轰龙盾斧:xp文件和进程分析(增补中)

xp文件和进程分析(增补中)

vm sti.exe

进程名称:摄像头驱程

文件描述:vm sti.exe来自于pc机的摄像头驱程文件.

tfswctrl或者tfswctrl.exe

进程名称:hpdlapacketwriting

软件描述:tfswctrl.exe是hp的cd刻录软件的一部分。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

issch或者issch.exe

进程名称:installshieldupdateservice

描述:issch.exe是installshield安装工具的升级服务，用于保持其最新。这不是系统必须的进程,不应终止此进程，除非此程序引起了错误。

igfxsrvc.exe

进程名称:igfxsrvc

描述:igfxsrvc.exe是intel显示卡加速软件相关程序。 打开桌面右键菜单时也会出现，regsvr32 /u igfxpph.dll  可清除

syntpenh或者syntpenh.exe

进程名称:synapticstouchpadtrayicon

描述:syntpenh.exe是笔记本电脑触摸板相关程序。主要对于其它输入设备的额处配置和支持。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

jusched或者jusched.exe

进程名称:sunjavaupdatescheduler

描述:jusched是来自于sunmicrosystemsjava2套件，用于检测java程序的更新。此进程对机子的正常运行及安全起着重要作用，不能终止。

hkcmd或者hkcmd.exe

进程名称:intel hotkey

描述: hkcmd.exe是intel显示卡相关程序，用于配置和诊断相关设备。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

rundll32或者rundll32.exe

进程名称:microsoftrundll32 描述:rundll32.exe用于在内存中运行dll文件，它们会在应用程序中被使用。这个程序对你系统的正常运行是非常重要的。

注意：rundll32.exe也可能是w32.miroot.worm病毒。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的

system32和system32\dllcache下面

svchost或者svchost.exe

进程名称:microsoft service host process 描述:svchost.exe是一个属于微软windows操作系统的系统程序，用于执行dll文件。这个程序对你系统的正常运行是非常重要的。

注意：svchost.exe也有可能是w32.welchia.worm病毒，它利用windowslsass漏洞，制造缓冲区溢出，导致你计算机关机。请注意此进程的名字，还有一个病毒是svch0st.exe

，名字中间的是数字0，而不是英文字母o。请注意此进程所在的文件夹，正常的进程应该是在windows的system32和servicepackfiles\i386下面

wmiprvse或者wmiprvse.exe

进程名称: microsoft windows management instrumentation

描述: wmiprvse.exe是微软windows操作系统的一部分。用于通过winmgmt.exe程序处理wmi操作。这个程序对你系统的正常运行是非常重要的。

alg 或者 alg.exe

进程名称: application layer gateway service

描述: alg.exe是微软windows操作系统自带的程序。它用于处理微软windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。

wdfmgr或者wdfmgr.exe

进程名称:windows driver foundation manager

描述: wdfmgr.exe是微软microsoftwindowsmediaplayer10播放器的相关程序。该进程用于减少兼容性问题。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问

题。

conime或者conime.exe

进程名称:bfghost1.0或者输入法

描述:这个文件则是输入法进程，请注意此进程所在的文件夹，正常的进程应该是在windows的system32和system32\dllcache下面。注意，在非亚洲语言的windows里，

conime.exe是一个bfghost1.0远程控制后门程序，允许攻击者访问你的计算机，窃取密码和个人数据。

pastisvc.exe

进程名称:pastisvc

描述:pastisvc.exe是摄像头相关程序的文件。

starwinservice.exe

进程名称:starwinservice

描述:starwinservice.exe可能是alcohol 120％的文件，请用户根据其目录进行检查。

nicconfigsvc.exe

进程名称:internal network card power management service

描述:nicconfigsvc.exe是戴尔的网络适配器管理服务的程序文件。

kavsvc.exe

进程名称:kavsvc

描述:kavsvc.exe是卡巴斯基antivirus服务。卡巴斯基(kaspersky anti-virus)是俄罗斯著名数据安全厂商kaspersky labs制做的反病毒软件。

sriecli.exe

进程名称:超级兔子上网精灵客户端

描述:超级兔子上网精灵的客户端执行程序，负责ie主页锁定、保护ie、上网时间控制、端口控制等等。

bcmwltry 或者 bcmwltry.exe

进程名称:bcmwltry

描述:bcmwltry.exe是broadcom公司无线网络相关软件。

lsass或者lsass.exe

进程名称:local安全等级作者ityservice

描述:lsass.exe是一个关于微软安全机制的系统进程，主要处理一些特殊的安全机制和登录策略。

winlogon or winlogon.exe

进程名称:microsoft windows logon process

描述:winlogon.exe是windows域登陆管理器。它用于处理你登陆和退出系统过程。该进程在你系统的作用是非常重要的。注意：winlogon.exe也可能是w32.netsky.d@mm蠕

虫病毒。该病毒通过email邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建smtp引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的

计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32下面

csrss或者csrss.exe

进程名称:microsoft client/server runtime server subsystem

描述:csrss.exe是微软客户端/服务端运行时子系统。该进程管理windows图形相关任务。这个程序对你系统的正常运行是非常重要的。注意：csrss.exe也有可能是

w32.netsky.ab@mm、w32.webus木马、win32.ladex.a等病毒创建的。该病毒通过email邮件进行传播，当你打开附件时，即被感染。该蠕虫会在受害者机器上建立smtp服务

，用以自身传播。该病毒允许攻击者访问你的计算机，窃取木马和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32和servicepackfiles\i386下

面

smss或者smss.exe

进程名称:session manager subsystem

描述:smss.exe是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能

是win32.ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32和

servicepackfiles\i386下面

spoolsv或者spoolsv.exe

进程名称:microsoft printer spooler service

描述:spoolsv.exe用于将windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是backdoor.ciadoor.b木马。该木马允许攻击者访问你的计算机，窃取密码和个人数

据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32和servicepackfiles\i386下面。如果出现在spoolsv目录下，则可能一些ie插件的文件，建议使用反间谍进行扫描。