今天给大家带来{黑客24小时在线接单网站},和木马病毒简介的相关知识,如果可以可以选择收藏本站。
wmiprvse.exe是什么进程?可以删除吗?
据调查,网上还有许多网友还不知道 ,并且不知道是否能够在任务管理器中关闭这一程序,更不知wmiprvse.exe被木马病毒利用会造成帐号被盗。 Wmiprvse.exe是Windows管理规范(WMI),它是微软 Windows 操作系统的一个组件,它能够实现为用户提供管理信息和企业环境中的控制功能。管理者可以用WMI查询和设置关于系统桌面、应用程序、网络,和其它组件的信 息。有经验的开发人员可以用WMI创建事件监视应用程序,一旦出现异常情况即可通知用户,是一款十分有用的系统组件。 黑客们会利用这一点,他们用木马病毒程序感染系统文件Wmiprvse.exe,或者让病毒程序插入wmiprvse.exe运行,这时候wmiprvse.exe已经成为病毒木马程序或病毒木马的载体。这种情况下,电脑很容易丢失重要帐号信息,或者浏览器主页被锁定。 Wmiprvse.exe进程详细参数 进程文件: wmiprvse or wmiprvse.exe 进程名称: Microsoft Windows Management Instrumentation 出品者: Microsoft 属于: Microsoft Windows Operating System 系统进程: 是 后台程序: 是 使用网络: 否 硬件相关: 否 常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 0 间谍软件: 否 广告软件: 否 病毒: 否 木马: 否 其它:微软正版认证重要后台程序之一 从Windows XP开始,WMI属于有着几个其它服务的一个共享服务宿主。为了避免当一个提供程序失败时停止所有服务,提供程序被载入一个名为 Wmiprvse.exe 的分开的主机进程。Wmiprvse.exe 的多个实例可以同时运行在不同的帐户下: LocalSystem、NetworkService,或LocalService。WMI 核心 WinMgmt.exe 被载入名为Svchost.exe的共享的本地服务宿主。 注: wmiprvse.exe文件寻找,正常的应该在C:\WINDOWS\System32\Wbem 文件夹。如果在其它文件, wmiprvse.exe 就是病毒、间谍软件、特洛伊木马或蠕虫! 用安全任务管理器检查这。如果发现进程中含有多个wmiprvse.exe 进程则为电脑中病毒,一般使用杀毒软件都可以有效清除。
wmimgr.exe 病毒如何删除
wmimgr.exe
病毒通过QQ发送文件的方式传播,发送的文件名极具诱惑,以文件名.jpg.exe的形式发送,图标见附件。
病毒需要接收并运行后才会感染系统,运行后会显示一个错误对话框(见附件)。
病毒在注册表中添加一下信息,禁止用户打开“任务管理器”和“注册表编辑器”:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"="0"
"DisableRegistryTools"=dword:00000001
在注册表中添加标志信息:HKEY_LOCAL_MACHINE\SOFTWARE\TopFox
还会查找瑞星和QQ的信息,据说发现瑞星会删除瑞星的文件:
HKEY_LOCAL_MACHINE\SOFTWARE\rising\Rav
病毒自身复制到系统目录下,文件名为wmimgr.exe。
病毒还会修改一些系统程序文件和QQ程序文件,在文件中加上“TopFox”标志和好像是调用病毒文件DHelp.dll的信息,会被修改的系统文件有:
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe
还有一些QQ程序也会被修改,比如QQGame.exe等。
注:当系统文件被修改时,系统会出现这样的对话框(见附件)。
病毒释放DHelp.dll到以下目录:
%Windows%\
%System%\
%System%\wbem\
QQ目录,如%ProgramFiles%\Tencent\QQGame\
释放QQDHelp.dll到%ProgramFiles%\Tencent\目录。
添加自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Management Instrumentation"="wmimgr.exe"
病毒还会从网站上下载另一个盗密码的病毒程序到系统中:
%USERPROFILE%\Local Settings\Temp\
~!KqVo4c.exe
~H32Jvk.jpg
复制自身到系统目录,文件名为comime.exe,释放msinthk.dll。
建立自启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"
清除步骤:
这次的清除不像以前清除一般木马病毒那么简单,因为它还修改了系统文件,所以有几个步骤可能会繁琐一些。
首先,我们还是先把病毒的进程结束掉:
%System%\wmimgr.exe
%System%\comime.exe
然后搜索并删除病毒文件:
%System%\wmimgr.exe
DHelp.dll
QQDHelp.dll
%USERPROFILE%\Local Settings\Temp\~!KqVo4c.exe
%System%\comime.exe
%System%\msinthk.dll
病毒文件删除以后,我们要恢复被病毒禁用“任务管理器”和“注册表编辑器”的设置,方法很多,这里就不一一介绍了,如果不会操作,这里提供了一个REG注册表文件(见附件),直接双击运行后导入注册表即可恢复禁用。
接下来就可以到注册表编辑器删除病毒建立的启动项了:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mssysint"="comime.exe"
"Windows Management Instrumentation"="wmimgr.exe"
注:HKEY_LOCAL_MACHINE\SOFTWARE\TopFox,这个位置应该是病毒建立的“标志”,该位置如果存在,貌似病毒运行后不会进行过多的“动作”,且会自动退出进程。
故可以不删除。
好了,病毒处理掉以后我们再恢复被病毒修改过的三个系统文件explorer.exe、notepad.exe和iexplore.exe。由于病毒同时也修改了%System%\dllcache\下的文件,所以我们先要恢复%System%\dllcache\下的系统文件。
explorer.exe、notepad.exe和iexplore.exe的源文件我们可以从系统安装源里找到,比如安装光盘或ServicePack保存的目录,也可以从其它相同操作系统(相同SP)中复制过来。
如果是从安装盘I386目录下找,可以找到explorer.ex_、notepad.ex_和iexplore.ex_文件,通过expand命令可以解压缩它们,命令类似:
Code: [Copy to clipboard] expand explorer.ex_ explorer.exe
得到正常的源文件后,我们依次进行覆盖操作。
先覆盖:
%System%\dllcache\explorer.exe
%System%\dllcache\iexplore.exe
%System%\dllcache\notepad.exe
然后再覆盖或删除:
%Windows%\explorer.exe
%Windows%\notepad.exe
%System%\notepad.exe
%ProgramFiles%\Internet Explorer\iexplore.exe
对于被修改的QQ文件,方便的话重装覆盖一下QQ即可。
通过以上操作应该可以解决问题,以后要注意的是多多提高自己的安全防护意识。
另外略带提一下另一个看似“QQ尾巴”的情况,就是“mop朋友圈”。
近日有用户反应在QQ上经常收到来自好友这样的信息:
Quote: 我邀请你进我的朋友圈了,从这里进入 ;号码u=号码t=QQ
我在猫扑上建了一个群,从这里加入 ;号码u=号码t=QQ
这并不是什么QQ病毒,而是“猫扑mop”一个叫“朋友圈”发送来的信息。如果你登陆“mop朋友圈”并注册用户,且输入过QQ号和密码邀请朋友的话,那么你QQ上的好友就会收到这样的信息。
推测可能是mop使用你输入的号码和密码登陆到QQ服务器,然后搜索好友并发送该信息。邀请过朋友的QQ用户会发现自己的QQ在其它地方登陆过。
接下来再说两个最近几天问得比较多的问题,一个是“Trivial File Transfer Protocol App”的问题,另一个是如何删除rdriv.sys病毒文件。这两个问题都和bot类病毒有关。
“Trivial File Transfer Protocol App”,是T,系统的一个FTP程序,我们一般不会用到它,但病毒会利用它从被感染机器上下载病毒文件到本地系统,所以如果发现防火墙出现T要求访问网络的提示,建议永久禁止它访问网络。
说一下rdriv.sys,这是一个RootKit,会被一些病毒、后门程序或木马附带,比较常见的是附带在一些bot类病毒中,用于隐藏病毒文件和相关信息。
如果发现%System%\rdriv.sys删除不了,可以尝试以下操作:
到注册表编辑器,定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv位置,删除rdriv项,重新启动系统后再尝试删除%System%\rdriv.sys文件,应该可以解决。
电脑中毒了总有木马攻击在c:\windows\system32\wmi下面记不住了。这病毒应该怎么彻底清除?是不是挺严重?
你好朋友,杀不掉是因为病毒正在运行,建议你重启电脑狂按F8 进入安全模式 断掉网络连接(因为在断网的情况下木马无法运行,而且在安全模式下更无法运行) 用360安全卫士全盘杀木马,杀出来后重启一次,再次进入安全模式用360杀软全盘扫描。希望我的回答对你有帮助并祝你早日解决问题。
被wmi脚本木马利用的系统文件是什么意思
绝部病毒扩展名exe,脚本病毒扩展名VBS、VBE、JS、JSE、WSH、WSFWORD文件(DOC作扩展名)携带病毒 其实病毒真扩展名前添加其缀迷惑用户.jpg,.txt等稍注意招防范招使文件显示真扩展名具体:打任意文件夹选择工具--文件夹选项--查看隐藏已知文件类型扩展名前钩掉病毒命名规则 病毒命名并没统规定每反病毒公司命名规则都太基本都采用前、缀进行命名前缀、缀组合间数点隔般格式:〔前缀〕.〔病毒名〕.〔缀〕 1.病毒前缀 病毒前缀指病毒种类我见木马病毒前缀trojan蠕虫病毒前缀worm其前缀macro、backdoor、script等
2.病毒名 病毒名指病毒名称前名cih病毒些变种都统cih振荡波蠕虫病毒病毒名则sasser
3.病毒缀 病毒缀指病毒变种特征般采用英文26字母表示 worm.sasser.c指振荡波蠕虫病毒变种c病毒变种太采用数字字母混合表示病毒变种 病毒命名解释
1.木马病毒 木马病毒前缀:trojan木马病毒特点通网络或者系统漏洞进入用户系统并隐藏再向外界泄露用户信息般木马qq消息尾巴trojan.qqpsw.r网络游戏木马病毒trojan.startpage.fh等病毒名psw或者pwd类表示病毒盗取密码功能所类病毒特别需要注意
2.脚本病毒 脚本病毒前缀:script脚本病毒用脚本语言编写通网页进行传播病毒红色代码script.redlof等些脚本病毒 vbs、html类前缀表示用何种脚本编写欢乐光vbs.happytime、html.reality.d等
3.系统病毒 系统病毒前缀:win32、pe、win95、w32、w95等些病毒特点染windows操作系统 *.exe *.dll 文件并通些文件进行传播前名cih病毒属于系统病毒
4.宏病毒 宏病毒算脚本病毒种由于特殊性单独算类宏病毒前缀:macro第二前缀word、word97、excel、 excel97等根据染文档类型选择相应第二前缀该类病毒特点能染office系列文档通office通用模板进行传播前著名美丽莎病毒macro.melissa
5.蠕虫病毒 蠕虫病毒前缀:worm种病毒特点通网络或者系统漏洞进行传播部蠕虫病毒都向外发送带毒邮件阻塞网络特性家比较熟悉类病毒冲击波、震荡波等 6.捆绑机病毒 捆绑机病毒前缀:binder病毒作者使用特定捆绑程序病毒与些应用程序(qq等家用软件)捆绑起表面看文件用户运行些应用程序同运行捆绑起病毒文件给用户造危害系统杀手binder.killsys
7.门病毒 门病毒前缀:backdoor该类病毒特点通网络传播给毒系统门给用户电脑带安全隐患情门病毒worm.lovgate.a/b/c关于木马程序识别、预防及清除 IT168 于木马我家基本都听说识别木马、避免自机种植木马及清除种植木马些朋友说许比较陌面我围绕几点进行些介绍 :通病 毒名称识别木马 世界病毒反病毒公司便管理按照病毒特性病毒进行类命名虽每反病毒公司命名规则都太体都采用统命名命名般格式:.. 木马、黑客病毒往往现即木马病毒负责侵入用户电脑黑客病毒则通该木马病毒进行控制现两种类型都越越趋向于整合
WmiPrvSE.exe有三个,正常吗?
那个249KB的有些不正常,上面两个第一个是程序,第二个是备份;第三个应该是病毒,因为大小时间都不一样,我的也是win7系统,刚才确认了下,没有第三个文件!
wmi木马病毒的介绍到这里结束,感谢您的关注,木马病毒简介、wmi木马病毒的信息别忘了在本站进行查找喔。