svchost.exe是壹個屬於微軟Windows操作系統的系統程序,微軟官方對它的解釋是:Svchost.exe 是從動態鏈接庫 (DLL) 中運行的服務的通用主機進程名稱。這個程序對系統的正常運行是非常重要,而且是不能被結束的。
進程屬性
進程文件: svchost or svchost.exe
進程名稱: Generic Service Host Process for Win32 Services
進程類別:系統進程
位置:C:\windows\system32\svchost.exe (如果妳的svchost.exe進程不是在這個目錄下的話,那麽就要當心了)
(註意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造緩沖區溢出,導致妳計算機關機。更多詳細信息參考:/technet/security/bulletin/ms04-011.mspx,該進程的安全等級是建議立即刪除。)
2.audiodg.exe
進程文件:audiodg.exe
所在路徑: (系統安裝目錄盤)C:\Windows\System32\audiodg.exe
中文名稱: Windows音頻設備管理程序
出品者:Microsoft Corp.
屬於:Windows音頻設備圖形隔離程序
現階段有關問題參考:壹名安全研究人員近日表示,微軟新壹代操作系統的Windows Vista進程保護功能存在嚴重安全隱患,而且已經有方式被惡意利用。 Vista進程保護(Protected Process)原本為媒體路徑、DRM文件設計,旨在防止未授權軟件或硬件捕獲高清晰度格式的內容,而用於進程保護的數字簽名僅有微軟以及合作媒體夥伴擁有。
不過,從這名安全人員發布的概念性小程序來看,audiodg.exe以及mfpmp.exe兩個Vista保護進程內信息已經能夠被顯示和調用,也就是說,只要惡意軟件制造者獲得相關數字簽名,也可以編寫出擁有進程保護能力的惡意代碼。
壹旦這種進程保護機制被惡意軟件作者所利用,普通殺毒軟件將束手無策。
補充說明:這個進程在WIN7下可以對耳機音質進行大幅度的提升,具體設置如下:將耳機插上,點擊音量圖標,打開後點擊上面的耳機圖標,選擇增強功能,內有三項設置:低音增強、耳機虛擬化、響度均衡,筆者建議大家把這三項全選,點擊確定,重新啟動音樂播放器,播放壹首歌曲,妳會發現壹首原本普通的音質的歌曲現在幾乎擁有了家庭影院級的音質!建議大家前後對比,筆者對比後音質增強效果非常明顯!但是使用此項後,這個進程占用CPU會比平時稍高,請註意。
3.csrss.exe
csrss.exe,系統進程,是微軟客戶端、服務端運行時子系統,管理Windows圖形相關任務,對系統的正常運行非常重要,但也有可能是W32.Netsky.AB@mm等病毒創建的。
註意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒創建的。該病毒通過Email郵件進行傳播,當妳打開附件時,即被感染。該蠕蟲會在受害者機器上建立SMTP服務,用以自身傳播。該病毒允許攻擊者訪問妳的計算機,竊取木馬和個人數據。這個進程的安全等級是建議立即進行刪除。
介紹:Client/Server Runtime Server Subsystem,客戶端服務子系統,用以控制 Windows 圖形相關子系統。正常情況下在Windows NT/2000/XP/2003系統中只有壹個csrss.exe進程,位於System32文件夾中,若以上系統中出現兩個csrss.exe 進程(其中壹個位於 Windows 文件夾中),或在Windows 9X/Me系統中出現該進程,則是感染了病毒。Windows Vista有兩個csrss.exe進程。
註意,正常的csrss.exe雙擊後會出現“不能在Win32模式下運行”的提示,終止進程後會藍屏。
根據csrss.exe的位置判斷csrss.exe的危險度
如果 csrss.exe 位於在 “C:\Program Files” 下的子目錄下,那麽威脅危險度是 70% 。文件大小是 1,111,688 字節 (占總出現比率 11% ),49,152 字節,311,808 字節,1,189,549 字節,141,606 字節,769,536 字節,1,201,827 字節,1,056,768 字節,1,175,073 字節。
如果 csrss.exe 位於在 C:\Windows\System32 下的子目錄下,那麽威脅危險度是 77% 。文件大小是 2,121,216 字節 (占總出現比率 22% ),28,160 字節,29,696 字節,20,480 字節,2,932,736 字節,470,528 字節,76,800 字節,43,072 字節。
如果 csrss.exe 位於在目錄 C:\Windows\System32\drivers下,那麽威脅危險度是 64% 。文件大小是 81,920 字節 (占總出現比率 40% ),335,872 字節,542,720 字節,6,144 字節。 如果 csrss.exe 位於在 “C:\Documents and Settings” 下的子目錄下,那麽威脅危險度是 57% 。文件大小是 58,033 字節 (占總出現比率 50% ),385,536 字節,24,576 字節。
純手工查殺木馬csrss.exe
註意:csrss.exe進程屬於系統進程,這裏提到的木馬csrss.exe是木馬偽裝成系統進程
前兩天突然發現在C:\Program Files\下多了壹個rundll32.exe文件。這個程序記得是關於登錄和開關機的,不應該在這裏,而且它的圖標是98下notepad.exe的老記事本圖標,在我的2003系統下面很紮眼。但是當時我沒有在意。因為平時沒有感到系統不穩定,也沒有發現內存和CPU大量占用,網絡流量也正常。
這兩天又發現任務管理器裏多了這個rundll32.exe和壹個csrss.exe的進程。它和系統進程不壹樣的地方是用戶為Administrator,就是我登錄的用戶名,而非system,另外它們的名字是小寫的,而由SYSTEM啟動的進程都是大寫的RUNDLL32.EXE和CSRSS.EXE,覺得不對勁。
然後按F3用資源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字節,生成時間為12月9日12:37。而真正的csrss.exe只有6k,生成時間是2003年3月27日12:00,位於C:\Windows\Syetem32下。
於是用超級無敵的UltraEdit打開它,發現裏面有kavscr.exe,mailmonitor壹類的字符,這些都是金山毒霸的進程名。在該字符前面幾行有SelfProtect的字符。自我保護和反病毒軟件有關的程序,不是病毒就是木馬了。
試圖用任務管理器結束csrss.exe進程失敗,稱是系統關鍵進程。先進註冊表刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相應值,註銷重登錄,該進程消失,可見它沒有象3721那樣加載為驅動程序。
然後要查找和它有關的文件。仍然用系統搜索功能,查找12月9日生成的所有文件,然後看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的圖標也是98下的記事本圖標,它和rundll32.exe的大小都是33792字節。
此後在12:38分生成了壹個tmp.dat文件,內容是 @echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:\WINDOWS\system32\netstart.exe
好像是用debug匯編了壹段什麽程序,這年頭常用debug的少見,估計不是什麽善茬,因為商業程序員都用Delphi、PB等大程序寫軟件。
匯編大約進行了1分鐘,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和壹個0字節的tmp.out文件。netstart.exe大小117786字節,另兩個大小也是52736字節。前兩個位於C:\Windows\System32下,後兩個在當前用戶的Temp文件夾裏。
這樣我就知道為什麽我的系統沒有感染的表現了。netstart.exe並沒有壹直在運行,因為我在任務管理器中沒有見過它。把這些文件都刪除,我的辦法是用winrar壓縮並選中完成後刪除源文件,然後在rar文件註釋中做說明,放壹個文件夾裏,留待以後研究。這個監獄裏都是我的戰利品,不過還很少。
現在木馬已經清除了。使用搜索引擎查找關於csrss.exe的內容,發現結果不少,有QQ病毒,傳奇盜號木馬,新浪遊戲病毒,但是文件大小和我中的這個都不壹樣。搜索netstart.exe只有壹個日文網站結果,也是壹個木馬。
這個病毒是怎麽進入我的電腦的呢?搜索時發現在12月9日12:36分生成了壹個快捷方式,名為dos71cd.zip,它是我那天從某網站下載的DOS7.11版啟動光盤,但是當時下載失敗了。現在看來根本就不是失敗,是因為這個網站的鏈接本來就是壹段網頁註入程序,點擊後直接把病毒下載來了。
4.explorer.exe
explorer.exe是Windows程序管理器或者Windows資源管理器,它用於管理Windows圖形殼,包括開始菜單、任務欄、桌面和文件管理,刪除該程序會導致Windows圖形界面無法適用。explorer.exe也有可能是w32.Codered等病毒。該病毒通過email郵件傳播,當打開病毒發送的附件時,即被感染,會在受害者機器上建立SMTP服務,允許攻擊者訪問妳的計算機、竊取密碼和個人數據。
所在路徑: (系統安裝目錄盤)C:\windows\explorer.exe C:\windows\system32\dllcache (windows的文件保護機制備份) 部分電腦的:(系統安裝目錄盤)C:\windows\ServicePackFiles\i386 路徑下,也存在這壹文件.(所以,當妳的桌面沒有啟動時,可以用這裏的explorer.exe啟動,最好備份壹份去C:\windows\ 下,因為系統默認是啟動這裏的explorer.exe.)
命令及應用
explorer.exe的命令參數及其應用我們常需要在CMD命令行下打開文件夾,除了start命令外,還可以使用explorer.exe來打開文件夾,而且有不少參數可以方便我們的操作,下面是我在微軟官方網站上面找到的關於EXPLORER的使用。
5.lsass.exe
lsass.exe是壹個系統進程,用於微軟Windows系統的安全機制。它用於本地安全和登陸策略。註意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm創建的,病毒通過軟盤、群發郵件和P2P文件***享進行傳播。
進程描述
本地安全權限服務控制Windows安全機制。管理IP安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序等,是壹個本地的安全授權服務,並且它會為使用winlogon服務的授權用戶生成壹個進程。這個進程是通過使用授權的包,例如默認的msgina.dll來執行的。如果授權是成功的,lsass就會產生用戶的進入令牌,令牌別使用啟動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。而windows活動目錄遠程堆棧溢出漏洞,正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩沖區邊界檢查,構建超過1000個"AND"的請求,並發送給服務器,導致觸發堆棧溢出,使Lsass.exe服務崩潰,系統在30秒內重新啟動。
病毒
簡介及發作
該(這些)病毒是壹個可以在WIN9X/NT/2000/XP等操作系統上運行的盜號木馬。病毒會強行終止多種殺毒軟件的進程,使其不能正常運行。它會頻繁檢查“傳奇”客戶端的窗口,如果窗口存在,就會取得當前鼠標的位置,並記錄鍵盤信息,最後把記錄下來的信息發送到指定郵箱,從而竊取用戶的遊戲賬號和密碼等。
診斷
如果妳的啟動菜單(開始-運行-輸入“msconfig”)裏有個lsass.exe啟動項,那就證明妳的lsass.exe是木馬病毒,中毒後,在進程裏可以見到有兩個相同的進程,分別是lsass.exe和LSASS.EXE,同時在windows下生成LSASS.EXE和exert.exe兩個可執行文件,且在後臺運行,LSASS.EXE管理exe類執行文件,exert.exe管理程序退出,還會在D盤根目錄下產生command.com和 autorun.inf兩個文件,同時侵入註冊表破壞系統文件關聯。
編輯本段病毒的清除
這個病毒比較狠毒,手工清除較為復雜。請用戶務必按照步驟嚴格操作,否則很可能出現無法清除幹凈的情況。建議壹般用戶最好使用殺毒軟件來清除這個病毒。
WIN98
打開IE屬性刪除cookies和所有脫機內容,啟動進程殺手終止lsass.exe和exert.exe兩個進程,然後到windows目錄下刪除這兩個文件,這兩個文件是隱藏的,再到 D:刪除command.com和autorun.inf兩個文件,最後重啟電腦到DOS 運行,用scanreg/restore 命令來恢復註冊表,(如果不會的或者是XP系統不能用的可以用瑞星註冊表修復程序之類的軟件修復壹下註冊表),重啟後進到WINDOWS桌面用殺毒軟件,全面殺毒,清除余下的病毒。
Windows XP
壹、準備工作
打開“我的電腦”——工具——文件夾選項——查看 a、把“隱藏受保護的操作系統文件(推薦)”和“隱藏已知文件類型的擴展名”前面的勾去掉; b、勾中“顯示所有文件和文件夾” 二、結束進程 用Ctrl+Alt+Del調出windows務管理器,想通過右擊當前用戶名的lsass.exe來結束進程是行不通的.會彈出該進程為系統進程無法結束的提醒框; 點到任務管理器進程面版,點擊菜單,“查看”-“選擇列”,在彈出的對話框中選擇“PID(進程標識符)”,並點擊“確定”。找到映象名稱為“LSASS.exe”,並且用戶名不是“SYSTEM”的壹項,記住其PID號.點擊“開始”——運行,輸入“CMD”,點擊“確定”打開命令行控制臺。 輸入“ntsd –c q -p (此紅色部分填寫妳在任務管理器裏看到的LSASS.EXE的PID列的數字,是當前用戶名進程的PID,別看錯了)”,比如我的計算機上就輸入“ntsd –c q -p 1064”.這樣進程就結束了。(如果結束了又會出現,那麽妳還是用下面的方法吧)
三、刪除病毒文件
刪除如下幾個文件: (與WIN2000的目錄有所不同)
C:\Program Files\Common Files\INTEXPLORE.pif (有的沒有.pif)
C:\Program Files\Internet Explorer\INTEXPLORE.com
C:\WINDOWS\EXERT.exe (或者exeroute.exe)
C:\WINDOWS\IO.SYS.BAK C:\WINDOWS\LSASS.exe
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
在D:盤上點擊鼠標右鍵,選擇“打開”。刪除掉該分區根目錄下的“Autorun.inf”和“command.com”文件.
四、刪除註冊表中的其他垃圾信息
將C:\WINDOWS目錄下的“regedit.exe”改名為“regedit.com”並運行,刪除以下項目:
1、HKEY_CLASSES_ROOT\WindowFiles
2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings
3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations項
4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif
5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP項
五、修復註冊表中被篡改的鍵值
1、將HKEY_CLASSES_ROOT\.exe的默認值修改為 “exefile”(原來是windowsfile)
2、將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默認值修改為 “C:\Program Files\Internet Explorer\iexplore.exe” %1 (原來是intexplore.com)
3、將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默認值修改為 “C:\Program Files\Internet Explorer\IEXPLORE.EXE”(原來是INTEXPLORE.com)
4、將HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 的默認值修改為“C:\Program Files\Internet Explorer\iexplore.exe” %1 (原來的值分別是INTEXPLORE.com和INTEXPLORE.pif)
5、將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和 HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認值修改為 “C:\Program Files\Internet Explorer\iexplore.exe” –nohome
6、將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默認值修改為“IEXPLORE.EXE”.(原來是INTEXPLORE.pif)
六、收尾工作
關掉註冊表編輯器
將C:\WINDOWS目錄下的regedit.com改回regedit.exe,如果提示有重名文件存在,不能更改,可以先將重名的regedit.exe刪除,再將regedit.com改為regedit.exe。
6.lsm.exe
文件名: lsm.exe
顯示名: Microsoft Windows 操作系統
描述: 本地會話管理器服務
發行者: Microsoft Corporation
數字簽名方: Microsoft Windows Verification PCA
文件類型: 應用程序
自動啟動: 否
文件路徑: C:\Windows\system32\lsm.exe 文件大小: 210432
與操作系統壹起提供: 是
進程文件: lsm.exe
進程位置: C:\Windows\System32,其中C為系統盤盤符;
進程名稱: Local Session Manager Service,本地會話管理服務。
英文描述: N/A
中文描述:
作者: microsoft
屬於: widnows vista os
文件大小:224 KB
文件版本:6.0.6001.18000
MD5值:4774ad6c447e02e954bd9a793614ebec
系統進程: 否
應用程序: 否
後臺程序: 否
使用訪問: 否
訪問互聯網: 否
安全等級 (0-5): N/A (N/A無危險 5最危險)
間碟軟件: 否
廣告軟件: 否
病毒: 否
木馬: 否
7.system.exe
進程文件: system.exe
進程位置: 系統
程序名稱: Backdoor.bifrose
程序用途: 後門木馬病毒 用於竊密,遠程控制。
系統進程: 否
後臺程序: 是
使用網絡: 是
硬件相關: 否
安全等級: 低
進程分析: GAOBOT.AO、netcontroller、Trojan/PSW.WyHunt、Worm_Bbeagle.K以及灰鴿子等木馬病毒也生成該文件,基本上都屬於後門蠕蟲木馬,惡意攻擊者用來進行遠程控制。該病毒修改註冊表創建系統服務system實現自啟動,並將病毒模塊systemKey.DLL,system_HOOk.DLL註入進程運行,病毒模塊能夠記錄鍵盤動作竊取賬號密碼,並允許惡意攻擊者遠程控制計算機。
Troj_adware.mopo廣告木馬,病毒修改註冊表實現自啟動,運行後實現啟動MOPO彈窗廣告。 當妳不知道system到底是進程還是病毒的情況下,妳就下載壹個下載個可以顯示路徑的工具SREng,看看具體的路徑就知道到底是什麽了。
如何手動查殺system.exe病毒
1、用任務管理器中止所有system.exe的進程;
2、運行cmd在DOS窗口中鍵入del /f /a %d%:\RECYCLER\system.exe del /f /a %d%:\system.exe 刪除所有硬盤驅動器上根目錄下的autorun.inf和system.exe及回收站中的system.exe文件;
3、刪除“開始/程序/啟動”下的鑰匙圖標;
4、運行regedit,查找並刪除全部system.exe的鍵值,然後重啟計算機,OK搞定