本文目录一览:
- 1、WmiPrvSE.exe是什么进程?WmiPrvSE.exe会是病毒吗?
- 2、被wmi脚本木马利用的系统文件是什么意思
- 3、wmiprvse.exe是什么进程 wmiprvse.exe是否能禁用
- 4、wmimgr.exe 病毒如何删除
WmiPrvSE.exe是什么进程?WmiPrvSE.exe会是病毒吗?
其功能将用于通过WinMgmt.exe程序处理WMI操作,WMI可以管理和控制运行环境,使系统管理员查询和修改桌面上、应用程序和网路上的信息,Windows程序开发人员可使用WmiPrvSE.exe开发应用用于监视目的程序,提醒用户系统上重要事件的发生。 由于WMI属于有着几个其它服务的一个共享服务宿主,从Windows XP开始为了避免当一个提供程序失败时停止所有服务,提供程序被载入到一个单独的服务宿主:WMI Provider Host,即WmiPrvSE.exe程序,WMI核心WinMgmt.exe被装载到本地名为 Svchost.exe 的共享服务主机。本进程可以有多个实例同时运行在不同的帐户下:比如NetworkService、LocalService或者当前用户名下。 作为Windows系统自身的一个程序,WmiPrvSE.exe进程的运行通常是安全的,如果不是出现下文中描述病毒感染或过多的CPU占用等情况,不建议大家将services.exe进程结束,或者移动本进程程序文件的位置。 本进程所在位置:C:\Windows\System32\wbem(开头的C标示系统安装所在分区盘符) WmiPrvSE.exe病毒 任何Windows系统自身的进程都是木马病毒的感染目标,他们通常会采用相同或类似的名称或者直接注入或替换掉原本真实的WmiPrvSE.exe程序来迷惑用户。相关病毒已被杀毒软件厂商拦截,不如W32/SillyFDC-AW(该蠕虫通过移动驱动器,如USB闪存驱动器和外部硬盘驱动器,通过创建一个 Autorun.inf 文件来自动感染系统后,将设备连接)、W32/Sonebot-B(一个后门木马,允许远程攻击者发出的命令,被感染的电脑俗称为肉鸡)。如果你的系统出现以下情况则有可能感染了相关病毒: 在任务管理器中看到过多的WmiPrvSE.exe同时运行(这也可能是流氓软件所为);本进程不在C:\Windows\System32\wbem目录下;WmiPrvSE.exe占用过多的系统资源也有可能;系统出现本进程的错误提示; 如果出现以上情况请及时更新杀毒软件病毒库对电脑进行全盘查杀,必要时可考虑重装系统。
被wmi脚本木马利用的系统文件是什么意思
绝部病毒扩展名exe,脚本病毒扩展名VBS、VBE、 *** 、 *** E、WSH、WSFWORD文件(DOC作扩展名)携带病毒 其实病毒真扩展名前添加其缀迷惑用户.jpg,.txt等稍注意招防范招使文件显示真扩展名具体:打任意文件夹选择工具--文件夹选项--查看隐藏已知文件类型扩展名前钩掉病毒命名规则 病毒命名并没统规定每反病毒公司命名规则都太基本都采用前、缀进行命名前缀、缀组合间数点隔般格式:〔前缀〕.〔病毒名〕.〔缀〕 1.病毒前缀 病毒前缀指病毒种类我见木马病毒前缀trojan蠕虫病毒前缀worm其前缀macro、backdoor、script等
2.病毒名 病毒名指病毒名称前名cih病毒些变种都统cih振荡波蠕虫病毒病毒名则sasser
3.病毒缀 病毒缀指病毒变种特征般采用英文26字母表示 worm.sasser.c指振荡波蠕虫病毒变种c病毒变种太采用数字字母混合表示病毒变种 病毒命名解释
1.木马病毒 木马病毒前缀:trojan木马病毒特点通 *** 或者系统漏洞进入用户系统并隐藏再向外界泄露用户信息般木马qq消息尾巴trojan.qqpsw.r *** 游戏木马病毒trojan.startpage.fh等病毒名psw或者pwd类表示病毒盗取密码功能所类病毒特别需要注意
2.脚本病毒 脚本病毒前缀:script脚本病毒用脚本语言编写通网页进行传播病毒红色代码script.redlof等些脚本病毒 vbs、html类前缀表示用何种脚本编写欢乐光vbs.happytime、html.reality.d等
3.系统病毒 系统病毒前缀:win32、pe、win95、w32、w95等些病毒特点染windows操作系统 *.exe *.dll 文件并通些文件进行传播前名cih病毒属于系统病毒
4.宏病毒 宏病毒算脚本病毒种由于特殊性单独算类宏病毒前缀:macro第二前缀word、word97、excel、 excel97等根据染文档类型选择相应第二前缀该类病毒特点能染office系列文档通office通用模板进行传播前著名美丽莎病毒macro.melissa
5.蠕虫病毒 蠕虫病毒前缀:worm种病毒特点通 *** 或者系统漏洞进行传播部蠕虫病毒都向外发送带毒邮件阻塞 *** 特性家比较熟悉类病毒冲击波、震荡波等 6.捆绑机病毒 捆绑机病毒前缀:binder病毒作者使用特定捆绑程序病毒与些应用程序(qq等家用软件)捆绑起表面看文件用户运行些应用程序同运行捆绑起病毒文件给用户造危害系统杀手binder.killsys
7.门病毒 门病毒前缀:backdoor该类病毒特点通 *** 传播给毒系统门给用户电脑带安全隐患情门病毒worm.lovgate.a/b/c关于木马程序识别、预防及清除 IT168 于木马我家基本都听说识别木马、避免自机种植木马及清除种植木马些朋友说许比较陌面我围绕几点进行些介绍 :通病 毒名称识别木马 世界病毒反病毒公司便管理按照病毒特性病毒进行类命名虽每反病毒公司命名规则都太体都采用统命名命名般格式:.. 木马、黑客病毒往往现即木马病毒负责侵入用户电脑黑客病毒则通该木马病毒进行控制现两种类型都越越趋向于整合
wmiprvse.exe是什么进程 wmiprvse.exe是否能禁用
据调查,网上还有许多网友还不知道 ,并且不知道是否能够在任务管理器中关闭这一程序,更不知wmiprvse.exe被木马病毒利用会造成帐号被盗。 Wmiprvse.exe是Windows管理规范(WMI),它是微软 Windows 操作系统的一个组件,它能够实现为用户提供管理信息和企业环境中的控制功能。管理者可以用WMI查询和设置关于系统桌面、应用程序、 *** ,和其它组件的信 息。有经验的开发人员可以用WMI创建事件监视应用程序,一旦出现异常情况即可通知用户,是一款十分有用的系统组件。 黑客们会利用这一点,他们用木马病毒程序感染系统文件Wmiprvse.exe,或者让病毒程序插入wmiprvse.exe运行,这时候wmiprvse.exe已经成为病毒木马程序或病毒木马的载体。这种情况下,电脑很容易丢失重要帐号信息,或者浏览器主页被锁定。 Wmiprvse.exe进程详细参数 进程文件: wmiprvse or wmiprvse.exe
wmimgr.exe 病毒如何删除
wmimgr.exe
病毒通过 *** 发送文件的方式传播,发送的文件名极具诱惑,以文件名.jpg.exe的形式发送,图标见附件。
病毒需要接收并运行后才会感染系统,运行后会显示一个错误对话框(见附件)。
病毒在注册表中添加一下信息,禁止用户打开“任务管理器”和“注册表编辑器”:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"="0"
"DisableRegistryTools"=dword:00000001
在注册表中添加标志信息:HKEY_LOCAL_MACHINE\SOFTWARE\TopFox
还会查找瑞星和 *** 的信息,据说发现瑞星会删除瑞星的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\rising\Rav
病毒自身复制到系统目录下,文件名为wmimgr.exe。
病毒还会修改一些系统程序文件和 *** 程序文件,在文件中加上“TopFox”标志和好像是调用病毒文件DHelp.dll的信息,会被修改的系统文件有:
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe
还有一些 *** 程序也会被修改,比如 *** Game.exe等。
注:当系统文件被修改时,系统会出现这样的对话框(见附件)。
病毒释放DHelp.dll到以下目录:
%Windows%\
%System%\
%System%\wbem\
*** 目录,如%ProgramFiles%\Tencent\ *** Game\
释放 *** DHelp.dll到%ProgramFiles%\Tencent\目录。
添加自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Management Instrumentation"="wmimgr.exe"
病毒还会从网站上下载另一个盗密码的病毒程序到系统中:
%USERPROFILE%\Local Settings\Temp\
~!KqVo4c.exe
~H32Jvk.jpg
复制自身到系统目录,文件名为comime.exe,释放msinthk.dll。
建立自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"
清除步骤:
这次的清除不像以前清除一般木马病毒那么简单,因为它还修改了系统文件,所以有几个步骤可能会繁琐一些。
首先,我们还是先把病毒的进程结束掉:
%System%\wmimgr.exe
%System%\comime.exe
然后搜索并删除病毒文件:
%System%\wmimgr.exe
DHelp.dll
*** DHelp.dll
%USERPROFILE%\Local Settings\Temp\~!KqVo4c.exe
%System%\comime.exe
%System%\msinthk.dll
病毒文件删除以后,我们要恢复被病毒禁用“任务管理器”和“注册表编辑器”的设置, *** 很多,这里就不一一介绍了,如果不会操作,这里提供了一个REG注册表文件(见附件),直接双击运行后导入注册表即可恢复禁用。
接下来就可以到注册表编辑器删除病毒建立的启动项了:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"
"Windows Management Instrumentation"="wmimgr.exe"
注:HKEY_LOCAL_MACHINE\SOFTWARE\TopFox,这个位置应该是病毒建立的“标志”,该位置如果存在,貌似病毒运行后不会进行过多的“动作”,且会自动退出进程。
故可以不删除。
好了,病毒处理掉以后我们再恢复被病毒修改过的三个系统文件explorer.exe、notepad.exe和iexplore.exe。由于病毒同时也修改了%System%\dllcache\下的文件,所以我们先要恢复%System%\dllcache\下的系统文件。
explorer.exe、notepad.exe和iexplore.exe的源文件我们可以从系统安装源里找到,比如安装光盘或ServicePack保存的目录,也可以从其它相同操作系统(相同SP)中复制过来。
如果是从安装盘I386目录下找,可以找到explorer.ex_、notepad.ex_和iexplore.ex_文件,通过expand命令可以解压缩它们,命令类似:
Code: [Copy to clipboard] expand explorer.ex_ explorer.exe
得到正常的源文件后,我们依次进行覆盖操作。
先覆盖:
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
然后再覆盖或删除:
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe
对于被修改的 *** 文件,方便的话重装覆盖一下 *** 即可。
通过以上操作应该可以解决问题,以后要注意的是多多提高自己的安全防护意识。
另外略带提一下另一个看似“ *** 尾巴”的情况,就是“mop朋友圈”。
近日有用户反应在 *** 上经常收到来自好友这样的信息:
Quote: 我邀请你进我的朋友圈了,从这里进入 ;号码u=号码t= ***
我在猫扑上建了一个群,从这里加入 ;号码u=号码t= ***
这并不是什么 *** 病毒,而是“猫扑mop”一个叫“朋友圈”发送来的信息。如果你登陆“mop朋友圈”并注册用户,且输入过 *** 号和密码邀请朋友的话,那么你 *** 上的好友就会收到这样的信息。
推测可能是mop使用你输入的号码和密码登陆到 *** 服务器,然后搜索好友并发送该信息。邀请过朋友的 *** 用户会发现自己的 *** 在其它地方登陆过。
接下来再说两个最近几天问得比较多的问题,一个是“Trivial File Transfer Protocol App”的问题,另一个是如何删除rdriv.sys病毒文件。这两个问题都和bot类病毒有关。
“Trivial File Transfer Protocol App”,是T,系统的一个FTP程序,我们一般不会用到它,但病毒会利用它从被感染机器上下载病毒文件到本地系统,所以如果发现防火墙出现T要求访问 *** 的提示,建议永久禁止它访问 *** 。
说一下rdriv.sys,这是一个RootKit,会被一些病毒、后门程序或木马附带,比较常见的是附带在一些bot类病毒中,用于隐藏病毒文件和相关信息。
如果发现%System%\rdriv.sys删除不了,可以尝试以下操作:
到注册表编辑器,定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv位置,删除rdriv项,重新启动系统后再尝试删除%System%\rdriv.sys文件,应该可以解决。