|
|
|
| conime.exe進程詳解 |
| 作者 pctartarusadmin 查看 2370 發表時間 2009/5/26 22:21 【論壇瀏覽】 |
|
進程文件: conime 或者 conime.exe 進程名稱: conime 描述: conime.exe是輸入法編輯器相關程序。注意:conime.exe同時可能是一個bfghost1.0遠程控制後門程序。此程序允許攻擊者訪問你的計算機,竊取密碼和個人數據。建議立即刪除此進程。 出品者: 微軟 屬於: Microsoft 系統進程: 否 後台程序: 否 使用網絡: 否 硬件相關: 否 常見錯誤: 未知N/A 內存使用: 未知N/A 安全等級 (0-5): 4 間諜軟件: 否 廣告軟件: 否 病毒: 否 木馬: 否 很多人問conime.exe是什麼進程,而大部分人會參照國內外網上的進程描述,說是病毒並教他們怎麼結束他。 大家都知道在運行cmd.exe之後進程中會出現一個conime.exe的進程。 網上的關於進程的描述不管是國內還是國外都說他是個病毒…… 當然也許病毒和他重名,但是不能一概而論吧? 有人說conime.exe是cmd.exe的子進程。 我現在來仔細查看一下conime。 在這裡sunwear用的是KD,察看一下conime.exe的eprocess的InheritedFromUniqueProcessId 是否是cmd.exe的eprocess的UniqueProcessId 如果是的話,那能說明conime.exe是cmd.exe的子進程。那我們來看看。 PROCESS 817217c0 SessionId: 0 Cid: 04dc Peb: 7ffdf000 ParentCid: 032c DirBase: 1558f000 ObjectTable: 8170d168 TableSize: 18. Image: conime.exe PROCESS 81733460 SessionId: 0 Cid: 038c Peb: 7ffdf000 ParentCid: 02f8 DirBase: 056a1000 ObjectTable: 81692288 TableSize: 22. Image: cmd.exe 然後察看一下conime.exe的eprocess nt!_EPROCESS .................. +0x09c UniqueProcessId : 0x000004dc .................. +0x1c8 InheritedFromUniqueProcessId : 0x0000032c .................. conime.exe的進程ID是0x000004dc。父進程是0x0000032c 我們在來看看cmd.exe nt!_EPROCESS .............. +0x09c UniqueProcessId : 0x0000038c .............. 也就是說conime.exe並不是cmd.exe的子進程。 而conime.exe的父進程ID 並沒有在任務管理器中 從名字上看conime.exe是跟輸入法有關的。的確他就是處理控制台輸入法相關的一個程序。 我們可以做個試驗。首先我們運行cmd.exe,然後用ctrl+shift切換輸入法,可以切換吧? 我們用任務管理器把conime結束掉,然後在試試?結果如何? 我覺得如果要寫解釋的話 一定要給出ms的原始程序的作用.它是windows操作系統的中的正常進程。可以在附加解釋中說明有些病毒與他同名。 就像service explorer svchost 等等一樣。如果他們被病毒付身(屢見不鮮)。那麼進程描述該寫什麼呢?寫service explorer svchost 都是病毒麼?在這裡真要為conime.exe喊冤了。 解決方法: 第一步首先結速conime.exe進程,然後在system32中找到conime.exe將其刪除。 第二步修改註冊表找到:"HKEY_CURRENT_USER\Console"中的"LoadConIme"修改為"0"即可 -------------------------------------- conime.exe進程說明:conime.exe是輸入法編輯器,允許用戶使用標準鍵盤就能輸入複雜的字符與符號! conime.exe同時可能是一個bfghost1.0遠程控制後門程序。此程序允許攻擊者訪問你的計算機,竊取密碼和個人數據。建議立即刪除此進程。」 以前總是不知什麼時候這個進程就悄悄啟動了,後來才發現往往在運行cmd.exe之後會出現。但是conime.exe並不是cmd.exe的子進程,它的的父進程ID並沒有在任務管理器中顯示。 conime經常會被病毒利用感染,建議刪除。 資料來源:http://www.xker.com/page/e2008/1010/62801.html |
| 序號 | 評論者 | 共有評論 0 【論壇瀏覽】 【發表評論】 | 評論時間 |
| 當前無任何評論,或評論已被禁止顯示 | |||
共有評論數 0 每頁顯示 10
|
|||