win7 中開(kāi)機(jī)進(jìn)程有那些。分別代表什么意思。

.svchost.exe

成都創(chuàng)新互聯(lián)公司專注于盱眙網(wǎng)站建設(shè)服務(wù)及定制，我們擁有豐富的企業(yè)做網(wǎng)站經(jīng)驗(yàn)。 熱誠(chéng)為您提供盱眙營(yíng)銷型網(wǎng)站建設(shè)，盱眙網(wǎng)站制作、盱眙網(wǎng)頁(yè)設(shè)計(jì)、盱眙網(wǎng)站官網(wǎng)定制、小程序定制開(kāi)發(fā)服務(wù)，打造盱眙網(wǎng)絡(luò)公司原創(chuàng)品牌,更為您提供盱眙網(wǎng)站排名全網(wǎng)營(yíng)銷落地服務(wù)。

svchost.exe是一個(gè)屬于微軟Windows操作系統(tǒng)的系統(tǒng)程序，微軟官方對(duì)它的解釋是：Svchost.exe 是從動(dòng)態(tài)鏈接庫(kù) (DLL) 中運(yùn)行的服務(wù)的通用主機(jī)進(jìn)程名稱。這個(gè)程序?qū)ο到y(tǒng)的正常運(yùn)行是非常重要,而且是不能被結(jié)束的。

進(jìn)程屬性

進(jìn)程文件： svchost or svchost.exe

進(jìn)程名稱： Generic Service Host Process for Win32 Services

進(jìn)程類別：系統(tǒng)進(jìn)程

位置：C:\windows\system32\svchost.exe (如果你的svchost.exe進(jìn)程不是在這個(gè)目錄下的話，那么就要當(dāng)心了)

(注意：svchost.exe也有可能是W32.Welchia.Worm病毒，它利用Windows LSASS漏洞，制造緩沖區(qū)溢出，導(dǎo)致你計(jì)算機(jī)關(guān)機(jī)。更多詳細(xì)信息參考:，該進(jìn)程的安全等級(jí)是建議立即刪除。)

2.audiodg.exe

進(jìn)程文件：audiodg.exe

所在路徑： (系統(tǒng)安裝目錄盤)C:\Windows\System32\audiodg.exe

中文名稱： Windows音頻設(shè)備管理程序

出品者：Microsoft Corp.

屬于：Windows音頻設(shè)備圖形隔離程序

現(xiàn)階段有關(guān)問(wèn)題參考：一名安全研究人員近日表示，微軟新一代操作系統(tǒng)的Windows Vista進(jìn)程保護(hù)功能存在嚴(yán)重安全隱患，而且已經(jīng)有方式被惡意利用。 Vista進(jìn)程保護(hù)（Protected Process）原本為媒體路徑、DRM文件設(shè)計(jì)，旨在防止未授權(quán)軟件或硬件捕獲高清晰度格式的內(nèi)容，而用于進(jìn)程保護(hù)的數(shù)字簽名僅有微軟以及合作媒體伙伴擁有。

不過(guò)，從這名安全人員發(fā)布的概念性小程序來(lái)看，audiodg.exe以及mfpmp.exe兩個(gè)Vista保護(hù)進(jìn)程內(nèi)信息已經(jīng)能夠被顯示和調(diào)用，也就是說(shuō)，只要惡意軟件制造者獲得相關(guān)數(shù)字簽名，也可以編寫(xiě)出擁有進(jìn)程保護(hù)能力的惡意代碼。

一旦這種進(jìn)程保護(hù)機(jī)制被惡意軟件作者所利用，普通殺毒軟件將束手無(wú)策。

補(bǔ)充說(shuō)明：這個(gè)進(jìn)程在WIN7下可以對(duì)耳機(jī)音質(zhì)進(jìn)行大幅度的提升，具體設(shè)置如下：將耳機(jī)插上，點(diǎn)擊音量圖標(biāo)，打開(kāi)后點(diǎn)擊上面的耳機(jī)圖標(biāo)，選擇增強(qiáng)功能，內(nèi)有三項(xiàng)設(shè)置：低音增強(qiáng)、耳機(jī)虛擬化、響度均衡，筆者建議大家把這三項(xiàng)全選，點(diǎn)擊確定，重新啟動(dòng)音樂(lè)播放器，播放一首歌曲，你會(huì)發(fā)現(xiàn)一首原本普通的音質(zhì)的歌曲現(xiàn)在幾乎擁有了家庭影院級(jí)的音質(zhì)！建議大家前后對(duì)比，筆者對(duì)比后音質(zhì)增強(qiáng)效果非常明顯！但是使用此項(xiàng)后，這個(gè)進(jìn)程占用CPU會(huì)比平時(shí)稍高，請(qǐng)注意。

3.csrss.exe

csrss.exe，系統(tǒng)進(jìn)程，是微軟客戶端、服務(wù)端運(yùn)行時(shí)子系統(tǒng)，管理Windows圖形相關(guān)任務(wù)，對(duì)系統(tǒng)的正常運(yùn)行非常重要，但也有可能是W32.Netsky.AB@mm等病毒創(chuàng)建的。

注意：csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒創(chuàng)建的。該病毒通過(guò)Email郵件進(jìn)行傳播，當(dāng)你打開(kāi)附件時(shí)，即被感染。該蠕蟲(chóng)會(huì)在受害者機(jī)器上建立SMTP服務(wù)，用以自身傳播。該病毒允許攻擊者訪問(wèn)你的計(jì)算機(jī)，竊取木馬和個(gè)人數(shù)據(jù)。這個(gè)進(jìn)程的安全等級(jí)是建議立即進(jìn)行刪除。

介紹:Client/Server Runtime Server Subsystem，客戶端服務(wù)子系統(tǒng)，用以控制 Windows 圖形相關(guān)子系統(tǒng)。正常情況下在Windows NT/2000/XP/2003系統(tǒng)中只有一個(gè)csrss.exe進(jìn)程，位于System32文件夾中，若以上系統(tǒng)中出現(xiàn)兩個(gè)csrss.exe 進(jìn)程(其中一個(gè)位于 Windows 文件夾中)，或在Windows 9X/Me系統(tǒng)中出現(xiàn)該進(jìn)程，則是感染了病毒。Windows Vista有兩個(gè)csrss.exe進(jìn)程。

注意，正常的csrss.exe雙擊后會(huì)出現(xiàn)“不能在Win32模式下運(yùn)行”的提示，終止進(jìn)程后會(huì)藍(lán)屏。

根據(jù)csrss.exe的位置判斷csrss.exe的危險(xiǎn)度

如果 csrss.exe 位于在 “C:\Program Files” 下的子目錄下，那么威脅危險(xiǎn)度是 70% 。文件大小是 1,111,688 字節(jié) （占總出現(xiàn)比率 11% ），49,152 字節(jié)，311,808 字節(jié)，1,189,549 字節(jié)，141,606 字節(jié)，769,536 字節(jié)，1,201,827 字節(jié)，1,056,768 字節(jié)，1,175,073 字節(jié)。

如果 csrss.exe 位于在 C:\Windows\System32 下的子目錄下，那么威脅危險(xiǎn)度是 77% 。文件大小是 2,121,216 字節(jié) （占總出現(xiàn)比率 22% ），28,160 字節(jié)，29,696 字節(jié)，20,480 字節(jié)，2,932,736 字節(jié)，470,528 字節(jié)，76,800 字節(jié)，43,072 字節(jié)。

如果 csrss.exe 位于在目錄 C:\Windows\System32\drivers下，那么威脅危險(xiǎn)度是 64% 。文件大小是 81,920 字節(jié) （占總出現(xiàn)比率 40% ），335,872 字節(jié)，542,720 字節(jié)，6,144 字節(jié)。 如果 csrss.exe 位于在 “C:\Documents and Settings” 下的子目錄下，那么威脅危險(xiǎn)度是 57% 。文件大小是 58,033 字節(jié) （占總出現(xiàn)比率 50% ），385,536 字節(jié)，24,576 字節(jié)。

純手工查殺木馬csrss.exe

注意：csrss.exe進(jìn)程屬于系統(tǒng)進(jìn)程，這里提到的木馬csrss.exe是木馬偽裝成系統(tǒng)進(jìn)程

前兩天突然發(fā)現(xiàn)在C:\Program Files\下多了一個(gè)rundll32.exe文件。這個(gè)程序記得是關(guān)于登錄和開(kāi)關(guān)機(jī)的，不應(yīng)該在這里，而且它的圖標(biāo)是98下notepad.exe的老記事本圖標(biāo)，在我的2003系統(tǒng)下面很扎眼。但是當(dāng)時(shí)我沒(méi)有在意。因?yàn)槠綍r(shí)沒(méi)有感到系統(tǒng)不穩(wěn)定，也沒(méi)有發(fā)現(xiàn)內(nèi)存和CPU大量占用，網(wǎng)絡(luò)流量也正常。

這兩天又發(fā)現(xiàn)任務(wù)管理器里多了這個(gè)rundll32.exe和一個(gè)csrss.exe的進(jìn)程。它和系統(tǒng)進(jìn)程不一樣的地方是用戶為Administrator，就是我登錄的用戶名，而非system，另外它們的名字是小寫(xiě)的，而由SYSTEM啟動(dòng)的進(jìn)程都是大寫(xiě)的RUNDLL32.EXE和CSRSS.EXE，覺(jué)得不對(duì)勁。

然后按F3用資源管理器的搜索功能找csrss.exe，果然在C:\Windows下，大小52736字節(jié)，生成時(shí)間為12月9日12:37。而真正的csrss.exe只有6k，生成時(shí)間是2003年3月27日12:00，位于C:\Windows\Syetem32下。

于是用超級(jí)無(wú)敵的UltraEdit打開(kāi)它，發(fā)現(xiàn)里面有kavscr.exe，mailmonitor一類的字符，這些都是金山毒霸的進(jìn)程名。在該字符前面幾行有SelfProtect的字符。自我保護(hù)和反病毒軟件有關(guān)的程序，不是病毒就是木馬了。

試圖用任務(wù)管理器結(jié)束csrss.exe進(jìn)程失敗，稱是系統(tǒng)關(guān)鍵進(jìn)程。先進(jìn)注冊(cè)表刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相應(yīng)值，注銷重登錄，該進(jìn)程消失，可見(jiàn)它沒(méi)有象3721那樣加載為驅(qū)動(dòng)程序。

然后要查找和它有關(guān)的文件。仍然用系統(tǒng)搜索功能，查找12月9日生成的所有文件，然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe，但kavsrc.exe的圖標(biāo)也是98下的記事本圖標(biāo)，它和rundll32.exe的大小都是33792字節(jié)。 　

　此后在12:38分生成了一個(gè)tmp.dat文件，內(nèi)容是 @echo off

debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exeC:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out

del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out 　

　del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out 　

　C:\WINDOWS\system32\netstart.exe

好像是用debug匯編了一段什么程序，這年頭常用debug的少見(jiàn)，估計(jì)不是什么善茬，因?yàn)樯虡I(yè)程序員都用Delphi、PB等大程序?qū)戃浖?/p>

匯編大約進(jìn)行了1分鐘，在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一個(gè)0字節(jié)的tmp.out文件。netstart.exe大小117786字節(jié)，另兩個(gè)大小也是52736字節(jié)。前兩個(gè)位于C:\Windows\System32下，后兩個(gè)在當(dāng)前用戶的Temp文件夾里。

這樣我就知道為什么我的系統(tǒng)沒(méi)有感染的表現(xiàn)了。netstart.exe并沒(méi)有一直在運(yùn)行，因?yàn)槲以谌蝿?wù)管理器中沒(méi)有見(jiàn)過(guò)它。把這些文件都刪除，我的辦法是用winrar壓縮并選中完成后刪除源文件，然后在rar文件注釋中做說(shuō)明，放一個(gè)文件夾里，留待以后研究。這個(gè)監(jiān)獄里都是我的戰(zhàn)利品，不過(guò)還很少。

現(xiàn)在木馬已經(jīng)清除了。使用搜索引擎查找關(guān)于csrss.exe的內(nèi)容，發(fā)現(xiàn)結(jié)果不少，有QQ病毒，傳奇盜號(hào)木馬，新浪游戲病毒，但是文件大小和我中的這個(gè)都不一樣。搜索netstart.exe只有一個(gè)日文網(wǎng)站結(jié)果，也是一個(gè)木馬。

這個(gè)病毒是怎么進(jìn)入我的電腦的呢？搜索時(shí)發(fā)現(xiàn)在12月9日12:36分生成了一個(gè)快捷方式，名為dos71cd.zip，它是我那天從某網(wǎng)站下載的DOS7.11版啟動(dòng)光盤，但是當(dāng)時(shí)下載失敗了?，F(xiàn)在看來(lái)根本就不是失敗，是因?yàn)檫@個(gè)網(wǎng)站的鏈接本來(lái)就是一段網(wǎng)頁(yè)注入程序，點(diǎn)擊后直接把病毒下載來(lái)了。

4.explorer.exe

explorer.exe是Windows程序管理器或者Windows資源管理器，它用于管理Windows圖形殼，包括開(kāi)始菜單、任務(wù)欄、桌面和文件管理，刪除該程序會(huì)導(dǎo)致Windows圖形界面無(wú)法適用。explorer.exe也有可能是w32.Codered等病毒。該病毒通過(guò)email郵件傳播，當(dāng)打開(kāi)病毒發(fā)送的附件時(shí)，即被感染，會(huì)在受害者機(jī)器上建立SMTP服務(wù)，允許攻擊者訪問(wèn)你的計(jì)算機(jī)、竊取密碼和個(gè)人數(shù)據(jù)。

所在路徑： (系統(tǒng)安裝目錄盤)C:\windows\explorer.exe C:\windows\system32\dllcache (windows的文件保護(hù)機(jī)制備份) 部分電腦的:(系統(tǒng)安裝目錄盤)C:\windows\ServicePackFiles\i386 路徑下,也存在這一文件.(所以,當(dāng)你的桌面沒(méi)有啟動(dòng)時(shí),可以用這里的explorer.exe啟動(dòng),最好備份一份去C:\windows\ 下,因?yàn)橄到y(tǒng)默認(rèn)是啟動(dòng)這里的explorer.exe.)

命令及應(yīng)用

explorer.exe的命令參數(shù)及其應(yīng)用我們常需要在CMD命令行下打開(kāi)文件夾，除了start命令外，還可以使用explorer.exe來(lái)打開(kāi)文件夾，而且有不少參數(shù)可以方便我們的操作，下面是我在微軟官方網(wǎng)站上面找到的關(guān)于EXPLORER的使用。

5.lsass.exe

lsass.exe是一個(gè)系統(tǒng)進(jìn)程，用于微軟Windows系統(tǒng)的安全機(jī)制。它用于本地安全和登陸策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm創(chuàng)建的，病毒通過(guò)軟盤、群發(fā)郵件和P2P文件共享進(jìn)行傳播。

進(jìn)程描述

本地安全權(quán)限服務(wù)控制Windows安全機(jī)制。管理IP安全策略以及啟動(dòng) ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動(dòng)程序等，是一個(gè)本地的安全授權(quán)服務(wù)，并且它會(huì)為使用winlogon服務(wù)的授權(quán)用戶生成一個(gè)進(jìn)程。這個(gè)進(jìn)程是通過(guò)使用授權(quán)的包，例如默認(rèn)的msgina.dll來(lái)執(zhí)行的。如果授權(quán)是成功的，lsass就會(huì)產(chǎn)生用戶的進(jìn)入令牌，令牌別使用啟動(dòng)初始的shell。其他的由用戶初始化的進(jìn)程會(huì)繼承這個(gè)令牌的。而windows活動(dòng)目錄遠(yuǎn)程堆棧溢出漏洞，正是利用LDAP 3搜索請(qǐng)求功能對(duì)用戶提交請(qǐng)求缺少正確緩沖區(qū)邊界檢查，構(gòu)建超過(guò)1000個(gè)"AND"的請(qǐng)求，并發(fā)送給服務(wù)器，導(dǎo)致觸發(fā)堆棧溢出，使Lsass.exe服務(wù)崩潰，系統(tǒng)在30秒內(nèi)重新啟動(dòng)。

病毒

簡(jiǎn)介及發(fā)作

該(這些)病毒是一個(gè)可以在WIN9X/NT/2000/XP等操作系統(tǒng)上運(yùn)行的盜號(hào)木馬。病毒會(huì)強(qiáng)行終止多種殺毒軟件的進(jìn)程，使其不能正常運(yùn)行。它會(huì)頻繁檢查“傳奇”客戶端的窗口，如果窗口存在，就會(huì)取得當(dāng)前鼠標(biāo)的位置，并記錄鍵盤信息，最后把記錄下來(lái)的信息發(fā)送到指定郵箱，從而竊取用戶的游戲賬號(hào)和密碼等。

診斷

如果你的啟動(dòng)菜單（開(kāi)始-運(yùn)行-輸入“msconfig”）里有個(gè)lsass.exe啟動(dòng)項(xiàng)，那就證明你的lsass.exe是木馬病毒，中毒后，在進(jìn)程里可以見(jiàn)到有兩個(gè)相同的進(jìn)程，分別是lsass.exe和LSASS.EXE，同時(shí)在windows下生成LSASS.EXE和exert.exe兩個(gè)可執(zhí)行文件，且在后臺(tái)運(yùn)行，LSASS.EXE管理exe類執(zhí)行文件，exert.exe管理程序退出，還會(huì)在D盤根目錄下產(chǎn)生command.com和 autorun.inf兩個(gè)文件，同時(shí)侵入注冊(cè)表破壞系統(tǒng)文件關(guān)聯(lián)。

編輯本段病毒的清除

這個(gè)病毒比較狠毒，手工清除較為復(fù)雜。請(qǐng)用戶務(wù)必按照步驟嚴(yán)格操作，否則很可能出現(xiàn)無(wú)法清除干凈的情況。建議一般用戶最好使用殺毒軟件來(lái)清除這個(gè)病毒。

WIN98

打開(kāi)IE屬性刪除cookies和所有脫機(jī)內(nèi)容,啟動(dòng)進(jìn)程殺手終止lsass.exe和exert.exe兩個(gè)進(jìn)程，然后到windows目錄下刪除這兩個(gè)文件，這兩個(gè)文件是隱藏的，再到 D：刪除command.com和autorun.inf兩個(gè)文件，最后重啟電腦到DOS 運(yùn)行，用scanreg/restore 命令來(lái)恢復(fù)注冊(cè)表，（如果不會(huì)的或者是XP系統(tǒng)不能用的可以用瑞星注冊(cè)表修復(fù)程序之類的軟件修復(fù)一下注冊(cè)表），重啟后進(jìn)到WINDOWS桌面用殺毒軟件，全面殺毒，清除余下的病毒。

Windows XP

一、準(zhǔn)備工作 　

　打開(kāi)“我的電腦”——工具——文件夾選項(xiàng)——查看 a、把“隱藏受保護(hù)的操作系統(tǒng)文件（推薦）”和“隱藏已知文件類型的擴(kuò)展名”前面的勾去掉； b、勾中“顯示所有文件和文件夾” 二、結(jié)束進(jìn)程 　用Ctrl+Alt+Del調(diào)出windows務(wù)管理器,想通過(guò)右擊當(dāng)前用戶名的lsass.exe來(lái)結(jié)束進(jìn)程是行不通的.會(huì)彈出該進(jìn)程為系統(tǒng)進(jìn)程無(wú)法結(jié)束的提醒框; 點(diǎn)到任務(wù)管理器進(jìn)程面版，點(diǎn)擊菜單，“查看”－“選擇列”，在彈出的對(duì)話框中選擇“PID（進(jìn)程標(biāo)識(shí)符）”，并點(diǎn)擊“確定”。找到映象名稱為“LSASS.exe”，并且用戶名不是“SYSTEM”的一項(xiàng)，記住其PID號(hào).點(diǎn)擊“開(kāi)始”——運(yùn)行，輸入“CMD”，點(diǎn)擊“確定”打開(kāi)命令行控制臺(tái)。 輸入“ntsd –c q -p (此紅色部分填寫(xiě)你在任務(wù)管理器里看到的LSASS.EXE的PID列的數(shù)字，是當(dāng)前用戶名進(jìn)程的PID，別看錯(cuò)了)”，比如我的計(jì)算機(jī)上就輸入“ntsd –c q -p 1064”.這樣進(jìn)程就結(jié)束了。（如果結(jié)束了又會(huì)出現(xiàn)，那么你還是用下面的方法吧）

三、刪除病毒文件 　

　刪除如下幾個(gè)文件： （與WIN2000的目錄有所不同） 　

　C:\Program Files\Common Files\INTEXPLORE.pif （有的沒(méi)有.pif） 　

　C:\Program Files\Internet Explorer\INTEXPLORE.com 　

　C:\WINDOWS\EXERT.exe （或者exeroute.exe）　

　C:\WINDOWS\IO.SYS.BAK C:\WINDOWS\LSASS.exe 　

　C:\WINDOWS\Debug\DebugProgram.exe 　

　C:\WINDOWS\system32\dxdiag.com 　

　C:\WINDOWS\system32\MSCONFIG.COM 　

　C:\WINDOWS\system32\regedit.com

在D:盤上點(diǎn)擊鼠標(biāo)右鍵，選擇“打開(kāi)”。刪除掉該分區(qū)根目錄下的“Autorun.inf”和“command.com”文件.

四、刪除注冊(cè)表中的其他垃圾信息

將C:\WINDOWS目錄下的“regedit.exe”改名為“regedit.com”并運(yùn)行，刪除以下項(xiàng)目：

　1、HKEY_CLASSES_ROOT\WindowFiles 　

　2、HKEY_CURRENT_USER\Software\VB and VBA Program Settings 　

　3、HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main 下面的 Check_Associations項(xiàng) 　

　4、HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\INTEXPLORE.pif 　

　5、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 下面的ToP項(xiàng)

五、修復(fù)注冊(cè)表中被篡改的鍵值　

　1、將HKEY_CLASSES_ROOT\.exe的默認(rèn)值修改為 “exefile”(原來(lái)是windowsfile) 　

　2、將HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 的默認(rèn)值修改為 “C:\Program Files\Internet Explorer\iexplore.exe” %1 (原來(lái)是intexplore.com)

　3、將HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D} \shell\OpenHomePage\Command 的默認(rèn)值修改為 “C:\Program Files\Internet Explorer\IEXPLORE.EXE”(原來(lái)是INTEXPLORE.com) 　

　4、將HKEY_CLASSES_ROOT \ftp\shell\open\command 和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 的默認(rèn)值修改為“C:\Program Files\Internet Explorer\iexplore.exe” %1 (原來(lái)的值分別是INTEXPLORE.com和INTEXPLORE.pif)　

5、將HKEY_CLASSES_ROOT \htmlfile\shell\open\command 和 HKEY_CLASSES_ROOT\HTTP\shell\open\command的默認(rèn)值修改為 “C:\Program Files\Internet Explorer\iexplore.exe” –nohome 　

　6、將HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet 的默認(rèn)值修改為“IEXPLORE.EXE”.(原來(lái)是INTEXPLORE.pif)

六、收尾工作

關(guān)掉注冊(cè)表編輯器

將C:\WINDOWS目錄下的regedit.com改回regedit.exe，如果提示有重名文件存在，不能更改，可以先將重名的regedit.exe刪除，再將regedit.com改為regedit.exe。

6.lsm.exe 　

　文件名: lsm.exe 　

　顯示名: Microsoft Windows 操作系統(tǒng) 　

　描述: 本地會(huì)話管理器服務(wù) 　

　發(fā)行者: Microsoft Corporation 　

　數(shù)字簽名方: Microsoft Windows Verification PCA 　

　文件類型: 應(yīng)用程序 　

　自動(dòng)啟動(dòng): 否 　

　文件路徑: C:\Windows\system32\lsm.exe 文件大小: 210432 　

　與操作系統(tǒng)一起提供: 是 　

　進(jìn)程文件: lsm.exe 　

　進(jìn)程位置： C:\Windows\System32，其中C為系統(tǒng)盤盤符； 　

　進(jìn)程名稱: Local Session Manager Service，本地會(huì)話管理服務(wù)。 　

　英文描述: N/A 　

　中文描述: 　

　作者: microsoft 　

　屬于: widnows vista os 　

　文件大小:224 KB 　

　文件版本:6.0.6001.18000 　

　MD5值:4774ad6c447e02e954bd9a793614ebec

　系統(tǒng)進(jìn)程: 否 　

　應(yīng)用程序: 否 　

　后臺(tái)程序: 否 　

　使用訪問(wèn): 否 　

　訪問(wèn)互聯(lián)網(wǎng): 否 　

　安全等級(jí) (0-5): N/A (N/A無(wú)危險(xiǎn) 5最危險(xiǎn))

　間碟軟件: 否 　

　廣告軟件: 否 　

　病毒: 否 　

　木馬: 否

7.system.exe　

　進(jìn)程文件： system.exe 　

　進(jìn)程位置： 系統(tǒng) 　

　程序名稱： Backdoor.bifrose 　

　程序用途： 后門木馬病毒 用于竊密，遠(yuǎn)程控制。

　系統(tǒng)進(jìn)程： 否 　

　后臺(tái)程序： 是 　

　使用網(wǎng)絡(luò)： 是 　

　硬件相關(guān)： 否 　

　安全等級(jí)： 低 　

　進(jìn)程分析： GAOBOT.AO、netcontroller、Trojan/PSW.WyHunt、Worm_Bbeagle.K以及灰鴿子等木馬病毒也生成該文件，基本上都屬于后門蠕蟲(chóng)木馬，惡意攻擊者用來(lái)進(jìn)行遠(yuǎn)程控制。該病毒修改注冊(cè)表創(chuàng)建系統(tǒng)服務(wù)system實(shí)現(xiàn)自啟動(dòng)，并將病毒模塊systemKey.DLL，system_HOOk.DLL注入進(jìn)程運(yùn)行，病毒模塊能夠記錄鍵盤動(dòng)作竊取賬號(hào)密碼，并允許惡意攻擊者遠(yuǎn)程控制計(jì)算機(jī)。 　

　Troj_adware.mopo廣告木馬，病毒修改注冊(cè)表實(shí)現(xiàn)自啟動(dòng)，運(yùn)行后實(shí)現(xiàn)啟動(dòng)MOPO彈窗廣告。 當(dāng)你不知道system到底是進(jìn)程還是病毒的情況下，你就下載一個(gè)下載個(gè)可以顯示路徑的工具SREng，看看具體的路徑就知道到底是什么了。 　

　如何手動(dòng)查殺system.exe病毒

1、用任務(wù)管理器中止所有system.exe的進(jìn)程；

2、運(yùn)行cmd在DOS窗口中鍵入del /f /a %d%:\RECYCLER\system.exe del /f /a %d%:\system.exe 刪除所有硬盤驅(qū)動(dòng)器上根目錄下的autorun.inf和system.exe及回收站中的system.exe文件； 　

　3、刪除“開(kāi)始/程序/啟動(dòng)”下的鑰匙圖標(biāo)；

4、運(yùn)行regedit，查找并刪除全部system.exe的鍵值，然后重啟計(jì)算機(jī)，OK搞定

監(jiān)獄模擬器配置要求

最低配置：操作系統(tǒng)：Windows7；處理器：IntelCorei3；內(nèi)存：4GBRAM；圖形：GeForceGTX560/AMDR7-260X；存儲(chǔ)空間：需要4GB可用空間。

在美國(guó),一個(gè)windows系統(tǒng)盤要多少錢?

美國(guó)對(duì)傳播盜版者的處罰是直接進(jìn)監(jiān)獄,使用盜版者被微軟從IP地址查到的話,直接上門跟你聲明,第二次再用的話就不好意思了.美國(guó)大部分人都是買正版的,因?yàn)樗麄儽I版沒(méi)立足之地,也沒(méi)幾個(gè)人想到去買盜版的,國(guó)情很好.價(jià)位是100美元左右,新出的要100多美元

戰(zhàn)地5最低配置是什么 配置要求一覽

最低配置

操作系統(tǒng)：64位Windows 7，Windows 8.1和Windows 10

處理器（AMD）：AMD FX-8350

處理器（英特爾）：酷睿i5 6600K

內(nèi)存：8GB RAM

顯卡（NVIDIA）：NVIDIA GeForce GTX1050 /NVIDIA GeForce GTX660 2GB

顯卡（AMD）：AMD Radeon RX 560 / HD 7850 2GB

DirectX：11.0兼容的顯卡或同等產(chǎn)品

在線連接要求：512 KBPS或更快的互聯(lián)網(wǎng)連接

硬盤空間：50GB

用盜版windows犯法嗎？有人報(bào)警怎么辦？被公安局抓住要判幾年？怎么辦我現(xiàn)在每天上網(wǎng)都很害怕

犯法，

沒(méi)人報(bào)警，警察也不會(huì)管，

民事案件不會(huì)判刑，只能去法院告你，最多賠1份Windows的錢，都不夠微軟員工的工資

微軟最多也就是針對(duì)大中型企業(yè)要求付windows的錢，個(gè)人用戶從來(lái)不管，這是他們的搶占市場(chǎng)的策略

監(jiān)獄建筑師停尸臺(tái)在哪

監(jiān)獄建筑師停尸臺(tái)在物品欄中，具體建造方法：

工具/原料

演示電腦：X8DAL Main Server Chassis

電腦操作系統(tǒng)：Windows 10 專業(yè)版 64位操作系統(tǒng)

1、可以把停尸房周圍建造圍墻，如圖，先建立圍墻再建造停尸房。

2、建造完成圍墻后再規(guī)劃出停尸房的建筑區(qū)域地基，可以留出兩格用于巡邏，規(guī)劃好再在【物品】里安裝一個(gè)大型監(jiān)獄門，如圖。

3、建造完成地基就去【房間】里找出停尸房，再在地基上拉出停尸房，如圖。

4、拉完行停尸房間后就去【物品】里找出【停尸臺(tái)】把他擺放好。

5、擺放好就去【公用設(shè)施】里把電線拉上，注意，如果使用圍墻圍起來(lái)后，電線、水管是不能穿過(guò)圍墻的，只能從圍墻門口拉進(jìn)去。

6、把停尸房弄好后，就使用【地基】把牢房規(guī)劃出來(lái)，如圖，牢房在2/3格就可以了。