通过这两点,一般的病毒进程肯定会露出马脚。
找个管理进程的好帮手
系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具,例如Procexp。Procexp可以区分系统进程和一般进程,并且以不同的颜色进行区分,让假冒系统进程的病毒进程无处可藏。
运行Procexp后,进程会被分为两大块,“SystemIdleProcess”下属的进程属于系统进程,
explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“SystemIdleProcess”,如果你在“explorer.exe”中发现了svchost.exe,那么不用说,肯定是病毒冒充的.
“wopti进程管理”可以通过安装“windows优化大师”获取:
以上方法都是被动关闭,有些进程、程序、服务或线程会开机启动,可以配合360安全卫士关闭,具体操作:安装并打开360安全卫士-软件管家-开机加速,左上角“请选择启动项分类”:所有分类,按照上面提示禁止进程、程序、服务或线程等开机加载
最后:楼主的所有进程都是本人亲自寻找,并且全部手工打字。希望对你有帮助
4. 为什么一点了Microsoft?
原因分析:
1、word文件太大,经常在保存的时候卡机,属正常情况,
2、病毒作怪,许多病毒绑定到office软件上,比如伪装系统csrss.exe的病毒等。
解决方法:
1、使用360急救箱杀毒。
2、重装word。
5. exe蠕虫病毒怎么杀?
杀毒方法:
第一步,结束病毒进程csrss.exe,注意是Windowscsrss.exe而不是WindowsSystem32csrss.exe。
第二步,找到以下文件并删除。(这些文件并非都有,可能只有几个,但只要有,就删!)
Code:
>> Systemdxdiag.com
>> Systemfinder.com
>> Systemmsconfig.com
>> C:autorun.inf
>> ProgramfilesInternet Exploreriexplore.com
>> ProgramfilesCommon Filesiexplore.pif
>> Windows.com
>> Windowscsrss.exe
>> WindowsExERoute.exe
>> Windowsexplorer1.com
>> Windowsfinder.com
>> WindowsDebugDebugProgram.exe
>> systemcommand.pif
>> Systemregedit.com
>> Systemrundll32.com
同时查看“开始”---“程序”中是否有以下连接安全测试.lnk、计算机安全中心.lnk、系统信息管理器.ink,有的话就删除!
第三步,打开注册表编辑器:
(1)分别查找“finder.com”、“rundll32.com”、“command.pif”的信息,把找到值中的“finder.com”、“rundll32.com”、“command.pif”改为“rundll32.exe”;
(2)查找“iexplore.com”的信息,把找到值中的“iexplore.com”改为“iexplore.exe”;查找“iexplore.pif”的信息,把找到值中类似“%ProgramFiles%Common Filesiexplore.pif”的信息改为类似“%ProgramFiles%Internet Exploreriexplore.exe”;
(3)查找“explorer1.com”的信息,把找到值中的“explorer1.com”改为“explorer.exe”;
第四步,删除病毒启动项:
Code:
[HKEL_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
"Torjan Program"="%Windows%CSRSS.exe"
[HKEL_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices]
"Torjan Program"="%Windows%CSRSS.exe"
在[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
删除[HKEY_CLASSES_ROOTApplicationsiexplore.com]项和[HKEY_CLASSES_ROOTwinfiles]项
第五步,重启计算机,完成。
虽然说上面的操作有点复杂繁琐,但是这是最有效的查杀csrss.exe病毒的方法,当然经过手动杀毒后,还可以用杀毒软件彻底查杀一遍,以防万一,建议杀毒软件更新到最新版本。
6. 任务管理器里面有程序结束不了怎么办?
1、单击开始菜单,在搜索框内输入“CMD”。
2、按回车,打开命令提示符窗口。
3、在命令提示符窗口中输入:tasklist。
4、按回车键,就会显示出当前运行的程序。
5、输入“Taskkill/im进程名.后缀名/f”。
6、按回车键,就会提示“成功:已中止进程”。
7、这样就可以结束任务管理器无法结束的进程。8、不要关闭System、SMSS.EXE和CSRSS.EXE进程
7. 任务管理器自动启动的程序?
system:这是一个进程树,隶属于System Idle Process
Csrss.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境
System Idle Process:这个进程是作为单线程运行在每个处理器上,并在系统不处理其它线程的时候分派处理器的时间。
Smss.exe:这是一个会话管理子系统,负责启动用户会话。
WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程
lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略
本站涵盖的内容、图片、视频等数据系网络收集,部分未能与原作者取得联系。若涉及版权问题,请联系我们删除!联系邮箱:ynstorm@foxmail.com 谢谢支持!