進程文件： conime 或者 conime.exe

進程名稱： conime

描述：
conime.exe是輸入法編輯器相關程序。注意：conime.exe同時可能是一個bfghost1.0遠程控制後門程序。此程序允許攻擊者訪問你的計算機，竊取密碼和個人數據。建議立即刪除此進程。


出品者： 微軟
屬於： Microsoft

系統進程： 否
後台程序： 否
使用網絡： 否
硬件相關： 否
常見錯誤： 未知N/A
內存使用： 未知N/A
安全等級 (0-5): 4
間諜軟件： 否
廣告軟件： 否
病毒： 否
木馬： 否

很多人問conime.exe是什麼進程，而大部分人會參照國內外網上的進程描述，說是病毒並教他們怎麼結束他。
大家都知道在運行cmd.exe之後進程中會出現一個conime.exe的進程。
網上的關於進程的描述不管是國內還是國外都說他是個病毒……
當然也許病毒和他重名，但是不能一概而論吧？
有人說conime.exe是cmd.exe的子進程。
我現在來仔細查看一下conime。
在這裡sunwear用的是KD，察看一下conime.exe的eprocess的InheritedFromUniqueProcessId 是否是cmd.exe的eprocess的UniqueProcessId
如果是的話，那能說明conime.exe是cmd.exe的子進程。那我們來看看。
PROCESS 817217c0 SessionId: 0 Cid: 04dc Peb: 7ffdf000 ParentCid: 032c
DirBase: 1558f000 ObjectTable: 8170d168 TableSize: 18.
Image: conime.exe

PROCESS 81733460 SessionId: 0 Cid: 038c Peb: 7ffdf000 ParentCid: 02f8
DirBase: 056a1000 ObjectTable: 81692288 TableSize: 22.
Image: cmd.exe
然後察看一下conime.exe的eprocess
nt!_EPROCESS
..................
+0x09c UniqueProcessId : 0x000004dc
..................
+0x1c8 InheritedFromUniqueProcessId : 0x0000032c
..................
conime.exe的進程ID是0x000004dc。父進程是0x0000032c

我們在來看看cmd.exe
nt!_EPROCESS
..............
+0x09c UniqueProcessId : 0x0000038c
..............
也就是說conime.exe並不是cmd.exe的子進程。
而conime.exe的父進程ID 並沒有在任務管理器中


從名字上看conime.exe是跟輸入法有關的。的確他就是處理控制台輸入法相關的一個程序。
我們可以做個試驗。首先我們運行cmd.exe，然後用ctrl+shift切換輸入法，可以切換吧？
我們用任務管理器把conime結束掉，然後在試試？結果如何？
我覺得如果要寫解釋的話 一定要給出ms的原始程序的作用.它是windows操作系統的中的正常進程。可以在附加解釋中說明有些病毒與他同名。
就像service explorer svchost 等等一樣。如果他們被病毒付身（屢見不鮮）。那麼進程描述該寫什麼呢？寫service explorer svchost 都是病毒麼？在這裡真要為conime.exe喊冤了。

解決方法：

第一步首先結速conime.exe進程，然後在system32中找到conime.exe將其刪除。
第二步修改註冊表找到："HKEY_CURRENT_USER\Console"中的"LoadConIme"修改為"0"即可
--------------------------------------
conime.exe進程說明：conime.exe是輸入法編輯器，允許用戶使用標準鍵盤就能輸入複雜的字符與符號! conime.exe同時可能是一個bfghost1.0遠程控制後門程序。此程序允許攻擊者訪問你的計算機，竊取密碼和個人數據。建議立即刪除此進程。」
以前總是不知什麼時候這個進程就悄悄啟動了，後來才發現往往在運行cmd.exe之後會出現。但是conime.exe並不是cmd.exe的子進程，它的的父進程ID並沒有在任務管理器中顯示。
conime經常會被病毒利用感染，建議刪除。


資料來源:http://www.xker.com/page/e2008/1010/62801.html