1.计算机如何判断中病毒了，源码进程怎么看
2.电脑病毒危害哪些？
3.谁有FreeBSD的源码使用手册啊？
4.在进程里到底可以看到什么

计算机如何判断中病毒了，进程怎么看

       经常死机：病毒打开了许多文件或占用了大量内存；不稳定（如内存质量差，源码硬件超频性能差等）；运行了大容量的源码软件占用了大量的内存和磁盘空间；使用了一些测试软件（有许多BUG）；硬盘空间不够等等；运行网络上的软件时经常死机也许是由于网络速度太慢，所运行的源码程序太大，或者自己的源码python训练源码工作站硬件配置太低。

       系统无法启动：病毒修改了硬盘的源码引导信息 ，或删除了某些启动文件。源码如引导型病毒 引导文件损坏；硬盘损坏或参数设置不正确；系统文件人为地误删除等。源码

       文件打不开：病毒修改了文件格式；病毒修改了文件链接位置。源码文件损坏；硬盘损坏；文件快捷方式对应的源码链接位置发生了变化；原来编辑文件的软件删除了；如果是在局域网中多表现为服务器中文件存放位置发生了变化，而工作站没有及时涮新服器的源码内容（长时间打开了资源管理器）。

       经常报告内存不够： 病毒非法占用了大量内存；打开了大量的源码软件；运行了需内存资源的软件；系统配置不正确；内存本就不够（目前基本内存要求为M）等。

       提示硬盘空间不够：病毒复制了大量的源码病毒文件（这个遇到过好几例，有时好端端的源码近G硬盘安装了一个WIN或WINNT4.0系统就说没空间了，一安装软件就提示硬盘空间不够。硬盘每个分区容量太小；安装了大量的大容量软件；所有软件都集中安装在一个分区之中；硬盘本身就小；如果是在局域网中系统管理员为每个用户设置了工作站用户的"私人盘"使用空间限制，因查看的是整个网络盘的大小，其实"私人盘"上容量已用完了。

       软盘等设备未访问时出读写信号：病毒感染；软盘取走了还在打开曾经在软盘中打开过的文件。

       出现大量来历不明的文件：病毒复制文件；可能是一些软件安装中产生的临时文件；也或许是一些软件的配置信息及运行记录。

       启动黑屏：病毒感染；显示器故障；显示卡故障；主板故障；超频过度；CPU损坏等等

       数据丢失：病毒删除了文件；硬盘扇区损坏；因恢复文件而覆盖原文件；如果是在网络上的文件，也可能是由于其它用户误删除了。

       键盘或鼠标无端地锁死：病毒作怪，特别要留意"木马"；键盘或鼠标损坏；主板上键盘或鼠标接口损坏；运行了某个键盘或鼠标锁定程序，所运行的程序太大，长时间系统很忙，表现出按键盘或鼠标不起作用。

       系统运行速度慢：病毒占用了内存和CPU资源，在后台运行了大量非法操作；硬件配置低；打开的程序太多或太大；系统配置不正确；如果是运行网络上的程序时多数是由于你的机器配置太低造成，也有可能是此时网路上正忙，有许多用户同时打开一个程序；还有一种可能就是你的硬盘空间不够用来运行程序时作临时交换数据用，系统自动执行操作：病毒在后台执行非法操作；用户在注册表或启动组中设置了有关程序的自动运行；某些软件安装或升级后需自动重启系统。

       通过以上的分析对比，我们知道其实大多数故障都可能是由于人为或软、硬件故障造成的，当我们发现异常后不要急于下断言，在杀毒还不能解决的情况下，应仔细分析故障的特征，排除软、硬件及人为的可能性。

       病毒的分类及各自的特征 要真正地识别病毒，及时的查杀病毒，我们还有必要对病毒有一番较详细的了解，而且越详细越好！

       病毒因为由众多分散的个人或组织单独编写，也没有一个标准去衡量、去划分，所以病毒的分类可按多个角度大体去分。

       如按传染对象来分，病毒可以划分为以下几类：

       a、引导型病毒

       这类病毒攻击的对象就是磁盘的引导扇区，这样就能使系统在启动时获得优先的执行权，从而达到控制整个系统的目的，这类病毒因为感染的是引导扇区，所以造成的损失也就比较大，一般来说会造成系统无法正常启动，但查杀这类病毒也较容易，多数杀毒软件都能查杀这类病毒，如KV、KILL系列等。

       b、文件型病毒

       早期的这类病毒一般是感染以exe、com等为扩展名的可执行文件，这样的话当你执行某个可执行文件时病毒程序就跟着激活。近期也有一些病毒感染以dll、ovl、sys等为扩展名的文件，因为这些文件通常是某程序的配置、链接文件，所以执行某程序时病毒也就自动被子加载了。它们加载的方法是通过插入病毒代码整段落或分散插入到这些文件的空白字节中，如CIH病毒就是把自己拆分成9段嵌入到PE结构的可执行文件中，感染后通常文件的字节数并不见增加，这就是它的隐蔽性的一面。

       c、网络型病毒

       这种病毒是近几来网络的高速发展的产物，感染的对象不再局限于单一的模式和单一的可执行文件，而是更加综合、更加隐蔽。现在一些网络型病毒几乎可以对所有的OFFICE文件进行感染，如WORD、EXCEL、电子邮件等。其攻击方式也有转变，从原始的删除、修改文件到现在进行文件加密、窃取用户有用信息（如黑客程序）等，传播的途经也发生了质的飞跃，不再局限磁盘，而是通过更加隐蔽的网络进行，如电子邮件、电子广告等。

       d、复合型病毒

        把它归为"复合型病毒"，是因为它们同时具备了"引导型"和"文件型"病毒的某些特点，它们即可以感染磁盘的引导扇区文件，也可以感染某此可执行文件，如果没有对这类病毒进行全面的清除，则残留病毒可自我恢复，易语言保存源码还会造成引导扇区文件和可执行文件的感染，所以这类病毒查杀难度极大，所用的杀毒软件要同时具备查杀两类病毒的功能。

       以上是按照病毒感染的对象来分，如果按病毒的破坏程度来分，我们又可以将病毒划分为以下几种：

       a、良性病毒：

       这些病毒之所以把它们称之为良性病毒，是因为它们入侵的目的不是破坏你的系统，只是想玩一玩而已，多数是一些初级病毒发烧友想测试一下自己的开发病毒程序的水平。它们并不想破坏你的系统，只是发出某种声音，或出现一些提示，除了占用一定的硬盘空间和CPU处理时间外别无其它坏处。如一些木马病毒程序也是这样，只是想窃取你电脑中的一些通讯信息，如密码、IP地址等，以备有需要时用。

       b、恶性病毒

       我们把只对软件系统造成干扰、窃取信息、修改系统信息，不会造成硬件损坏、数据丢失等严重后果的病毒归之为"恶性病毒"，这类病毒入侵后系统除了不能正常使用之外，别无其它损失，系统损坏后一般只需要重装系统的某个部分文件后即可恢复，当然还是要杀掉这些病毒之后重装系统。

       c、极恶性病毒

       这类病毒比上述b类病毒损坏的程度又要大些，一般如果是感染上这类病毒你的系统就要彻底崩溃，根本无法正常启动，你保分留在硬盘中的有用数据也可能随之不能获取，轻一点的还只是删除系统文件和应用程序等。

       d、灾难性病毒

       这类病毒从它的名字我们就可以知道它会给我们带来的破坏程度，这类病毒一般是破坏磁盘的引导扇区文件、修改文件分配表和硬盘分区表，造成系统根本无法启动，有时甚至会格式化或锁死你的硬盘，使你无法使用硬盘。如果一旦染上这类病毒，你的系统就很难恢复了，保留在硬盘中的数据也就很难获取了，所造成的损失是非常巨大的，所以我们进化论什么时候应作好最坏的打算，特别是针对企业用户，应充分作好灾难性备份，还好现在大多数大型企业都已认识到备份的意义所在，花巨资在每天的系统和数据备份上，虽然大家都知道或许几年也不可能遇到过这样灾难性的后果，但是还是放松这"万一"。我所在的雀巢就是这样，而且还非常重视这个问题。如年4.发作的CIH病毒就可划归此类，因为它不仅对软件造成破坏，更直接对硬盘、主板的BIOS等硬件造成破坏。

       如按其入侵的方式来分为以下几种：

       a、源代码嵌入攻击型

       从它的名字我们就知道这类病毒入侵的主要是高级语言的源程序，病毒是在源程序编译之前插入病毒代码，最后随源程序一起被编译成可执行文件，这样刚生成的文件就是带毒文件。当然这类文件是极少数，因为这些病毒开发者不可能轻易得到那些软件开发公司编译前的源程序，况且这种入侵的方式难度较大，需要非常专业的编程水平。

       b、代码取代攻击型

       这类病毒主要是用它自身的病毒代码取代某个入侵程序的整个或部分模块，这类病毒也少见，它主要是攻击特定的程序，针对性较强，但是不易被发现，清除起来也较困难。

       c、系统修改型

       这类病毒主要是用自身程序覆盖或修改系统中的某些文件来达到调用或替代操作系统中的部分功能，由于是直接感染系统，危害较大，也是最为多见的一种病毒类型，多为文件型病毒。

       d、外壳附加型

       这类病毒通常是将其病毒附加在正常程序的头部或尾部，相当于给程序添加了一个外壳，在被感染的程序执行时，病毒代码先被执行，然后才将正常程序调入内存。目前大多数文件型的病毒属于这一类。

       有了病毒的一些基本知识后现在我们就可以来检查你的电脑中是否含有病毒，要知道这些我们可以按以下几个方法来判断。

       1、反病毒软件的扫描法

       这恐怕是我们绝大数朋友首选，也恐怕是唯一的选择，现在病毒种类是越来越多，隐蔽的手段也越来越高明，所以给查杀病毒带来了新的难度，也给反病毒软件开发商带来挑战。但随着计算机程序开发语言的技术性提高、计算机网络越来越普及，空间秒赞 源码病毒的开发和传播是越来越容易了，因而反病毒软件开发公司也是越来越多了。但目前比较有名的还是那么几个系统的反病毒软件，如金山毒霸、KV、KILL、PC-cillin、VRV、瑞星、诺顿等。至于这些反病毒软件的使用在此就不必说叙了，我相信大家都有这个水平！

       2、观察法

       这一方法只有在了解了一些病毒发作的症状及常栖身的地方才能准确地观察到。如硬盘引导时经常出现死机、系统引导时间较长、运行速度很慢、不能访问硬盘、出现特殊的声音或提示等上述在第一大点中出现的故障时，我们首先要考虑的是病毒在作怪，但也不能一条胡洞走到底，上面我不是讲了软、硬件出现故障同样也可能出现那些症状嘛！对于如属病毒引起的我们可以从以下几个方面来观察：

       a、内存观察

       这一方法一般用在DOS下发现的病毒，我们可用DOS下的"mem/c/p"命令来查看各程序占用内存的情况，从中发现病毒占用内存的情况（一般不单独占用，而是依附在其它程序之中），有的病毒占用内存也比较隐蔽，用"mem/c/p"发现不了它，但可以看到总的基本内存K之中少了那么区区1k或几K。

       b、注册表观察法

       这类方法一般适用于近来出现的所谓黑客程序，如木马程序，这些病毒一般是通过修改注册表中的启动、加载配置来达到自动启动或加载的，一般是在如下几个地方实现：

       [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion

       c、系统配置文件观察法

       这类方法一般也是适用于黑客类程序，这类病毒一般在隐藏在system.ini 、wini.ini（Win9x/WinME）和启动组中，在system.ini文件中有一个"shell="项，而在wini.ini文件中有"load= "、"run= "项，这些病毒一般就是在这些项目中加载它们自身的程序的，注意有时是修改原有的某个程序。我们可以运行Win9x/WinME中的msconfig.exe程序来一项一项查看。

       d、特征字符串观察法

       这种方法主要是针对一些较特别的病毒，这些病毒入侵时会写相应的特征代码，如CIH病毒就会在入侵的文件中写入"CIH"这样的字符串，当然我们不可能轻易地发现，我们可以对主要的系统文件（如Explorer.exe)运用进制代码编辑器进行编辑就可发现，当然编辑之前最好还要要备份，毕竟是主要系统文件。

       e、硬盘空间观察法

       有些病毒不会破坏你的系统文件，而仅是生成一个隐藏的文件，这个文件一般内容很少，但所占硬盘空间很大，有时大得让你的硬盘无法运行一般的程序，但是你查又看不到它，这时我们就要打开资源管理器，然后把所查看的内容属性设置成可查看所有属性的文件，相信这个庞然大物一定会到时显形的，因为病毒一般把它设置成隐藏属性的。到时删除它即可，这方面的例子在我进行电脑网络维护和个人电脑维修过程中见到几例，明明只安装了几个常用程序，为什么在C盘之中几个G的硬盘空间显示就没有了，经过上述方法一般能很快地让病毒显形的。

电脑病毒危害哪些？

       大致总结为以下七点：

       一、病毒激发对计算机数据信息的直接破坏作用

       二、占用磁盘空间和对信息的破坏

       三、抢占系统资源

       四、影响计算机运行速度

       五、计算机病毒错误与不可预见的危害

       六、计算机病毒的兼容性对系统运行的影响

       七、计算机病毒给用户造成严重的心理压力

       大部份的病毒都是把电脑程序及数据破坏，导致系统崩溃。还有所谓的“木马”，其实“木马”也是病毒的一种，不过是病毒的一个大的分支，木马病毒大都是以盗窃用户电脑内的银行账号、游戏账号、个人资料等信息为目的，并且还占用大量系统资源，导致系统运行缓慢、打卡程序迟钝、死机、蓝屏等等。

       计算机病毒会感染、传播，但这并不可怕，可怕的是病毒的破坏性。其主要危害有：

       1、攻击硬盘主引导扇区、Boot扇区、FAT表、文件目录，源码mysql5.6使磁盘上的信息丢失。

       2、删除软盘、硬盘或网络上的可执行文件或数据文件，使文件丢失。

       3、占用磁盘空间。

       4、修改或破坏文件中的数据，使内容发生变化。

       5、抢占系统资源，使内存减少。

       6、占用CPU运行时间，使运行效率降低。

       7、对整个磁盘或扇区进行格式化。

       8、破坏计算机主板上BIOS内容，使计算机无法工作。

       9、破坏屏幕正常显示，干扰用户的操作。

       、破坏键盘输入程序，使用户的正常输入出现错误。

       、攻击喇叭，会使计算机的喇叭发出响声。有的病毒作者让病毒演奏旋律优美的世界名曲，在高雅的曲调中去杀戮人们的信息财富。有的病毒作者通过喇叭发出种种声音。

       .干扰打印机，假报警、间断性打印、更换字符

       系统病毒

       系统病毒的前缀为：Win、PE、Win、W、W等。这些病毒的一般共有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。

       蠕虫病毒

       蠕虫病毒的前缀是：Worm。这种病毒的共有特性是通过网络或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞网络的特性。比如冲击波（阻塞网络），小邮差（发带毒邮件） 等。

       木马病毒、黑客病毒

       木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的共有特性是通过网络或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如QQ消息尾巴木马 Trojan.QQ ，还有大家可能遇见比较多的针对网络游戏的木马病毒如 Trojan.LMir.PSW. 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有**密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如：网络枭雄（Hack.Nether.Client）等。

       脚本病毒

       脚本病毒的前缀是：Script。脚本病毒的共有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、JS（表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

       宏病毒

       其实宏病毒是也是脚本病毒的一种，由于它的特殊性，因此在这里单独算成一类。宏病毒的前缀是：Macro，第二前缀是：Word、Word、Excel、Excel（也许还有别的）其中之一。凡是只感染WORD及以前版本WORD文档的病毒采用Word作为第二前缀，格式是：Macro.Word；凡是只感染WORD以后版本WORD文档的病毒采用Word做为第二前缀，格式是：Macro.Word；凡是只感染EXCEL及以前版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel；凡是只感染EXCEL以后版本EXCEL文档的病毒采用Excel做为第二前缀，格式是：Macro.Excel，以此类推。该类病毒的共有特性是能感染OFFICE系列文档，然后通过OFFICE通用模板进行传播，如：著名的美丽莎（Macro.Melissa）。

       后门病毒

       后门病毒的前缀是：Backdoor。该类病毒的共有特性是通过网络传播，给系统开后门，给用户电脑带来安全隐患。

       病毒种植程序病毒

       这类病毒的共有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下，由释放出来的新病毒产生破坏。如：冰河播种者（Dropper.BingHe2.2C）、MSN射手（Dropper.Worm.Smibag）等。asp网站后台源码

       破坏性程序病毒

       破坏性程序病毒的前缀是：Harm。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒便会直接对用户计算机产生破坏。如：格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。

       玩笑病毒

       玩笑病毒的前缀是：Joke。也称恶作剧病毒。这类病毒的共有特性是本身具有好看的图标来诱惑用户点击，当用户点击这类病毒时，病毒会做出各种破坏操作来吓唬用户，其实病毒并没有对用户电脑进行任何破坏。如：女鬼（Joke.Girl ghost）病毒。

       捆绑机病毒

       捆绑机病毒的前缀是：Binder。这类病毒的共有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如QQ、IE捆绑起来，表面上看是一个正常的文件，当用户运行这些捆绑病毒时，会表面上运行这些应用程序，然后隐藏运行捆绑在一起的病毒，从而给用户造成危害。如：捆绑QQ（Binder.QQPass.QQBin）、系统杀手（Binder.killsys）等。　以上为比较常见的病毒前缀，有时候我们还会看到一些其他的，但比较少见，这里简单提一下：　DoS：会针对某台主机或者服务器进行DoS攻击；　Exploit：会自动通过溢出对方或者自己的系统漏洞来传播自身，或者他本身就是一个用于Hacking的溢出工具；　HackTool：黑客工具，也许本身并不破坏你的机子，但是会被别人加以利用来用你做替身去破坏别人。　你可以在查出某个病毒以后通过以上所说的方法来初步判断所中病毒的基本情况，达到知己知彼的效果。在杀毒无法自动查杀，打算采用手工方式的时候这些信息会给你很大的帮助

       一 木马的种类:

       1破坏型:惟一的功能就是破坏并且删除文件，可以自动的删除电脑上的DLL、INI、EXE文件

       2、密码发送型:可以找到隐藏密码并把它们发送到指定的信箱。有人喜欢把自己的各种密码以文件的形式存放在计算机中，认为这样方便；还有人喜欢用WINDOWS提供的密码记忆功能，这样就可以不必每次都输入密码了。许多黑客软件可以寻找到这些文件，把它们送到黑客手中。也有些黑客软件长期潜伏，记录操作者的键盘操作，从中寻找有用的密码。

       3、远程访问型:最广泛的是特洛伊马，只需有人运行了服务端程序，如果客户知道了服务端的IP地址，就可以实现远程控制。以下的程序可以实现观察"受害者"正在干什么，当然这个程序完全可以用在正道上的，比如监视学生机的操作。

       4.键盘记录木马

       这种特洛伊木马是非常简单的。它们只做一件事情，就是记录受害者的键盘敲击并且在LOG文件里查找密码。

       5.DoS攻击木马:随着DoS攻击越来越广泛的应用，被用作DoS攻击的木马也越来越流行起来。当你入侵了一台机器，给他种上DoS攻击木马，那么日后这台计算机就成为你DoS攻击的最得力助手了。你控制的肉鸡数量越多，你发动DoS攻击取得成功的机率就越大。所以，这种木马的危害不是体现在被感染计算机上，而是体现在攻击者可以利用它来攻击一台又一台计算机，给网络造成很大的伤害和带来损失。

       6.代理木马:黑客在入侵的同时掩盖自己的足迹，谨防别人发现自己的身份是非常重要的，因此，给被控制的肉鸡种上代理木马，让其变成攻击者发动攻击的跳板就是代理木马最重要的任务。通过代理木马，攻击者可以在匿名的情况下使用Telnet,ICQ,IRC等程序，从而隐蔽自己的踪迹

       7.FTP木马:这种木马可能是最简单和古老的木马了，它的惟一功能就是打开端口，等待用户连接。现在新FTP木马还加上了密码功能，这样，只有攻击者本人才知道正确的密码，从而进人对方计算机。

       8.程序杀手木马:上面的木马功能虽然形形色色，不过到了对方机器上要发挥自己的作用，还要过防木马软件这一关才行。常见的防木马软件有ZoneAlarm,Norton Anti-Virus等。程序杀手木马的功能就是关闭对方机器上运行的这类程序，让其他的木马更好地发挥作用

       9.反弹端口型木马:木马是木马开发者在分析了防火墙的特性后发现:防火墙对于连入的链接往往会进行非常严格的过滤，但是对于连出的链接却疏于防范。于是，与一般的木马相反，反弹端口型木马的服务端 (被控制端)使用主动端口，客户端 (控制端)使用被动端口。木马定时监测控制端的存在，发现控制端上线立即弹出端口主动连结控制端打开的主动端口;为了隐蔽起见，控制端的被动端口一般开在，即使用户使用扫描软件检查自己的端口，发现类似TCP UserIP: ControllerIP:ESTABLISHED的情况，稍微疏忽一点，你就会以为是自己在浏览网页。

       二:病毒类

       1开机磁区病毒

       2档案型病毒

       3巨集病毒

       4其他新种类的病毒

       三:1计算机病毒名称

       冲击波（WORM_MSBlast.A）

       WM_Etkill(宏病毒)

       捣毁者(WM_ TRASHER.D)

       .......等等...........

       2木马病毒

       木马病毒的前缀是：Trojan

       如Q尾巴:Trojan.QQPSW

       网络游戏木马:Trojan.StartPage.FH等

       3脚本病毒

       脚本病毒的前缀是：Script

       如:红色代码Script.Redlof

       4系统病毒

       系统病毒的前缀为：Win、PE、Win、W、W等

       如以前有名的CIH病毒就属于系统病毒

       5宏病毒

       宏病毒的前缀是：Macro，第二前缀有Word、Word、Excel、Excel等

       如以前著名的美丽莎病毒Macro.Melissa。

       6蠕虫病毒

       蠕虫病毒的前缀是：Worm

       大家比较熟悉的这类病毒有冲击波、震荡波等

       7捆绑机病毒

       捆绑机病毒的前缀是：Binder

       如系统杀手Binder.killsys

       8后门病毒

       后门病毒的前缀是：Backdoor

       如爱情后门病毒Worm.Lovgate.a/b/c

       9坏性程序病毒

       破坏性程序病毒的前缀是：Harm

       格式化C盘（Harm.formatC.f）、杀手命令（Harm.Command.Killer）等。

       玩笑病毒

       玩笑病毒的前缀是：Joke

       如：女鬼（Joke.Girlghost）病毒。

       常见木马名称:

       Mbbmanager.exe → 聪明基因

       _.exe → Tryit Mdm.exe → Doly 1.6-1.7

       Aboutagirl.exe → 初恋情人 Microsoft.exe → 传奇密码使者

       Absr.exe → Backdoor.Autoupder Mmc.exe → 尼姆达病毒

       Aplica.exe → 将死者病毒 Mprdll.exe → Bla

       Avconsol.exe → 将死者病毒 Msabel.exe → Cain and Abel

       Avp.exe → 将死者病毒 Msblast.exe → 冲击波病毒

       Avp.exe → 将死者病毒 Mschv.exe → Control

       Avpcc.exe → 将死者病毒 Msgsrv.exe → Coma

       Avpm.exe → 将死者病毒 Msgsvc.exe → 火凤凰

       Avserve.exe → 震荡波病毒 Msgsvr.exe → Acid Shiver

       Bbeagle.exe → 恶鹰蠕虫病毒 Msie5.exe → Canasson

       Brainspy.exe → BrainSpy vBeta Msstart.exe → Backdoor.livup

       Cfiadmin.exe → 将死者病毒 Mstesk.exe → Doly 1.1-1.5

       Cfiaudit.exe → 将死者病毒 Netip.exe → Spirit Beta

       Cfinet.exe → 将死者病毒 Netspy.exe → 网络精灵

       Checkdll.exe → 网络公牛 Notpa.exe → Backdoor

       Cmctl.exe → Back Construction Odbc.exe → Telecommando

       Command.exe → AOL Trojan Pcfwallicon.exe → 将死者病毒

       Diagcfg.exe → 广外女生 Pcx.exe → Xplorer

       Dkbdll.exe → Der Spaeher Pw.exe → 将死者病毒

       Dllclient.exe → Bobo Recycle - Bin.exe → s**tHeap

       Dvldr.exe → 口令病毒 Regscan.exe → 波特后门变种

       Esafe.exe → 将死者病毒 Tftp.exe → 尼姆达病毒

       Expiorer.exe → Acid Battery Thing.exe → Thing

       Feweb.exe → 将死者病毒 User.exe → Schwindler

       Flcss.exe → Funlove病毒 Vp.exe → 将死者病毒

       Frw.exe → 将死者病毒 Vpcc.exe → 将死者病毒

       Icload.exe → 将死者病毒 Vpm.exe → 将死者病毒

       Icloadnt.exe → 将死者病毒 Vsecomr.exe → 将死者病毒

       Icmon.exe → 将死者病毒 Server.exe → Revenger, WinCrash, YAT

       Icsupp.exe → 将死者病毒 Service.exe → Trinoo

       Iexplore.exe → 恶邮差病毒 Setup.exe → 密码病毒或Xanadu

       Rpcsrv.exe → 恶邮差病毒 Sockets.exe → Vampire

       Rundll.exe → SCKISS爱情森林 Something.exe → BladeRunner

       Rundll.exe→ 狩猎者病毒 Spfw.exe → 瑞波变种PX

       Runouce.exe → 中国黑客病毒 Svchost.exe (线程) → 蓝色代码

       Scanrew.exe → 传奇终结者 Sysedit.exe → SCKISS爱情森林

       Scvhost.exe → 安哥病毒 Sy***plor.exe → wCrat

       Server 1. 2.exe → Spirit 1.2fixed Sy***plr.exe → 冰河

       Intel.exe → 传奇叛逆 Syshelp.exe → 恶邮差病毒

       Internet.exe → 传奇幽灵 Sysprot.exe → Satans Back Door

       Internet.exe → 网络神偷 Sysrunt.exe → Ripper

       Kernel.exe → Transmission Scount System.exe → s**tHeap

       Kernel.exe → 坏透了或冰河 System.exe → DeepThroat 1.0

       Kiss.exe → 传奇天使 Systray.exe → DeepThroat 2.0-3.1

       Krn.exe → 求职信病毒 Syswindow.exe → Trojan Cow

       Libupdate.exe → BioNet Task_Bar.exe

       近期高危病毒/木马:

       病毒名称：熊猫烧香

       病毒名称：U盘破坏者

       最新病毒报告:

       病毒名称：Win.Mitglieder.DU

       病毒别名：Email-Worm.Win.Bagle.gi

       发现日期：/2/

       病毒种类：特洛伊木马

       病毒危害等级：★★★★★

       病毒原理及基本特征：

       Win.Mitglieder.DU是一种特洛伊病毒，能够在被感染机器上打开一个后门，并作为一个SOCKS 4/5代理。特洛伊还会定期的连接与感染相关的信息的网站。病毒的主要运行程序大小为,字节。

       感染方式：

       病毒的主体程序运行时，会复制到：

       %System%\wintems.exe

       Mitglieder.DU生成以下注册表，以确保每次系统启动时运行病毒：

       HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe = "%System%\wintems.exe"

       注：'%System%'是一个可变的路径。病毒通过查询操作系统来决定System文件夹的位置。Windows and NT默认的系统安装路径是C:\Winnt\System; , 和 ME 的是C:\Windows\System; XP 的是C:\Windows\System。

       危害：

       SOCKS Proxy

       Mitglieder.DU在端口打开一个SOCKS 4/5代理。

       病毒名称:“勒索者（Harm.Extortioner.a）”

       病毒危害等级:★★★☆

       依赖系统：WIN9X/NT//XP。

       病毒种类：恶意程序

       病毒原理及基本特征：

       该恶意程序采用E语言编写，运行后会将用户硬盘上除系统盘的各个分区的文件删除，将自身复制到根目录下，试图通过优盘、移动硬盘等移动存储设备传播，并会建立一个名为“警告”的文件。同时该病毒还会弹出内容为：“警告：发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs****9@yahoo.com.cn购买相应的软件”的窗口，向用户进行勒索.

       病毒名称：“情人节”（Vbs_Valentin.A）

       病毒种类：脚本类病毒

       发作日期：2月日

       危害程度：病毒主要通过电子邮件和mIRC（Internet 在线聊天系统）进行传播， 并在2月日“情人节”这一天，将受感染的计算机系统中C盘下的文件进行重命名，在其原文件名后增加后缀名“.txt”，并用一串西班牙字符覆盖这些文件的内容，造成计算机系统无法正常使用

       计算机病毒疫情监测周报

       1

       “威金”（ Worm_Viking ）

       它主要通过网络共享进行传播，会感染计算机系统中所有文件后缀名为.EXE的可执行文件，导致可执行文件无法正常启动运行，这当中也包括计算机系统中防病毒软件，蠕虫变种会终止防病毒软件，进而导致其无法正常工作。其传播速度十分迅速，一旦进入局域网络，很快就会导致整个局域网络瘫痪。它还会在受感染的计算机系统里运行后，会修改系统注册表的自启动项，以使蠕虫随计算机系统启动而自动运行。

       2 “网络天空”变种(Worm_Netsky.D)

       该病毒通过邮件传播，使用UPX压缩。运行后，在%Win dows％目录下生成自身的拷贝，名称为Winlogon.exe。 （其中，%Windows% 是Windows的默认文件夹，通常是 C:\Windows 或 C:\WINNT），病毒使用Word的图标，并在共享文件夹中生成自身拷贝。病毒创建注册表项，使得自身能够在系统启动时自动运行。病毒邮件的发信人、主题、内容和附件都是不固定的。

       3 “高波”（Worm_AgoBot）

       该病毒是常驻内存的蠕虫病毒，利用RPC DCOM 缓冲区溢出漏洞、IIS5/WEBDAV 缓冲区溢出漏洞和RPC Locator 漏洞进行传播，还可通过弱密码攻击远程系统进行主动传播以及利用mIRC软件进行远程控制和传播。病毒运行后，在%System％文件夹下生成自身的拷贝nvchip4.exe。添加注册表项，使得自身能够在系统启动时自动运行。

       4 Worm_Mytob.X

       该病毒是Worm_Mytob变种，并利用自身的SMTP引擎按照邮件地址列表中的邮件地址向外发送病毒邮件。该病毒还可以通过网络的共享文件夹进行搜索并尝试在这些文件夹中产生自身的拷贝文件。还具有后门功能，会使用不同的端口连接到指定的服务器上面，该服务器监听来自远程恶意用户的指令，利用这个指令远程用户可以控制受感染机器。同时，该变种利用一个任意的端口建立一个 FTP服务器，远程用户可以下载或上传文件或是恶意程序

谁有FreeBSD的使用手册啊？

       .4 拨入服务

       Contributed by Guy Helmer. Additions by Sean Kelly.

        为拨入服务配置FreeBSD系统与连接到终端是非常相似的，除非您正在使用 modem来拨号而不是终端。

       .4.1 外置vs.内置modem

        外置modem看起来很容易拨号。 因为，外置 modem 可以通过储存在非易失性的RAM中的参数来配置，它们通常提供指示器来显示重要的RS-信号的状态。不停闪光的信号灯能给用户留下比较深刻的印象，而且指示器也可以用来查看modem是否正常地工作。

        内置modem通常缺乏非易失性的RAM， 所以对它们的配置可能会限制在通过 DIP 开关来设置。如果您的内置modem有指示灯，您也很难看得到。

       .4.1.1 Modem和线缆

        如果您使用一个外置的 modem，那您将需要适当的电缆线。一个标准的串口线应当足够长以至普通的信号能够连接上：

       表 -4. 信号名称

       缩写 全名

       RD 收到数据 (Received Data)

       TD 传出数据 (Transmitted Data)

       DTR 数据终端就绪 (Data Terminal Ready)

       DSR 数据集就绪 (Data Set Ready)

       DCD 数据载波检测 (Data Carrier Detect) (RS- 的收到线路信号检测器)

       SG 信号地 (Signal Ground)

       RTS 要求发送数据 (Request to Send)

       CTS 允许对方发送数据 (Clear to Send)

        FreeBSD 对速度超过 bps 的情形需要通过 RTS 和 CTS 信号来完成流控制， 通过 CD 信号来检测呼叫响应和挂机，并通过 DTR 信号来在会话结束时对调制解调器进行复位。某些电缆在连接时没有提供全部需要的信号， 这会给您带来问题， 例如在挂断时登录会话不消失，这就有可能是电缆的问题。

        与其它类 UNIX? 操作系统类似， FreeBSD 使用硬件信号来检测呼叫响应， 以及在挂断时挂断并复位调制解调器。 FreeBSD 避免发送命令给调制解调器， 或监视其状态。 如果您熟悉通过调制解调器来连接基于 PC 的 BBS 系统， 这可能看起来有点难用。

       .4.2 串口的考虑

        FreeBSD支持基于 NS， NS， NS 和 NSA 的EIA RS-C通讯接口。 和设备有单字符缓冲。 设备提供了一个 个字符的缓冲，可以提高更多的系统性能。 因为单字符缓冲设备比 个字符的缓冲需要更多的系统资源来工作，所以基于A的接口卡可能更好。 如果系统没有活动的串口， 或有较大的负载， 字符缓冲的卡对于低错误率的通讯来说更好。

       .4.3 快速预览

        对于终端， init 会在每个配置串口上为每个拨入连接产生一个 getty 进程。 例如， 如果一个 modem 被附带在 /dev/ttyd0 中，用命令ps ax可以显示下面这些：

        ? I 0:. /usr/libexec/getty V ttyd0

        当用户拨上modem， 并使用它进行连接时， CD 线就会被 modem 认出。 内核注意到载波信号已经被检测到， 需要完成 getty 端口的打开。 getty 发送一个登录：在指定的初始线速度上的命令行。 Getty 会检查合法的字符是否被接收，在典型的配置中， 如果发现 “垃圾”， getty 就会设法调节线速度，直到它接收到合理的字符。

        用户在键入他/她的登录名称后， getty执行/usr/bin/login， 这会要求用户输入密码来完成登录，然后启动用户的shell。

       .4.4 配置文件

        如果希望允许拨入您的 FreeBSD 系统， 在 /etc 目录中有三个系统配置文件需要您关注。 其一是 /etc/gettytab，其中包含用于 /usr/libexec/getty 服务的配置信息。 其二是 /etc/ttys， 它的作用是告诉 /sbin/init 哪些 tty 设备上应该运行 getty。 最后，关于端口的初始化命令， 应放到 /etc/rc.d/serial 脚本中。

        关于在 UNIX 上配置拨入调制解调器有两种主要的流派。一种是将本地计算机到调制解调器的 RS- 接口配置为固定速率。 这样做的好处是，远程用户总能立即见到系统的登录提示符， 而其缺点则是，系统并不知道用户真实的数据速率是多少， 因而， 类似 Emacs 这样的程序， 也就无法调整它们绘制屏幕的方式， 以便为慢速连接改善响应时间。

        另一种流派将调制解调器的 RS- 接口速率配置为随远程用户的连接速率变化。 例如， 对 V.bis (.4 Kbps) 连接， 调制解调器会让自己的 RS- 接口以 .2 Kbps 的速率运行， 而 bps 连接， 则会使调制解调器的 RS- 接口以 bps 的速率运行。 由于 getty 并不能识别具体的调制解调器的连接速率反馈信息， 因此， getty 会以初始速度给出一个 login: 提示， 并检查用户的响应字符。如果用户看到乱码， 则他们应知道此时应按下 Enter 键，直到看到可以辨认的提示符为止。 如果数据速率不匹配， 则 getty 会将用户输入的任何信息均视为 “乱码”， 并尝试以下一种速率来再次给出 login: 提示符。 这一过程可能需要令人作呕地重复下去， 不过一般而言，用户只要敲一两下键盘就能看到正确的提示符了。 显然， 这种登录过程看起来不如前面所介绍的 “锁定速率” 方法那样简单明了， 但使用低速连接的用户，却可以在运行全屏幕程序时得到更好的交互响应。

        这一节将尽可能公平地介绍关于配置的信息，但更着力于介绍调制解调器速率随连接速率变化的配置方法。

       .4.4.1 /etc/gettytab

        /etc/gettytab是一个用来配置 getty 信息的 termcap 风格的文件。 请看看 gettytab 的联机手册了解完整的文件格式和功能列表。

       .4.4.1.1 锁定速度的配置

        如果您把您的modem的数据通讯率锁定在一个特殊的速度上， 您不需要对 /etc/gettytab 文件作任何变化。

       .4.4.1.2 匹配速度的配置

        您将需要在 /etc/gettytab 中设置一个记录来告诉 getty 您希望在 modem 上使用的速度。 如果您的 modem 的速率是 bit/s， 则可以使用现有的 D 的记录。

       #

       # Fast dialup terminals, // rotary (can start either way)

       #

       D|d|Fast-Dial-:\

        :nx=D:tc=-baud:

       3|D|Fast-Dial-:\

        :nx=D:tc=-baud:

       5|D|Fast-Dial-:\

        :nx=D:tc=-baud:

        如果您有一个更高速度的 modem， 必须在 /etc/gettytab 中添加一个记录。 下面是一个让您可以以最高 .2 Kbit/s 的用在 .4 Kbit/s的modem上的接口记录：

       #

       # Additions for a V.bis Modem

       #

       um|V|High Speed Modem at ,8-bit:\

        :nx=V:tc=std.:

       un|V|High Speed Modem at ,8-bit:\

        :nx=V:tc=std.:

       uo|V|High Speed Modem at ,8-bit:\

        :nx=V:tc=std.:

       up|V|High Speed Modem at ,8-bit:\

        :nx=V:tc=std.:

       uq|V|High Speed Modem at ,8-bit:\

        :nx=V:tc=std.:

        这样做的结果是 8-数据位， 没有奇偶校验的连接。

        上面使用.2 Kbit/s的连接速度的例子，也可以使用 bit/s (for V.)， bit/s， bit/s， bit/s， 直到 .2 Kbit/s。 通讯率的调节使用 nx= (“next table”) 来实现。 每条线使用一个 tc= (“table continuation”) 的记录来加速对于一个特殊传输率的标准设置。

        如果您有.8 Kbit/s的modem，或您想使用它的 .4Kbit/s 模式，就需要使用一个更高的超过 .2 Kbit/s 的通讯速度的 modem。 这是一个启动 .6 Kbit/s 的 gettytab 记录的例子：

       #

       # Additions for a V.bis or V. Modem

       # Starting at .6 Kbps

       #

       vm|VH|Very High Speed Modem at ,8-bit:\

        :nx=VH:tc=std.:

       vn|VH|Very High Speed Modem at ,8-bit:\

        :nx=VH:tc=std.:

       vo|VH|Very High Speed Modem at ,8-bit:\

        :nx=VH:tc=std.:

       vp|VH|Very High Speed Modem at ,8-bit:\

        :nx=VH:tc=std.:

       vq|VH|Very High Speed Modem at ,8-bit:\

        :nx=VH:tc=std.:

        如果您的 CPU 速度较低， 或系统的负荷很重， 而且没有 A 的串口，您可能会在.6 Kbit/s 上得到 “sio” “silo”错误。

       .4.4.2 /etc/ttys

        /etc/ttys文件的配置在 例 -1中介绍过。 配置 modem 是相似的， 但我们必须指定一个不同的终端类型。锁定速度和匹配速度配置的通用格式是：

       ttyd0 "/usr/libexec/getty xxx" dialup on

        上面的第一条是这个记录的设备特定文件 —— ttyd0 表示 /dev/ttyd0 是这个 getty 将被监视的文件。 第二条 "/usr/libexec/getty xxx" 是将运行在设备上的进程 init。 第三条，dialup，是默认的终端类型。 第四个参数， on， 指出了线路是可操作的 init。也可能会有第五个参数， secure， 但它将只被用作拥有物理安全的终端 (如系统终端)。

        默认的终端类型可能依赖于本地参考。 拨号是传统的默认终端类型，以至用户可以定制它们的登录脚本来注意终端什么时候拨号， 和自动调节它们的终端类型。 然而，作者发现它很容易在它的站点上指定 vt 作为默认的终端类型，因为用户刚才在它们的远程系统上使用的是VT模拟器。

        您对/etc/ttys作修改之后，您可以发送 init 进程给一个 HUP 信号来重读文件。您可以使用下面的命令来发送信号：

       # kill -HUP 1

       如果这是您的第一次设置系统， 您可能要在发信号 init 之前等一下，等到您的 modem 正确地配置并连接好。

       .4.4.2.1 锁定速度的配置

        对于一个锁定速度的配置，您的 ttys 记录必须有一个为 getty 提供固定速度的记录。 对于一个速度被锁定在 .2kbit/s 的 modem， ttys 记录是这样的：

       ttyd0 "/usr/libexec/getty std." dialup on

        如果您的 modem 被锁定在一个不同的数据速度， 为 std.speed 使用适当的速度来代替 std.。 确信您使用了一个在 /etc/gettytab 中列出的正确的类型。

       .4.4.2.2 匹配速度的设置

        在一个匹配速度的设置中，您的 ttys 录需要参考在 /etc/gettytab 适当的起始 “auto-baud” 记录。 例如， 如果您为一个以 .2 Kbit/s 开始的可匹配速度的 modem 添加上面建议的记录， 您的 ttys 记录可能是这样的：

       ttyd0 "/usr/libexec/getty V" dialup on

       .4.4.3 /etc/rc.d/serial

        高速调制解调器， 如使用 V.、 V.bis， 以及 V. 的那些， 需要使用硬件 (RTS/CTS) 流控制。 您可以在 /etc/rc.d/serial 中增加 stty 命令来在 FreeBSD 内核中， 为调制解调器设置硬件流控制标志。

        例如， 在 1 号串口 (COM2) 拨入和拨出设备上配置 termios 标志 crtscts， 可以通过在 /etc/rc.d/serial 增加下面的设置来实现：

       # Serial port initial configuration

       stty -f /dev/ttyd1.init crtscts

       stty -f /dev/cuad1.init crtscts

       .4.5 Modem 设置

        如果您有一个 modem， 它的参数能被存储在非易失性的 RAM 中，您将必须使用一个终端程序来设置参数 （比如 MS-DOS? 下的 Telix 或者 FreeBSD 下的 tip）。使用同样的通讯速度来连接 modem 作为初始速度 getty 将使用和配置 modem 的非易失性 RAM 来适应这些要求：

       连接时宣告 CD

       操作时宣告 DTR； DTR 消失时挂断线路并复位调制解调器

       CTS 传输数据流控制

       禁用 XON/XOFF 流控制

       RTS 接收数据流控制

       宁静模式 (无返回码)

       无命令回显

        请阅读您 modem 的文档找到您需要用什么命令和 DIP 接口设置。

        例如，要在一个 U.S. Robotics? Sportster? 的外置 modem 上设置上面的参数，可以用下面这些命令：

       ATZ

       AT&C1&D2&H1&I0&R2&W

        您也可能想要在 modem 上寻找机会调节这个设置， 例如它是否使用 V.bis 和 MNP5 压缩。

        外置 modem 也有一些用来设置的 DIP 开关， 也许您可以使用这些设置作为一个例子：

       Switch 1: UP —— DTR Normal

       Switch 2: N/A (Verbal Result Codes/Numeric Result Codes)

       Switch 3: UP —— Suppress Result Codes

       Switch 4: DOWN —— No echo, offline commands

       Switch 5: UP —— Auto Answer

       Switch 6: UP —— Carrier Detect Normal

       Switch 7: UP —— Load NVRAM Defaults

       Switch 8: N/A (Smart Mode/Dumb Mode)

        在拨号 modem 上的结果代码应该被 禁用/抑制， 以避免当 getty 在 modem 处于命令模式并回显输入时错误地给出 login: 提示时可能造成的问题。 这样可能导致 getty 与 modem 之间产生更长的不必要交互。

       .4.5.1 锁定速度的配置

        对于锁定速度的配置， 您需要配置 modem 来获得一个不依赖于通讯率的稳定的 modem到计算机 的传输率。 在一个 U.S. Robotics Sportster 外置 modem 上， 这些命令将锁定 modem 到计算机的传输率：

       ATZ

       AT&B1&W

       .4.5.2 匹配速度的配置

        对于一个变速的配置， 您需要配置 modem 调节它的串口传输率匹配接收的传输率。 在一个 U.S. Robotics Sportster 的外置 modem 上， 这些命令将锁定 modem 的错误修正传输率适合命令要求的速度，但允许串口速度适应没有纠错的连接：

       ATZ

       AT&B2&W

       .4.5.3 检查modem的配置

        大多数高速的modem提供了用来查看当前操作参数的命令。 在USR Sportster 外置modem上， 命令 ATI5 显示了存储在非易失性RAM中的设置。要看看正确的 modem 操作参数， 可以使用命令 ATZ 然后是 ATI4。

        如果您有一个不同牌子的 modem， 检查 modem 的使用手册看看如何双重检查您的 modem 的配置参数。

       .4.6 问题解答

        这儿是几个检查拨号modem的步骤。

       .4.6.1 检查FreeBSD系统

        把您的modem连接到FreeBSD系统， 启动系统， 然后， 如果您的 modem 有一个指示灯，当登录时看看 modem 的 DTR 指示灯是否亮： 会在系统控制台出现命令行——如果它亮， 意味着 FreeBSD 已经在适当的通讯端口启动了一个 getty 进程， 等待 modem 接收一个呼叫。

        如果DTR指示灯不亮， 通过控制台登录到 FreeBSD系统，然后执行一个 ps ax 命令来看 FreeBSD 是否正在正确的端口运行 getty进程。您将在进程显示中看到像这样的一行：

        ? I 0:. /usr/libexec/getty V ttyd0

        ? I 0:. /usr/libexec/getty V ttyd1

        如果您看到是这样的：

        d0 I 0:. /usr/libexec/getty V ttyd0

        modem 不接收呼叫， 这意味着 getty 已经在通讯端口打开了。这可以指出线缆有问题或 modem 错误配置， 因为 getty 无法打开通讯端口。

        如果您没有看到任何 getty 进程等待打开想要的 ttydN 端口， 在 /etc/ttys 中双击您的记录看看那儿是否有错误。 另外，检查日志文件 /var/log/messages 看看是否有一些来自 init 或 getty 的问题日志。 如果有任何信息， 仔细检查配置文件 /etc/ttys 和 /etc/gettytab，还有相应的设备文件 /dev/ttydN，是否有错误，丢失记录，或丢失了设备指定文件。

       .4.6.2 尝试接入Try Dialing In

        设法拨入系统。 确信使用8位， 没有奇偶检验， 在远程系统上的1阻止位。如果您不能立刻得到一个命令行， 试试每隔一秒按一下 Enter。如果您仍没有看到一个登录： 设法发送一个 BREAK。如果您正使用一个高速的 modem 来拨号， 请在锁定拨号 modem 的接口速度后再试试。

        如果您不能得到一个登录：prompt，再检查一下 /etc/gettytab，重复检查：

       在/etc/ttys 中指定的初始可用的名称与 /etc/gettytab 的一个可用的相匹配。

       每个 nx= 记录与另一个 gettytab 可用名称匹配。

       每个 tc= 记录与另一个 gettytab可用名称相匹配。

        如果您拨号但 FreeBSD 系统上的 modem 没有回应， 确信 modem 能回应电话。 如果 modem 看起来配置正确了， 通过检查 modem 的指示灯来确认 DTR 线连接正确。

        如果您做了好几次，它仍然无法工作，打断一会，等会再试试。 如果还不能工作，也许您应该发一封电子邮件给 FreeBSD 一般问题邮件列表 寻求帮助。

在进程里到底可以看到什么

       进程就是系统中正在执行的一个程序，进程是由进程控制块、程序段、数据段三部分组成。 具体的不是一句话就可以说明白的 你可以到这里看看 /view/.htm 我这人有点懒不喜欢到处复制

       alg.exe alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。

       ccapp.exe ccapp.exe是Norton AntiVirus 反病毒软件的一部分。它能够自动保护你的计算机安全。

       ccevtmgr.exe ccevtmgr.exe是Norton Internet Security网络安全套装的一部分。该进程会同反病毒与防火墙程序同时安装。

       ccmexec.exe ccmexec.exe是微软SMS操作系统服务。该SMS Agent Host服务在其它服务之上。这个程序对你系统的正常运行是非常重要的。

       ccSetMgr.exe ccsetmgr.exe是Symantec公司网络安全套装的一部分。

       conime.exe 是输入法编辑器相关程序。注意：conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机，窃取密码和个人数据。建议立即删除此进程。

       csrss.exe csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。注意：csrss.exe也有可能是W.Netsky.AB@mm、W.Webus Trojan、Win.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播，当你打开附件时，即被感染。该蠕虫会在受害者机器上建立SMTP服务，用以自身传播。该病毒允许攻击者访问你的计算机，窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。

       ctfmon.exe ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序，和微软Office XP语言条。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

       Cvslock.exe CVSNT相关进程,N/A级（无危险）。

       Cvsservice.exe cvsservice.exe is 一个属于cvs 套件中的版本套件进程.这个程序时一个不重要的进程, 不错除非怀疑会引起问题，否则不应该终止这个进程。

       Daemon.exe daemon.exe是一个后台程序，用于打开例如iso之类的镜像文件，做成虚拟光驱文件。

       defwatch.exe defwatch.exe是Norton Antivirus反病毒企业版的一部分，用于检查病毒库特征文件是否有新的升级。

       Fppdis1.exe FinePrintpdfFactory虚拟打信啮息豁进彦程遂库蹭息观processlib.net延bbs.processlib.net授www.processlib.net绑www.processlib.net愿印软件，可以用来生成PDF文件

       Fwcagent.exe MicrosoftFirewallCli信舷息千进矩程卸库唾息档processlib.net蚤bbs.processlib.net心www.processlib.net剃www.processlib.net膜ent微软防火墙相关进程。这个进程可以确保系统安全，不能被删除。

       Hkcmd.exe hkcmd.exe是Intel显示卡相关程序，用于配置和诊断相关设备。

       Isuspm.exe isuspm.exe是Macrovision公司InstallShield安装程序相关软件。

       该进程用于自动检测更新。

       lsass.exe lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

       Mdm.exe mdm.exe is是微软Windows进程除错程序。用于使用可视化脚本工具对Internet Explorer除错。注意：该进程同时可能是Win.Lydra.a木马，该木马允许攻击者访问你的计算机，窃取密码和个人数据。

       Msmsgs.exe msmsgs.exe是MSN Messenger网络聊天工具的主程序。

       默认随Windows安装。它会在系统托盘显示图标，用于快速访问。它的功能包括网络聊天、文件共享以及音频/视频会议。注意：msmsgs.exe同时可能是W.Alcarys.B@mm蠕虫病毒。该蠕虫通过Email进行传播，当你打开病毒发送的附件时，即会被感染。该蠕虫会在受害者机器上创建SMTP服务，用于自身传播。该蠕虫允许攻击者访问你的计算机，窃取密码和个人数据。

       Pinyinup.exe 搜狗拼音输入法的进程.

       Rtvscan.exe rtvscan.exe是Symantec Internet Security网络安全套装的一部分。它用于实时扫描病毒，保护你的系统免受病毒的威胁。

       Savroam.exe savroam.exe是Symantec AntiVirus反病毒套装的一部分。用于提供用户支持。

       Service.exe services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意：services也可能是W.Randex.R(储存在%systemroot%\system\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

       smss.exe smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能是Win.Ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

       spoolsv.exe spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全级别是建议立即删除。

       Ssexp.exe VSS的一个组件进程。

       VisualSourceSafe(简称VSS)是MicrosoftVisualStudio6.0这个开发产品家信汉息橱进秽程页库技息舜processlib.net闸bbs.processlib.net翟www.processlib.net裸www.processlib.net延族的一员，VSS主要功能是对项目进行版本控制和源码控制，它能够详细记录一个源码文件从创建到发布的所有修改和版本信息，而且还可以让你查看所有历史记录并对不同时间的源码进行比较分析，恢复代码到某一时刻和版本状态。VSS具有强大的用户管理权限，可以对每个用户设置R(Read)、C(CheckOut)、A(Add)、D(Destroy)权限，非常适合团队开发

       svchost.exe svchost.exe是一个属于微软Windows操作系统的系统程序，用于执行DLL文件。这个程序对你系统的正常运行是非常重要的。注意：svchost.exe也有可能是W.Welchia.Worm病毒，它利用Windows LSASS漏洞，制造缓冲区溢出，导致你计算机关机。该进程的安全等级是建议立即删除。

       System Idle Process System Idle Process不是一个进程，更多用于统计剩余的CPU资源情况。无法删除。

       System window 系统进程，在任务管理器中会看到这项进程，属于正常系统进程。

       taskmgr.exe taskmgr.exe用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开，这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

       Vptray.exe VPTray.exe是Norton AntiVirus反病毒软件的系统托盘程序。它用于快速访问Norton Antivirus反病毒软件。

       Wdfmgr.exe wdfmgr.exe是微软Microsoft Windows media player 播放器的一部分。

       该进程用于减少兼容性问题。

       Winlogon.exe WindowsLogonProcess，WindowsNT用户登陆程序，管理用户登录和退出。该进程的正常路径应是C:\Windows\System且是信体息纸进拓程澎库簇息浑processlib.net纬bbs.processlib.net魂www.processlib.net在www.processlib.net海以SYSTEM用户运行，若不是以上路径且不以SYSTEM用户运行，则可能是病毒程序(如灰鸽子)。

       Winvnc4.exe RealVNC(原信涂息哲进淹程镀库居息葬processlib.net舷bbs.processlib.net登www.processlib.net舷www.processlib.net糟名WinVNC)远程控制软件。

       wmiprvse.exe wmiprvse.exe是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI(Windows Management Instrumentation)操作。这个程序对你系统的正常运行是非常重要的