wmiprvse攻击,wmiprvSE
Win7系统中WmiPrvSE是什么进程?WmiPrvSE.exe会是病毒吗
WmiPrvSE.exe进程程序文件是微软为其发布的Windows操作系统定义的一个系统进程,官方描述为:WMI Provider Host(Windows管理规范主机),WMI即Windows Management Instrumentation(Windows管理规范)。其功能将用于通过WinMgmt.exe程序处理WMI操作,WMI可以管理和控制运行环境,使系统管理员查询和修改桌面上、应用程序和网路上的信息,Windows程序开发人员可使用WmiPrvSE.exe开发应用用于监视目的程序,提醒用户系统上重要事件的发生。
由于WMI属于有着几个其它服务的一个共享服务宿主,从Windows XP开始为了避免当一个提供程序失败时停止所有服务,提供程序被载入到一个单独的服务宿主:WMI Provider Host,即WmiPrvSE.exe程序, WMI核心WinMgmt.exe被装载到本地名为Svchost.exe的共享服务主机。本进程可以有多个实例同时运行在不同的帐户下:比如NetworkService、LocalService或者当前用户名下。
作为Windows系统自身的一个程序,WmiPrvSE.exe进程的运行通常是安全的,如果不是出现下文中描述病毒感染或过多的CPU占用等情况,不建议大家将services.exe进程结束,或者移动本进程程序文件的位置。
本进程所在位置:C:\Windows\System32\wbem(开头的C标示系统安装所在分区盘符)
WmiPrvSE.exe病毒
任何Windows系统自身的进程都是木马病毒的感染目标,他们通常会采用相同或类似的名称或者直接注入或替换掉原本真实的WmiPrvSE.exe程序来迷惑用户。相关病毒已被杀毒软件厂商拦截,不如W32/SillyFDC-AW(该蠕虫通过移动驱动器,如USB闪存驱动器和外部硬盘驱动器,通过创建一个Autorun.inf文件来自动感染系统后,将设备连接)、W32/Sonebot-B(一个后门木马,允许远程攻击者发出的命令,被感染的电脑俗称为肉鸡)。如果你的系统出现以下情况则有可能感染了相关病毒:
在任务管理器中看到过多的WmiPrvSE.exe同时运行(这也可能是流氓软件所为);本进程不在C:\Windows\System32\wbem目录下;WmiPrvSE.exe占用过多的系统资源也有可能;系统出现本进程的错误提示;
如果出现以上情况请及时更新杀毒软件病毒库对电脑进行全盘查杀,必要时可考虑重装系统。另外,这个进程在Windows XP Service Pack 2中可能出现过多的内存占用情况,这是一个已知的问题,在微软的网站上有一个修补程序KB925623可解决此问题。
以上介绍的就是关于Win7系统中WmiPrvSE是什么进程的一些情况,希望能解开大家的疑惑,建议大家对于不了解的进程,还是不要轻举妄动,免得出现问题。
电脑进程
以下都是系统必须有的进程 1.svchost.exe 进程文件:svchost或者svchost.exe 进程名称:microsoft service host process 描述:svchost.exe是一个属于微软windows操作系统的系统程序,用于执行dll文件。这个程序对你系统的正常运行是非常重要的。注意:svchost.exe也有可能是w32.welchia.worm病毒,它利用windowslsass漏洞,制造缓冲区溢出,导致你计算机关机。请注意此进程的名字,还有一个病毒是svch0st.exe,名字中间的是数字0,而不是英文字母o。请注意此进程所在的文件夹,正常的进程应该是在windows的system32和servicepackfiles\i386下面 2.IEXPLORE.EXE 进程文件:iexplore或者iexplore.exe 进程名称:microsoft internet explorer 描述:iexplore.exe是microsoft internet explorer的主程序。这个微软windows应用程序让你在网上冲浪,和访问本地interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是avant网络浏览器的一部分,这是一个免费的基于internet explorer的浏览器。注意iexplore.exe也有可能是木马.killav.b病毒,该病毒会终止你的反病毒软件,和一些windows系统工具。正常的进程应该是在\programfiles\internetexplorer和system32\dllcache下面 3.rundll32.exe 进程文件:rundll32或者rundll32.exe 进程名称:microsoftrundll32 描述:rundll32.exe用于在内存中运行dll文件,它们会在应用程序中被使用。这个程序对你系统的正常运行是非常重要的。注意:rundll32.exe也可能是w32.miroot.worm病毒。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32和system32\dllcache下面 4.ctfmon.exe 名称: alternative user input services 描述: ctfmon.exe是microsoft office产品套装的一部分。它可以选择用户文字输入程序,和微软office xp语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。 5.WINLOGON.EXE 进程文件:winlogon or winlogon.exe 进程名称:microsoft windows logon process 描述:winlogon.exe是windows域登陆管理器。它用于处理你登陆和退出系统过程。该进程在你系统的作用是非常重要的。注意:winlogon.exe也可能是w32.netsky.d@mm蠕虫病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建smtp引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32下面 6.wdfmgr.exe 进程文件:wdfmgr或者wdfmgr.exe 进程名称:windows driver foundation manager 描述:wdfmgr.exe是微软microsoftwindowsmediaplayer10播放器的相关程序。该进程用于减少兼容性问题。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。 7.alg.exe 进程文件:alg 或者 alg.exe 进程名称: application layer gateway service 描述: alg.exe是微软windows操作系统自带的程序。它用于处理微软windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。 8.smss.exe 进程文件:smss或者smss.exe 进程名称:session manager subsystem 描述:smss.exe是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是win32.ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32和servicepackfiles\i386下面 9.explorer.exe 进程文件:explorer或者explorer.exe 进程名称:microsoft windows explorer 描述:explorer.exe是windows程序管理器或者windows资源管理器,它用于管理windows图形壳,包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致windows图形界面无法适用。注意:explorer.exe也有可能是w32.codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开附件时,就会被感染。该蠕虫会在受害者机器上建立smtp服务,用于更大范围的传播。该蠕虫允许攻击者访问你的计算机,窃取密码和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows和servicepackfiles\i386下面 10.csrss.exe 进程文件:csrss或者csrss.exe 进程名称:microsoft client/server runtime server subsystem 描述:csrss.exe是微软客户端/服务端运行时子系统。该进程管理windows图形相关任务。这个程序对你系统的正常运行是非常重要的。注意:csrss.exe也有可能是[email=w32.netsky.ab@mm]w32.netsky.ab@mm[/email]、w32.webus木马、win32.ladex.a等病毒创建的。该病毒通过email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立smtp服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。请注意此进程所在的文件夹,正常的进程应该是在windows的system32和servicepackfiles\i386下面 11.lsass.exe 进程文件:lsass或者lsass.exe 进程名称:local安全等级作者ityservice 描述:lsass.exe是一个关于微软安全机制的系统进程,主要处理一些特殊的安全机制和登录策略。 12.CONIME.EXE 这个文件则是输入法进程,请注意此进程所在的文件夹,正常的进程应该是在windows的system32和system32\dllcache下面。注意,在非亚洲语言的windows里,conime.exe是一个bfghost1.0远程控制后门程序,允许攻击者访问你的计算机,窃取密码和个人数据。 13.wmiprvse.exe 进程文件:wmiprvse或者wmiprvse.exe 进程名称: microsoft windows management instrumentation 描述: wmiprvse.exe是微软windows操作系统的一部分。用于通过winmgmt.exe程序处理wmi操作。这个程序对你系统的正常运行是非常重要的。 14.timplatform.exe timplatform.exe是qq和tencent messenger共同使用的外部应用开发接口管理程序,属于qq不可或缺的底层核心模块。如果删除该程序,qq将丧失与周边功能模块以及外部应用程序相互调用的功能。 15.realsched.exe 进程文件:realsched或者realsched.exe 进程名称:real networks scheduler 描述:realsched.exe是real networks产品定时升级检测程序。这不是系统必须的进程,通过用户许可协议安装。如终止它,将不能显示升级提示信息。
360提示进程:C:\WINDOWS\system32\wbem\wmiprvse.exe
是中木马了,这个病毒文件在C:\WINDOWS\system32\config\systemprofile\Local Settings文件夹下,是个隐藏进程。开机的时候会自动连接到一个网站上下载不少其他的木马。360 卡巴 瑞星 江民都无效。提供一个替换解决办法:可以先用冰刃把这个进程结束掉 再把Local Settings文件名更改一下就可以防止其再次启动
什么病毒会使电脑自动关机?
这是冲击波病毒 它的危害是: 系统操作异常、不停重启、甚至导致系统崩溃。另外,该病毒还会对微软的一个升级网站进行拒绝服务攻击,导致该网站堵塞,使用户无法通过该网站升级系统。该病毒还会使被攻击的系统丧失更新该漏洞补丁的能力。 其次:有可能是个恶搞的程序 vb就可以编写 你现在要做的是 杀毒 先去下个冲击波专杀的 工具然后 用你的啥毒软件 全盘扫描 以下是来自百度的信息第 1 步:断开 Internet 连接
为了避免出现更多问题,请断开 Internet 连接:
宽带连接用户: 确定连接外置 DSL 或电缆调制解调器的电缆位置,然后从调制解调器或电话线插孔将该电缆拔下。
拨号连接用户:确定连接计算机内置调制解调器与电话线插孔的电缆位置,然后从电话线插孔或从计算机将该电缆拔下。
第 2 步:终止关机周期
此蠕虫会导致 LSASS.EXE 停止响应,此程序使操作系统在 60 秒钟后强行关机。 如果您的计算机开始关机,请按照这些步骤中断可能处于运行状态的任意系统关机进程。
在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
键入“cmd”,然后单击“确定”。
在命令提示符下,键入“shutdown.exe -a”,然后按 ENTER。
第 3 步:减轻漏洞隐患
您可以通过创建日志文件来暂时消除令蠕虫病毒可通过其侵入计算机的漏洞。
创建日志文件
在屏幕底部的任务栏上单击“开始”,然后单击“运行”。
键入“cmd”,然后单击“确定”。
在命令提示符下键入“ echo dcpromo %systemroot%\debug\dcpromo.log ”,然后按 ENTER。
将日志文件设置为只读属性
在命令提示符下键入“attrib +R %systemroot%\debug\dcpromo.log”,然后按 ENTER。
第 4 步:改善系统性能
如果您的计算机反应迟缓或者 Internet 连接速度过慢,则说明蠕虫病毒可能已经在您的局域网连接内扩散。 这会使您无法下载并安装所需的软件更新。 要改善系统性能:
按 CTRL+ALT+DELETE,然后单击“任务管理器”。
对于以下可能列出的每个任务,单击并选中该任务,然后单击“结束任务”按钮,将其结束。
任意以_up.exe 结尾的任务(例如 12345_up.exe)。
任意以avserve 开头的任务(例如 avserve.exe)。
任意以avserve2 开头的任务(例如 avserve2.exe)。
任意以skynetave 开头的任务(例如 skynetave.exe)。
hkey.exe
msiwin84.exe
wmiprvsw.exe
注意:切勿结束 wmiprvse.exe 任务;这是一个合法的系统任务。
第 5 步:启用防火墙
防火墙是一个软件或硬件,能够在计算机和 Internet 之间构筑一道保护屏障。 如果您的计算机已感染病毒,防火墙将有助于限制蠕虫的影响。 Windows XP 包含 Internet 连接防火墙 (ICF)。 要打开 ICF:
在屏幕底部的任务栏上单击“开始”,然后单击“控制面板”。
单击“网络与 Internet 连接”。
(如果未显示“网络与 Internet 连接”,请单击“控制面板”窗口左侧“控制面板”中的“切换到分类视图”。)
单击“网络连接”。
右键单击用于连接至 Internet 的拨号、LAN 或高速 Internet 连接 ,然后单击快捷菜单中的“属性”。
在“Internet 连接防火墙”的“高级”选项卡上,选择“保护我的计算机和网络”,然后单击“确定”。 现在,您便已开始启用 Windows XP 防火墙。
第 6 步:重新连接 Internet
将电缆(参阅第 1 步)重新接回计算机、电话线插孔或调制解调器。
第 7 步:安装所需的更新
要使以后您的计算机不受此蠕虫病毒的感染,您必须下载并安装安全更新 835732,此更新以 Microsoft 安全公告 MS04-011 发布。 要下载安全更新 835732,请转到
第 8 步:检查并移除震荡波蠕虫
在完成安装更新并重新启动计算机后,转到网页 上的“What You Should Know About the Sasser Worm and Its Variants”(对于震荡波蠕虫及其变体您应该了解的信息)。 使用震荡波蠕虫移除工具搜索您的硬盘并移除 Sasser.A、Sasser.B、Sasser.C 和 Sasser.D。
关于 Internet 连接防火墙
Windows XP Internet 连接防火墙能够屏蔽有用的任务,如通过网络共享文件或打印机,在应用程序中传输文件或多人联机游戏等。 虽然如此,Microsoft 建议您使用防火墙来保护您的计算机。
如果您打开了 Internet 连接防火墙,但发现您无法执行某些需要执行的任务,请阅读 上的“How to Open Ports in the Windows XP Internet Connection Firewall”(如何打开 Windows XP Internet 连接防火墙中的端口)。
C:\WINDOWS\system32\wbem\wmiprvse.exe 这个是什么 为什么360一天都说他攻击我的电脑
在
c:\windows\System32
中的
wmiprvse.exe是系统的
在其它文件夹的是病毒,间谍,木马或蠕虫。
你的是后者。应删去wbem\wmiprvse.exe
用360处理
杀毒软件一直显示C:\WINDOWS\system32\wbem\wmiprvse.exe 试图攻击电脑,怎么办?
百度百科里抄来的:
病毒表现为不停调用wmiprvse.exe,或使wmiprvse.exe进程达到数十个。或许不是病毒,只是xp的系统问题。
解决方法如下:
1.建议使用XDelBox删除以下文件(如果存在):
(使用说明:解压安装在系统盘区根目录,删除时一次过复制所有要删除文件的路径,在待删除文件列表里点击右键选择剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,这个时候系统会重启并进入到XDelBox
启动菜单。不用自己选中。让XDelBox自己执行。删除完毕会再次重启进入正常系统。运行xdelbox前最好卸载所有可移动存储设备)
C:\WINDOWS\system32\drivers\Knlrun.sys
C:\WINDOWS\system32\drivers\Entech.sys
2.删除重启后使用SREng修复下面各项:
启动项目
--
服务--
驱动程序之如下项删除:
(使用说明:SREng-启动项目-服务-驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务)
knlrun/knlrun
ENTECH/ENTECH
想必你看着也是挺费劲的。意思就是说这东西是个正常文件,但是,有病毒会利用他来攻击你的电脑。不知道你用的什么杀毒软件?好像杀毒软件报警不会有“试图攻击电脑”这种说法吧。这是防火墙的常用语。不知道你用的什么安全软件。。
建议装一个微点试试,看这东西怎么处理这问题。就你这情况,装个正常的杀软估计非把系统文件删掉。。。