应用程式保护-禁止运行
进程文件:at.exe
所在位置:C:\WINDOWS\system32
进程名称:未知N/A
描 述:at.exe是计划运行任务程序,能预设一个程序在指定的日期和时间运行。
进程文件:hh.exe
所在位置:C:\WINDOWS
进程名称:Microsoft Windows Help
描 述:hh.exe是微软Windows帮助工具,用于你使用帮助。
进程文件:cmd.exe
所在位置:C:\WINDOWS\system32
进程名称:Windows Command Prompt
描 述:cmd.exe是微软Windows系统的命令行程序,类似与微软的DOS操作系统。cmd.exe是一个32位的命令行程序,运行在Windows NT/2000/XP上。这不是纯粹的系统程序,但
是如果终止它,可能会导致不可知的问题。
进程文件:format.com
所在位置:C:\WINDOWS\system32
进程名称:Disk Format Utility
描 述:format.com是将指定的驱动器格式化为指定的文件系统。含有下列参数的 format 命令仅在使用故障恢复控制台时才可用。可在命令提示符下使用带有不同参数的
format 命令。
进程文件:tftp.exe
所在位置:C:\WINDOWS\system32
进程名称:Trivial File Transfer Protocol App
描 述:tftp.exe用于将文件传输到正在运行 TFTP 服务的远程计算机或从正在运行 TFTP 服务的远程计算机传输文件。
进程文件:debug.exe
所在位置:C:\WINDOWS\system32
进程名称:debug
描 述:debug.exe是可用于测试和调试 MS-DOS 可执行文件的程序。
进程文件:cacls.exe
所在位置:C:\WINDOWS\system32
进程名称:Control ACLs Program
描 述:cacls.exe是显示或者修改文件的访问控制表(ACL)。
进程文件:mshta.exe
所在位置:C:\WINDOWS\system32
进程名称:Microsoft (R) HTML Application host
描 述:mshta.exe是微软Windows操作系统相关程序,用于执行.HTA文件
进程文件:ntvdm.exe
所在位置:C:\WINDOWS\system32
进程名称:Windows 16-bit Virtual Machine
描 述:ntvdm.exe是Windows 16位虚拟机的一部分。该进程用于使16位的进程能够运行在32位的系统环境下。这个程序对你系统的正常运行是非常重要的。
进程文件:command.exe
进程名称:WinProfile
描 述:command.exe是BUDDY病毒相关程序。
进程文件:regsvr32.exe
所在位置:C:\WINDOWS\system32
进程名称:Microsoft(C) Register Server
描 述:regsvr32.exe用于注册Windows操作系统的动态链接库和ActiveX控件。这个程序对你系统的正常运行是非常重要的。
进程文件:net.exe
所在位置:C:\WINDOWS\system32
进程名称:Net Command
描 述:net.exe是网络服务命令(Net Service Commands)。许多服务使用的网络命令都以词 net 开头。要看到所有可用的 net 命令的列表,可以在命令提示行键入 net /?
。
进程文件:net1.exe
所在位置:C:\WINDOWS\system32
进程名称:Net Command
描 述:与 net.exe 的功能相同。
进程文件:netsh.exe
所在位置:C:\WINDOWS\system32
进程名称:Network Command Shell
描 述:netsh.exe是一个命令行脚本实用程序,可让用户从本地或远程显示或修改当前运行的计算机的网络配置。Netsh 还提供了允许用户使用批处理模式对指定的计算机运行
一组命令的脚本功能。Netsh 实用程序也可以将配置脚本以文本文件保存,以便存档或帮助配置其他服务器。
进程文件:netstat.exe
所在位置:C:\WINDOWS\system32
进程名称:TCP/IP Netstat Command
描 述:netstat.exe是显示活动的 TCP 连接、计算机侦听的端口、以太网统计信息、IP 路由表、IPv4 统计信息(对于 IP、ICMP、TCP 和 UDP 协议)以及 IPv6 统计信息(
对于 IPv6、ICMPv6、通过 IPv6 的 TCP 以及通过 IPv6 的 UDP 协议)。使用时如果不带参数,netstat 显示活动的 TCP 连接。
进程文件:telnet.exe
所在位置:C:\WINDOWS\system32
进程名称:Microsoft Telnet Client
描 述:telnet.exe使用 Telnet 协议(部分 TCP/IP 协议套件)通过网络连接远程计算机。Telnet 客户软件允许计算机连接到远程的 Telnet 服务器并运行该服务器上的应用
程序。
进程文件:sc.exe
所在位置:C:\WINDOWS\system32
进程名称:A tool to aid in developing services for WindowsNT
描 述:sc.exe与“服务控制器”和已安装设备通讯。SC.exe 检索和设置有关服务的控制信息。可以使用 SC.exe 来测试和调试服务程序。可以设置存储在注册表中的服务属性
来控制如何在启动时和作为后台程序运行时启动服务应用程序。
进程文件:tasklist.exe
所在位置:C:\WINDOWS\system32
进程名称:80,896
描 述:tasklist.exe是显示运行在本地或远程计算机上的所有任务的应用程序和服务列表,带有过程 ID (PID)。
进程文件:diskpart.exe
所在位置:C:\WINDOWS\system32
MD5校验码:B4F471BC8F30AC17F88B0B0675A79782
进程名称:Diskpart Application
描 述:diskpart.exe是一种文本模式命令解释程序,它使您能够通过使用脚本或从命令提示符直接输入来管理对象(磁盘、分区或卷)。
进程文件: conime.exe
进程名称: BFGhost 1.0
英文描述: conime.exe is a process which is registered as the BFGhost 1.0 Remote administration backdoor tool. This backdoor application can allow
attackers to access your computer, stealing passwords and personal data. This process is a security risk and should be removed from your system.
Note! If your system is using a non western language this can be a legitimate entry.
进程分析:
ConsoleIME(IME控制台)是输入法编辑器,允许用户使用标准键盘就能输入复杂的字符与符号。但如果CONIME.EXE的路径不是系统目录,而是其它别的地方的话,则可能是某病毒程
序。如BFGhost1.0远程控制后门的程序,这个后门程序能够运行攻击者访问您的计算机,窃取密码和个人数据。还要注意某些病毒可能会模仿其文件名以骗过用户注意,如QQ爱虫
病毒为comime.exe与之只有一个字母之差。
进程文件: mmc.exe
进程名称: Microsoft Management Console
英文描述: mmc.exe is the Microsoft Management Console application and is used to display various management plug-ins accessed from the Control Panel,
such as the Device Manager. This program is a non-essential system process, but should not be terminated unless suspected to be causing problems.
进程分析:
MicrosoftManagementConsole(组策略)管理控制程序集成了很多的系统控制选项。
进程文件: msconfig.exe
进程名称: Windows System Configuration Utility.
英文描述: msconfig.exe is a file which helps to edit and administer text configuration files such as win.ini and autoexec.bat. This program is
important for the stable and secure running of your computer and should not be terminated.
进程分析:
MicrosoftWindows系统配置实用程序。诊断Windows98配置问题时,“系统配置实用程序(Msconfig.exe)”自动执行Microsoft技术支持工程师使用的例行疑难解答操作。该工具允
许您通过一系列清除复选框的操作来修改系统配置,从而降低了以前用“记事本”和“系统配置编辑器”键入时出错的风险。“系统配置实用程序”还可在开始疑难解答会话前创
建系统文件的备份副本。创建系统文件备份副本可确保疑难解答会话期间所作的修改得以还原。这个程序相当有用,它可以方便对Windows98系统进行一些常用配置文件的编辑、备
份、恢复和设置。该配置程序能很直观地帮助用户使用、维护及改变Windows98启动时的一些加载程序设定,对大多数新手来说应该比修改注册表要更简单、容易和安全。
进程文件: ntsd.exe
进程名称: Symbolic Debugger for Windows
英文描述: ntsd.exe is a process belonging to the Microsoft symbolic debugger that enables you to debug user-mode applications. This program is a non-
essential process, but should not be terminated unless suspected to be causing problems.
进程分析:
Windows2000开始而随系统自带的用户态调试工具。通常情况下可用它结束掉除System、SMSS.EXE、CSRSS.EXE以外的所有进程
进程文件: attrib.exe
进程名称: Attribute Utility
英文描述: attrib.exe is a process associated with Microsoft庐 Windows庐 Operating System from Microsoft Corporation.
进程分析:
显示和更改文件和文件夹属性的DOS命令。
进程文件:taskkill.exe
所在位置:C:\WINDOWS\system32
进程名称:Kill Process
描 述:taskkill.exe用于结束一个或多个任务或进程。可以根据进程 ID 或图像名来结束进程。
进程文件:schtasks.exe
所在位置:C:\WINDOWS\system32
进程名称:Schedule Tasks
描 述:schtasks.exe是安排命令和程序定期运行或在指定时间内运行。从计划表中添加和删除任务,按需要启动和停止任务,显示和更改计划任务。
进程文件: doskey.exe
进程名称: Keyboard History Utility
英文描述: doskey.exe is a process associated with Microsoft庐 Windows庐 Operating System from Microsoft Corporation.
进程分析:
重新调用命令行创建宏。
进程文件: label.exe
进程名称: Disk Label Utility
英文描述: label.exe is a process associated with Microsoft庐 Windows庐 Operating System from Microsoft Corporation.
进程分析:
改变驱动器的卷标。
进程文件: realsched.exe
进程名称: RealNetworks Scheduler
英文描述: realsched.exe is a program which schedules for manual update checks for Real Networks products. This is a non-essential process. Disabling or
enabling this is down to user preference however disabling may prevent notification of updates.
进程分析:
RealPlayer的自动更新及检测服务,这个服务可以从RealPlayer的服务器上获取一些版本更新等消息。
进程文件: TIMPlatform.exe
进程名称: Trojan.QQTail.Shejele.a QQ尾巴a
英文描述: N/A
进程分析:
QQ和TM共同使用的外部应用开发接口管理程序,是一个重要的底层核心模块。如果删除该程序,QQ或TM将丧失与周边功能模块以及外部应用程序相互调用的功能。
Replace.exe这个程序用来替换保护文件和正在运行的文件 ,连正在使用的文件也能替换。
禁止加载
进程文件:scrrun.dll
所在位置:C:\WINDOWS\system32
进程名称:Microsoft (r) Script Runtime
描 述:scrrun.dll用于阅读和编写脚本和文本文件。
进程文件:regsvc.dll
所在位置:C:\WINDOWS\system32
MD5校验码:B5A0CE6AA0B3077D832E2A7A9A37F8B8
进程名称:Remote Registry Service
描 述:远程注册表服务
进程文件:wshom.ocx
所在位置:C:\WINDOWS\system32
进程名称:Windows Script Host Runtime Library
描 述:wshom.ocx是Windows本地脚本对象运行时相关文件。
参考:
http://www.fileclass.com/index.html
http://www.processlib.net/index.html
