在電腦被木馬攻擊之後一般情況下會產生與原有進程相似度極高的兩個及以上進程,爲了快速的解決木馬, 就要能盡最快速度分辨出哪些進程是正常的,哪些是不正常的。
提出一個通用的解決辦法,就是當找到相應的木馬進程之後,可以嘗試對某一個甚至某幾個進程進行結束進程樹操作,然後刪除服務端和註冊表程序。
MsMpeng.exe進程
此進程是微軟自家安全軟件Microsoft security Essential和windows Defender的主要進程,是Microsoft windows Defender Antispyware的簡稱。
WindowsDefender(原名WindowsAntispyware)是微軟出品的一款反間諜軟件的產品,能幫你檢查和清除系統西面的間諜軟件和廣告及其他具有潛在危險性的軟件,WindowsDefender只適合再基於NT技術的Windows2000以上的系統中使用。
卸載辦法
卸載MsE(Microsoft security Essentials)
- 在系統盤中找到Backup文件,此文件下有一個mp_ambits文件和msse文件,將這兩個文件卸載;
- 進入控制面板中的刪除程序,找到Microsoft security Essentials的項目,卸載;
- 或者直接對此進程進行操作,選中進行全盤掃描,處理100%CPU佔用的故障。
Windows Shell Experience Host
此進程是管理Metro系統界面以及系統特效的進程,能夠處理許多與Windows小程序相關的圖形元素,他處理諸如開始菜單、通知的視覺效果甚至任務欄透明度等元素。
一般正常情況下Windows Shell Experience Host的CPU和內存使用率是非常低的,也會自動回收系統資源,但有時候會出現異常,長時間保持比較高的CPU和內存使用率。
修復異常
- 執行Windows的更新,有可能是是舊版本的 Bug,新版本肯定會有相應的補丁;
- 關閉壁紙自動切換;
- 取消自動選取主題色;
- 關閉Windows動畫和透明效果.
IAStorDataSvc
無威脅文件,屬於Intel Corporation,此進程一般都是驅動程序版本有問題
不一定最新的驅動就一定不會出問題,通常最終問題的解決都是靠舊版本的驅動去覆蓋新版本。
CPU佔用過高
http://www.111cn.net/office/194/59816.htm爲解決辦法
Antimalware Service Executable
此進程是微軟殺毒軟件Windows Defender的相關係統進程,詳細名稱爲MsMpEng.exe,可以對進程選擇轉到詳細信息
如果開機佔用系統資源較高,一半是因爲它在掃描硬盤文件所致,用於移除、隔離和預防間諜軟件等。
開機CPU佔用太高
正常情況下我們不能結束這些進程,但是我們可以設置Windows Defender掃描時排除欸系統盤,以及相關文件:
- 排除掃描非系統盤,打開Windows Defender,點擊設置,切換到排除的文件和位置選項,通過瀏覽添加的方式將非系統盤從自動掃描中排除;
- 停用Windows Defender,在設置界面,管理員權限下取消啓動該應用
ChsIME.exe
The process know as Microsoft IME belongs to software Microsoft Windows Operating System by Microsoft.(此進程被稱爲微軟輸入法,屬於Windows操作系統)
原始ChsIME.exe是Windows的重要組成部分,很少會導致問題。當然ChsIME.exe也可能是惡意軟件所僞裝,或造成的一些問題。因此,應該檢查PC上的ChsIME.exe進程,看看它是否是威脅。
建議使用Security Task Manager來檢查計算機的安全性。這是華盛頓郵報和PC World的熱門下載精選之一。
resolve ChsIME issues
- 使用cleanmgr和sfc / scannow清理硬盤;
- 卸載不需要的程序,檢查自啓系統(使用msconfig),並啓用Windows‘s Automatic Updata;
- 經常記得執行定期備份,或至少設置還原點。
非常重要的一點是:如果遇到實際問題,嘗試回憶最後做的事情,或者在問題首次出現之前做的事情,用resman命令識別導致問題的進程,即使嚴重的問題,也不要輕易重裝及更高的版本,執行Windows,最好修復,或者對於Windows8及更高的版本,執行DISM.exe / Online / Cleanup-image / Restorehealth 命令,這允許在不丟失數據的情況下修復操作系統。
searchIndexer.exe
此進程是一種服務,微軟桌面搜索索引程序,用戶可以在硬盤上的電子郵件和文檔以及其他數據,效率要高於Windows自帶的查找功能。
搜索功能達到了飛越,資源佔用不大,但對於CPU頻率不夠高的電腦來說,如果不進場搜自己電腦的我呢見,可以禁用此類服務。
CPU頻率不夠高
win + r 打開運行,輸入services.msc ,進入服務,點擊鍵盤上的w然後確定,在以w開頭的服務中找到Windows Search 服務,選擇禁止即可。
svchost.exe
經常注意自己電腦的小夥伴應該清楚,這個進程是在不斷下載數據的,所以總有人認爲它是一個病毒進程,但它是Windows操作系統中的系統文件,官方解釋是:svchost.exe 是從動態鏈接庫 (DLL) 中運行的服務的通用主機進程名稱。
這個進程對於系統的正常運行是非常重要的,不能被結束,許多程序都依賴於這個這個服務,通過注入才能啓動,所以會有多個該文件的進程。
在Windows中一般有多個此進程,在Windows操作系統中,不會繼續多個服務共享一個svchost.exe進程,而會爲每個服務都分配一個獨立的svchost.exe進程,所以有會看到進程列表中有n個此進程。
smartscreen.exe
新裝了Windows之後,經常會出現 “Windows Defender SmartScreen 已阻止啓動一個未識別應用。運行此應用可能會導致你的電腦存在安全風險”
Smart Screen篩選器是一種檢測仿冒網站的功能,同時還可以阻止安裝惡意軟件。有助於針對可能從事釣魚攻擊,或嘗試通過社交軟件攻擊分發惡意軟件的網站提供早期警告系統。
安裝過程的繁瑣
打開運行,輸入regedit 進入註冊表,找到start項,雙擊start修改裏面的數值爲3,在任務管理器界面找到啓動頁,在啓動分頁找到Windows Defender 選項,禁用就行。
ctfmon.exe CTF
此進程是Microsoft Office 產品套裝的一部分,是有關輸入法的一個可執行程序,可以選擇用戶文字輸入程序。輸入法不顯示可能就是因爲不小心關了此進程導致的。
ctfmon.exe本是無毒軟件,但在使用過程中經常瀏覽一些網站和移動設備的時候有些病毒及那個此進程篡改導致出現問題,易被人們認爲這是一個病毒進程。
篡改
- 電腦不要經常訪問一些不知名的或沒聽過的網站;
- 安裝實用的殺毒軟件,及時檢查電腦,更新病毒庫;
- 防止外來U盤和手機卡等設備。
ApplicationFrameHost.exe
ApplicationFrameHost.exe is known as Microsoft® Windows® Operating System, it also has the following name Wondershare Studio or or Microsoft? Windows?(ApplicationFrameHost.exe 稱爲Microsoft®Windows®操作系統,它還具有以下名稱Wondershare Studio或Microsoft?視窗?)目前未產生任何警報
Is ApplicationFrameHost.exe using too much CPU or memory ? It’s probably your file has been infected with a virus. Let try the program named DriverIdentifier to see if it helps(一般情況下不會佔用過多的CPU資源和存儲,有可能文件中病毒,推薦加黑的軟件尋找幫助)
中病毒
如果在使用過程中出現異常,可以進行刪除,刪除操作與卸載軟件相似。
Let try to run a system scan with Speed Up My PC to see any error, then you can do some other troubleshooting steps.
If you think this is a driver issue, please try DriverDouble.com【加黑的網站可以幫助解決進程恢復問題】
引入文獻:
https://www.howtogeek.com/268337/what-is-this-process-and-why-is-it-running/