平板/笔记本
《华为手机变砖修复方法的操作指导》
&登峰造极&
来自：浏览器
最新回复 昨天&10:07
本帖最后由 九尾 于
18:58 编辑
华为手机变砖修复方法的操作指导<font color="#.问题现象
由于花粉Root刷机，导致手机无法开机，具体故障表现为“开机定屏到logo界面或者反复重启”。对于出现如上问题的华为手机可使用本文中的SD卡强制恢复方法进行处理。此方案适用于DP系列、G6XX系列、G7XX系列、C881X系列、荣耀系列机型、麦芒系列机型。
<font color="#.SD卡强制恢复方法
步骤一：准备一张2G以上容量的SD卡，建议使用Sandisk, Kingstone等品牌SD卡。 步骤二：格式化SD卡(可选)。 步骤三：下载升级包入口地址：/cn/support/index.htm软件下载-&选择你需要下载升级包的机型-&选择下载软件步骤四：将下载的SD卡升级压缩包进行解压。步骤五：将解压后的整个dload文件夹拷贝到SD卡的根目录下参考图一，同时将本文中的au_temp.cfg 文件复制到SD卡中的dload目录下（或者自己在dload文件夹下手动创建一个txt文本文件，然后重命名为au_temp.cfg即可，请注意文件后缀名也需在重命名范围内）.
(318 Bytes, 下载次数: 15039)
18:48 上传
点击文件名下载附件
QQ图片07.jpg (14.7 KB, 下载次数: 901)
14:26 上传
图一：将解压后的整个dload文件夹拷贝到SD卡的根目录
步骤六：检查并确保SD卡的根目录下含有dload/UPDATE.APP以及dload/au_temp.cfg。参考图二。
QQ图片40.jpg (18.65 KB, 下载次数: 770)
14:27 上传
图二：dload升级内容
步骤七：手机在关机状态下，插入SD卡，仅按开关机键即可，手机开机自动进入SD卡升级模式，升级过程大概持续数分钟（注：不用使用组合键，直接开机将自动开始升级）。步骤八：升级成功后，界面会打出“OK”的字样，参考图片三、四手机自动重启，不要触动开机键、电池，保证正常开机即可。
QQ图片40.jpg (9.38 KB, 下载次数: 487)
14:28 上传
QQ图片48.jpg (11.52 KB, 下载次数: 497)
14:29 上传
图三：升级中& && && & 图四：升级结束
备注：<font color="#、使用SD卡强制恢复方法，恢复之后dload文件夹下的au_temp.cfg文件会自动删除，如果需要再次恢复，需要单独创建或者拷贝该文件到dload文件夹下。<font color="#、如花粉实际操作中遇到无法按照此方法修复的情况，请安排送修网点检测维修。
X2必须三键同时按住才行！&
本帖没有au_temp.cfg下载地址啊！&
助人为乐，您最有爱*~(￣▽￣)~*.
花粉俱乐部真心感谢您m( _　_ )m.
给跪了，就冲楼主这精神m( _　_ )m.
给跪了，就冲楼主这精神m( _　_ )m.
助人为乐，您最有爱*~(￣▽￣)~*.
花粉俱乐部真心感谢您m( _　_ )m.
助人为乐，您最有爱*~(￣▽￣)~*.
正宗好论坛，正宗好帖子凸(￣︶￣)凸.
为什么这么多无效的反馈，LZ都没有反馈呢？.
助人为乐，您最有爱*~(￣▽￣)~*.
助人为乐，您最有爱*~(￣▽￣)~*.
不错，这个要支持！
width:100%">
&花粉版主&
来自：浏览器
感谢九姐分享！！
width:100%">
&登峰造极&
来自：浏览器
感谢九姐分享！！
width:100%">
&炉火纯青&
来自：浏览器
收藏备用谢谢
width:100%">
&花粉版主&
来自：浏览器
开会时没事用手机看论坛，九姐大作映入眼帘，晴川特地火速赶来支持，小伙伴们，赶紧支持啊，九姐为你们午睡都放弃了
width:100%">
&登峰造极&
来自：浏览器
学习了，俺也要成为高手，以后刷机不求人
天高云淡，望断南飞雁，不到长城非好汉
width:100%">
&神功盖世&
来自：浏览器
偶最怕机机变砖
width:100%">
&热心花粉&
来自：浏览器
前来支持！我到底咋称呼呢？
width:100%">
&热心花粉&
来自：浏览器
再也不怕变砖了，小白的福音
用爱心来做事，用感恩的心做人。
width:100%">
&天下无双&
来自：浏览器
前来围观看下。。。。。。。。。。。。。。。。。。
width:100%">
好基友勋章
花粉好机友，注册时间大于99天
1000万花粉
纪念花粉俱乐部注册花粉数超过1000万
关注华为花粉俱乐部微信公众平台——“华为花粉俱乐部”
在职斑竹的身份勋章，感谢斑竹的辛勤劳动
累积参加3次内测活动并提出语言意见
七夕情人勋章
随手拍达人
在“花粉随手拍”中发布优质随手拍即有机会获取勋章。
申请成为热心花粉，满足热心花粉条件即可获得！http://cn./forum.php?mod=viewthread&tid=183642
大富翁勋章
达到1万花瓣后可申请获得大富翁勋章
【桌面背景】【美女咖啡】【醉美夕阳】【落日余晖】【美人鱼】【青城天下】
花粉客户端
Make it Possible
Make your device special
华为云服务
Huawei cloud services
音乐播放器
Huawei Music
Huawei Vmall
没有最新动态
关注花粉俱乐部
联系我们：
|关注花粉俱乐部：
Copyright (C)
华为软件技术有限公司 版权所有 保留一切权利您的位置：
康佳电视 R6610AU安装方法
康佳 LED42R6610AU通过U盘安装安装沙发管家，康佳其他型号亦可参考本教程。【安装流程】①下载沙发管家安装文件到U盘→②U盘连接到康佳电视→③文件管理器进入U盘打开安装→④安装完成【操作步骤】1. 百度搜索“沙发管家”进入沙发网，下载沙发管家安装包；或者直接点击链接（）下载沙发管家安装包。将下载好的apk安装包复制到U盘。2、 给电视插上U盘，从电视桌面上右上角自带的U盘管理，（或应用助手）打开U盘3、 进入U盘管理后，可以查看到下载的沙发管家安装文件，确认安装；4、安装完成，以后只需要通过沙发管家即可下载任意TV版应用，非常方便。如仍无法读取U盘建议先将U盘格式化为FAT32格式（U盘内若有其他内容，先导出再格式化）或者换个U盘重新尝试.若安装失败，重启设备再按步骤重试（可能会很有用）。仍有疑问请加下方官方QQ群。用智能电视看点播视频，推荐使用布丁视频；看电视直播，推荐用HDP直播；更多有趣的内容，请用腾讯视频TV版、电视家；玩转智能电视及盒子，更多精彩内容尽在沙发网。
“扫一扫”微信登录君，已阅读到文档的结尾了呢~~
ma5200g维护宝典&#x5f;&#x5f;c
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
ma5200g维护宝典__c
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer--144.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口页面没有找到→ au_.exe
上传时间：　来源：
第一篇:au_.exewowexec.exe 空格 wowexec.exe 病毒，qq.email 病毒，密码解霸 使用 AGB4 来清除，文件大小：13.279k 删除注册表键值 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 键名 MSIEXEC 键值 wowexec.exe wowexec.exe 会访问编号为：163com[]、IP：202.108.44.153 的 163 信 箱，获取升级信息 端口:110 用户 wdboxup 密码:shengjile 密码解霸是危害比较大的木马，可以获取各种及时通讯软件、EMAIL、网络游戏、 网络银行、IE 中输入的各种密码等。在重启动后 Inetdbs.exe 会被运行， 运行后会下载 /b.wav 文件， 该文件为一 zip 包裹，为蠕虫体自身。在%temp%目录下重名为~DF0032.ZIP,用来 作为发送邮件的备用附件。还会到 /wpzkq/MSWINSCK.OCX 控件保存到%system%目 录下，确保在某些系统上能够正确发送 EMAIL，该控件为 VB 网络支持库。同时会将该控件在注册表的 MSWinsock.Winsock 和 Classid 进行注册。360gameball.exe 360 加速球 加快电脑的运行速度 360js.exe360 电脑技师服务进程
它是 360 电脑专家的后台服务，用于帮助在线解决电脑问题。这个是 360 的服务程序，在使 用 360 在线帮助时会自动启用，不需开机启动。禁用此服务开机启动方法1.电脑上有 360，优化加速－》应用软件服务－》360 电脑专家服务，禁止启动即可。2.我的电脑右击－》管理－》服务和应用程序－》服务，找到 360 电脑技师服务，双击，启 动类型选择已禁用。
360leakfixer.exe360 漏洞模块
该程序在安装 360 安全卫士后，修复系统漏洞时显示，是 360 安全卫士的漏洞修复程序的 加强模块
360rp.exe 360 杀毒的一项子进程 也是启动 360 杀毒软件的必须进程。360rps.exe 360 杀毒服务程序 是 360QVM 升级引擎 360safe.exe360 安全卫士主进程，但也有可能是木马进程。
360safe.exe 或 360safe 是 360 安全卫士主进程，无法在任务管理器内结束，但可以用 冰刃等软件结束。注意：360safe.exe 也可能是木马病毒，如果在 c:\windows 或 c:\windows\system32 那 95%是木马病毒
360sd.exe360 杀毒软件的升级程序
如果在 360 杀毒的升级设置中设置把自动升级改成有升级时提示升级,这样,想什 么时候运行升级程序再运行了 360SE.exe360 安全浏览器 出品公司:360 安全中心 由 360 公司制作的一款浏览器 拥有以下功能拦截恶意 网站和钓鱼网站 ·拥有全国恶意网址库基于 Qihoo 搜索引擎的智能抓取 360TRAY.EXE 360 安全卫士实时监控程序 acs.exe 无线网卡配置程序 alg.exe 网络共享和网络防火墙程序 是微软 Windows 操作系统自带的程序。4m 它用于处理微软 Windows 网络连接共享和网络连接防火墙。应用程序网关服务，为 Internet 连接共享和 Windows 防火墙提供第三方 协议插件的支持。该进程属 Windows 系统服务。这个程序对你系统的正常运行是非常重要的。Alipaysecsvc.exe 支付宝的后台服务进程 为支付宝安全产品提供服务,一旦停止该服务,有可能影响你的支付安全。AppleMobileDeviceService.exe 苹果手机接口程序 给苹果手机提供接口。作 者：苹果公司 删 除 删 除 硬 盘 上 的 applemobiledeviceservice.exe 文 件 ， 删 除 注 册 表 里 面 的 applemobiledeviceservice.exe 键值（删除干净） 。控制面板－管理工具－服务下去看看，禁用它然后再停用这个进程。ati2evxx.exe ATI 显卡增强工具 是 ATI 显卡运行所必须的一个进程，用于管理 ATI HotKey 特性， Windows 启动时自动载入。如果显卡是 ATi 的，用户名是 SYSTEM 的 ati2evxx.exe 进程是正常的， 登入的用户名是 Administrator 的 ati2evxx.exe 进程是木马进程。avp.exe 卡巴自我保护程序 3m explorer.exe 启动的卡巴，卡巴用户进程 管理程序自我保护 avp.exe 卡巴系统服务进程 14m 监控杀毒 Au_.exe 卸载程序 卸载用的，既非病毒也非木马。c+wclient.exe 电信无线上网宽带软件 很安全！ c20ukdrwsvr.exe U 盾证书程序 农行的，U 盾证书相关的。对安全没有影响。但是会影响网速。C:\Program Files\95599 Certificate Tools\Watertek\c20ukdrwsvr.exe ccsvchst.exe 诺顿的一键式支持 Symantec 系列产品的框架服务进程。诺顿的一键式支持， 是通过软件自带的立即修复功能自动修复问题的工具，如果 软件自身无法修复，按下一键式支持后，会链接到 symantec 的技术支持中心，
可以和他们的客服在线聊天，狠方便快捷的，你可以问下他们的客服就知道了！ cisvc.exe 监测 CIDAEMON.exe 内存程序 cisvc.exe 是微软 Windows 操作系统自带的程序。它用于监测 CIDAEMON.exe 内存 使用状态，防止可用内存过低问题,如果 cidaemon.exe 内存使用超过了 40M，则 自动重新启动该进程。这是一个系统进程，不要进行删除。clipsrv.exe 剪贴簿查看器 支持“剪贴簿查看器” ，以便可以从远程剪贴簿查阅剪贴页面。(系统服务) cmd.exe –Windows 系统命令行程序 进程文件cmd 或者 cmd.exe 进程名称Windows Command Prompt 描述：cmd.exe 是微软 Windows 系统的命令行程序，类似与微软的 DOS 操作系 统。cmd.exe 是一个 32 位的命令行程序，运行在 Windows NT/2000/XP 上。这不 是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。出品者Microsoft Corp. 属于Microsoft Windows Operating System 打开方式：开始——运行——输入“cmd”——确定 cisvc.exe 内存监测程序
微软 Windows 操作系统自带的程序。它用于监测 CIDAEMON.exe 内存使用状态，防止可 用内存过低问题,如果 cidaemon.exe 内存使用超过了 40M，则自动重新启动该进程。这是 一个系统进程，不要进行删除。
cmupdater.exe 卡卡文件论所程序,中兴无线网卡驱动程序 computerZ_CN.exe 硬件检测软件 Z 武器 原是鲁大师 Z 武器的一个文件，后被 360 收购后存在于 360 安全卫士/硬检 测这一软件项目中，即硬件检测软件 Z 武器。ComyTooL20.exe 农业银行的 K 宝进程 如果该进程在运行，你可以在命令提示符里内执行：netstat -abnov ， 在反馈的信息中留意其中的该进程发起的程序或者文件列表来判断是否中招 (如目录的名称,还根据定位后找到该进程发起的文件的创建时间等)， 之后进行相 关操作。conime.exe 输入法编辑器程序，或者 bfgost1.0 远程控制后门程序，病毒。运行 cmd.exe 启动 conime.exe, 位置:C:\WINDOWS\system32\conime.exe 或 C:\WINDOWS\system32\dllcache\conime.exe 作用:运行 cmd.exe 之后,用 ctrl+shift 切换输入法 建议删除.删除之后,在 cmd(dos 命令窗口)就不能输入中文了. dos 命令窗口本身就不需要中文。删除之后自动关机,那么是病毒. 输入法编辑器程序删除法1.结束 conime.exe 进程,在 system32 下找到 conime.exe,删去. 2.注册表:\&HKEY_CURRENT_USER\\Console\&中的\&LoadConIme\&修改为\“0\”即 可。病毒程序删除法:
1.运行 msconfig,启动，去掉 conime.exe 2.结束 conime.exe 进程，搜索全部 conime.exe，删除。重启可恢复。3.注册表:\&HKEY_CURRENT_USER\\Console\&中的\&LoadConIme\&修改为\“0\”即 可。crossproxy.exe 内置的 QT 程序 用于在游戏中聊天 csrss.exe 子系统服务器进程 6520 ctfmon.exe 输入法程序 程序 ctfmon.exe 是有关输入法的一个可执行程序， 3516 系统默认情况下是随电脑开机而自动启动的。如果你设置了 ctfmon.exe 不随机自动启动入系统后你的电脑任务栏中的输 入法图标（即语言栏）就不见了。cwcleantools.exe 电信连接客户端 中国电信 3G 无线宽带最新连接客户端 2.1 版本里面的 dfssvc.exe 网络逻辑卷程序 管理分布于局域网或广域网的逻辑卷。(系统服务) dmadmin.exe 磁盘管理服务 磁盘管理请求的系统管理服务。(系统服务) dns.exe DNS 查询服务 应答对域名系统(DNS)名称的查询和更新请求。(系统服务) explorer.exe 资源管理器 17252 也可能是 w32.cordered 病毒，查看 explorer.exe 耗用的 CPU 情况。如何 explorer.exe 耗用了很多的话，这种情况极有可能是感染了病毒。这是些胡克 （worm.win32.huhk.c）病毒 该程序是否在 C:\WINDOWS 文件夹下， 如果不在的话而在其他地方那就是有问题 了，如果在的话也有可能被感染 ，查杀 1.文件夹选项--查看--隐藏受保护的操作系统文件（去勾) 2.删除移动硬盘中的：autorun.inf explorer.exe wsctf.exe 3.删掉 system32 根目录下的 Explorer.EXE [通常在 System32 下的是用了伪装术。把 L 的小写 l 伪装成了数字 1 ] 4.可能有母体 但是实际在进程里的是那个假的 explorer 你可以在那个文件夹下 建立个 文件夹就叫 explorer.exe (大多数固定路径病毒的手动解决方式) 这样 即 使有母体也不能干扰了 5.删除以下自启动项&KernelFaultCheck&&C:\WINDOWS\system32\mswdm.exe& [] 删除以下服务项[schosts / svchost] &C:\.cn.exe&&N/A& 删除以下浏览器加载项 [pcastup Class] {87CCFDB0-C4BE-4BC2-A78C-9EAA7CF96667} &C:\WINDOWS\Downloaded Program Files\vodupdate.dll, N/A& 6.按 alt+ctrl+del 后，用进程管理器可以关掉该进程。手工清除 explorer.exe 病毒方法 这个木马进入计算机后，产生主要的三个文件是interapi32.dll,interapi64.dll,exp1orer.exe 特别狡猾的是容易 和 Explorer.exe 混淆。
它是数字 1 不是字母 l。这个病毒入驻进程以后，会大量的消耗系统资源，并会 跟着资源管理器一同启动。杀除方法如下1） 、关闭 Xp 系统的还原功能。具体的可以进入组策略查找或是右击我的电脑属 性，关闭系统还原功能。2） 、然后在运行键入 regedit，打开注册表编辑器。删除以下键值 [HKEY_CLASSES_ROOT\CLSID\] @=&hookmir& [HKEY_CLASSES_ROOT\CLSID\InprocServer32] @=&C:\WINNT\system32\interapi64.dll& &ThreadingModel&=&Apartment& [HKEY_CLASSES_ROOT\CLSID\ProgID] @=&interapi64.classname& [HKEY_CLASSES_ROOT\interapi64.classname] @=&hookmir&[HKEY_CLASSES_ROOT\interapi64.classname\Clsid] @=&&[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\ShellExecuteHooks] &&=&hookmir& 3） 、重新启动系统，进入文件夹选项菜单，单击查看选项卡，显示隐藏的文件和 文件夹，显示系统文件，扩展名。然后在 Windows/WINNT （2000/NT)/system32 下找到 interapi32.dll,interapi64.dll,exp1orer.exe 三个文件，将其删除 就可以了。（注：exp1orer.exe 伪装成了 jpg 的图片格式图标。小心谨慎。还有文件夹选项 卡在杀除病毒后可以自己把它改回到原来的状态） FastAIT.exe 金山快译 faxsvc.exe 传真服务 帮助您发送和接收传真。(系统服务) fspap.exe 风行加速程序 只要电脑安装了风行软件，就会自行运行 ，如果要完全删除，就在 我的电脑里 在搜索该程序，然后把与风行有关的文件全部删除，可以说 ，这也是个流氓程 序！ grovel.exe 重复文件扫描服务 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以 节省磁盘空间。(系统服务) handinput.exe 搜狗手写输入法 hostprocess.exe 迅雷下载相关进程 他会随迅雷开启。然而，不会随它退出而立即结束，会在后台运作一会才退出。hotkey.exe 进程管理信息 是属于 OneTouchHotKey 应用由 Pmx 的应用。有限公司电子。这个节目是非本 质过程到系统的赛跑，但不应该终止，除非怀疑引起问题 hwdeviceservice.exe3G 无线上网卡的控件程序 这个是华为 3G 无线上网卡的控件程序，是 64 位的和网银一般控件都是要求的 32 的系统有冲突。所以一般登陆网银，支付宝之类的涉及金额的网页时候 360 会提示阻止该程序。没什么关系的。i3bmon_abc.exe 农业银行的安全控件 保护你的账户。IESandBox.exe IE 浏览器
是 IE 沙箱，就是安全模式下的 IE 浏览器，防中毒； 是正常的进程。更换浏览器模式，删除掉呗！！要么就重新安装下 ie 呗！ ！ 可以在 360 流量防火墙里限制 iexplore.exe IE 浏览器， 进程名称：Microsoft Internet Explorer，一般不会有多个进程产生。但 IE6 以上版本的 IE 浏览器使用了多进程技术，就是说一个页面有一个进程， 防止一个页面崩溃就全部被关闭 IE 情况发生，是正常现象。它一般情况随系统被安装在 C:\Program Files\Internet Explorer 下面。如果发现这 个文件是在这个目录下面的，一般情况不是病毒，当然，不包括已经被感 染了的情况； 还有一种情况， 就是 IEXPLORE.EXE 在 C:\WINDOWS\system32\下面， 那么这个十有八九都是病毒。如果从桌面双击打开浏览器的话自然会多一个 IEXPLORE.EXE(它是浏览器进程),开两下就会有两个.如果是从网页中弹出一个浏 览器窗口,应该就不会多出现一个了,因为它和你之前开 的浏览器同属一个.你可以注意一下. IKUACC.EXE i 酷客户端的加速器程序 i 酷加速优酷网，用于观看网络视频时提供加速功能。llssrv.exe 许可登陆服务 llssrv.exe 是微软 Microsoft Windows Server 版的一部分，用于许可登陆服务。ImeUtil.exe 搜狗输入法进程 这个进程有可能造成“系统内存不能读” ，或者软件冲突。如出现冲突建议将其 设置为不启动，取消启动如下通过搜狗拼音输入法设置--词库 中：将启用细胞词库自动更新 和 开启流行新 词更新 两个选项的复选框的勾去掉，然后 应用--确定 就可以了。或者ImeUtil.exe 进程是搜狗输入法 3.2 正式版新出现的，官方说 3.1 有严重 BUG，如 果不是软件更新达人，换为 3.0 正式版即可。inetinfo.exe FTP 连接和管理服务 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务) internat.exe 托盘区的拼音图标 ismserv.exe Windows 信息服务 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务) joypor~1.exe 锦游 E 家 游戏平台软件 karaokeser.exe 威盛显卡进程或者 exe 感染性病毒 ViakaraokeSrv 是威盛显卡或声卡相关程序， 个人觉得是辅助管理程序， 可以关闭 的。你是不是安装 ViaKaraokeSrv 的软件。你用搜索找 karaokeser.exe 看看如果发现在 WINDOW/SYSTEM32 以外的话很可能 是病毒， 没有就是声卡的软件 http://systemexplorer.net/db/karaokeser.exe.html 如 果不放心就试试这个， 这个是我搜索得来的你可以试试如果上面的方面不管用这 是感染性病毒，感染了几乎所有的 exe 文件。处理感染性病毒要特别谨慎，因为 很多杀毒软极不是修复文件而是直接删除。双击 360 系统急救箱，然后单击“开 始系统急救”。系统引擎初始化完成后，单击“修复”，勾选需要修复的类型，然 后单击“立即修复”，完成后重新启动电脑。如果你不知道属于哪一类故障不懂得 应该修复哪一类可以使用系统推荐的修复级别，不用选择而直接单击“立即修
复”，或者勾选“全选”然后直接单击“立即修复”。kav.exe 卡巴斯基 932 kavsvc.exe 卡巴斯基服务 7728 klwtblfs.exe 卡巴斯基安全插件 3232 这个进程和 FireFox 或 IE 的相关插件有关， 打开 FireFox3.5.1，工具栏的最右边有 2 个卡巴斯基的图标，再打开菜单“工具” －“附加组件” ，会显示“Kaspersky URL Advisor”组件已经开启，如下图所示， 此时任务管理器中会有 klwtblfs.exe 进程：卡巴斯基 2010 在 IE 中有 4 个插件， klwtblfs.exe 进程和 FilterBHO Class 插件有关安全 KwMV.exe 酷我音乐盒传输进程 进程位置酷我音乐盒安装目录 默认路径为C:\Program Files\KWMUSIC\ 该进程会造成一定的电脑内存的占用，很多朋友都希望，酷我音乐盒的该进程能 一起关闭，其实要想 KwMV.exe 进程自动关闭，只要打开“系统设置”对话框， 切换到“其他设置”窗口，选中“退出音乐盒时，退出传输引擎（KwMV） ”选 框（如下图） ，点击“确定”按钮即可。经过这样的设置，以后在关闭酷我音乐 盒时，就会自动结束并关闭 KwMV.exe 进程了。llssrv.exe License Logging Service(system service) locator.exe RPC 数据库 管理 RPC 名称服务数据库。(系统服务) lol.launchertencent.exe 英雄联盟主进程 lolbox.exe 英雄联盟盒子进程 lolclient.exe 英雄联盟客户端 loginaccount.exe 天翼宽带通行证管理 lsass.exe 本地安全权限服务 描述：这个本地安全权限服务控制 Windows 安全机制。进程详解：管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程 序。系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据 (ticket),也就是本地安全权限服务,属于 Windowsde 的核心进程之一, 也被黑客千方百计的寻找漏洞,大名鼎鼎的震荡波利用的就是其中一个漏洞, lserver.exe 注册客户端许可证。(系统服务) lsass.exe 安全驱动程序 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服 务)产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统 服务) ntfrs.exe 文件同步服务 在多个服务器间维护文件目录内容的文件同步。(系统服务) Miniqtalk.exe 游戏语音进程 mmc.exe 设备管理器 mnmsrvc.exe 远程访问 Windows 服务 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务) moviethunb.exe 迅雷影视广告
mpsvc.exe 微点服务 mpsvc1.exe 微点服务 mpsvc2.exe 微点服务 msconfig.exe 系统配置实用程序 6120 mscorsvw.exe 预编译工具 无危险，后台运行的系统程序。msdtc.exe 并列事务 是分布于两个以上的数据库， 消息队列， 文件系统， 或其它事务保护资源管理器。(系统服务) msi6ca.tmp 临时文件 系统服务 Msi75.tmp 临时文件 *.tmp 这是 Windows 产生的临时文件，本质上和虚拟内存没什么两样，只不过 临时文件比虚拟内存更具有针对性，单独为某个程序服务而已。例如，如果您是 使用 WORD 编辑文档，也会在 WORD 的安装目录里发现一批～开头的，TMP 结尾的文件，这是 WORD 产生的临时文件，但如果你的 WORD 还没关闭，想 删除它们，却可能会发现怎么都删除不了，系统反复提示读写保护.WORD 不工 作时，TMP 文件都可以删除。将电脑重启之后再删试试， 只要你的电脑启动项里没有加载相关的程序一般都可 以删除的。个人的经验判断的，不正确的地方也还请指教的。msiexec.exe app 安装游戏程序 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务) mspaint.exe windows 画图程序 mstask.exe 程序指定服务 允许程序在指定时间运行。(系统服务) netdde.exe 动态数据交换服务 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务) notepad.exe 记事本程序 532 是 Windows 自带的记事本程序。NOTEPAD.EXE 病毒 下面是关于 notepad.exe(大写)木马的症状和资料病毒的系统进程文件notepad.exe（在系统进程里显示的是两个 NOTEPAD.EXE 而且都是大写的） 建议先进入安全模式下查杀· ·装了 AVG 就试试用 avg 查下先； NOTEPAD.EXE 木马病毒的手工清除方法（注：由于改病毒现在出现了很多变种，因此，不一定适合于每个人先查找 C:/windows/system32/下是否同时由 notepad.exe 和
两个文件，如果有 的话，则按照如下方法删除之：打开“开始”菜单－“运行” ，输入入 Regedit 打 开 注 册 表 编 辑 器 。找 到 组 成 表 项 HKEY_LOCAL_MACHIN/Software/Microsoft/Windows/CurrentVersion/Run 在右边的窗口中，找到所有含有键值“startIE=XXXX\Notepad.exe”的项目，删 除它们。。之后，关闭注册表编辑器，重新启动系统
nsvcappflt.exe app 安装游戏程序 nsvcip.exe app 安装游戏程序 ntvdm.exe 16 位虚拟机, 与 wowexec.exe 相互依存，结束了 wowexec.exe，ntvdm.exe 也没有了。是 Windows 16 位虚拟机的一部分。该进程用于使 16 位的进程能够运行在 32 位 的系统环境下。这个程序对你系统的正常运行是非常重要的。nvsvc32.exe app 安装游戏程序 ose0001.exe 微软 Office 套件 增加了在 CD 安装和网站更新的其他安装支持。这个进程在计算机上运行关系到系统的稳定和安全，而不应该被终止。ouc.exeouc.exe 华为公司的文件 是无威胁文件，属于 Huawei Technologies Co., Ltd 华为技术有限公司的文件 pinyinUp.exe 搜狗拼音输入法的升级程序 preupdater.. exe 搜狗高速浏览器升级程序
sougo 拼音或者搜狗浏览器高级设置里，有升级选项，默认自动升级并且开通 P2P。所以你的电脑就会大量下载和上传。P2P 本来是人人为我，我为人人的东 西，但是 sougo 应该给大家说明的。比如我只需要最基本的功能不需要升级， 我就选择不升级
QQ.exe：腾讯 QQ 主程序 QQexternal.exe：QQ 正常启动进程 在 2012 以下的 QQ 版本里，QQexternal.exe 的作用是可有可无的。在 QQ2013 里，QQexternal.exe 的作用之一是让 QQ 正常启动！ qqprotect.exe TX 腾讯最新的安全保护机制 在最新版本的 QQ2013 beta1 中，这个进程是会一直出现的，没有关闭方法 regsvc.exe 允许远程注册表操作。(系统服务) resent.exe 管制程序 相当于任务管理器，一般都开启，否则会影响系统相关软件的运行。rseboardser.exe RsEng.exe 不常用数据储存和管理服务 协调用来储存不常用数据的服务和管理工具。(系统服务) RsFsa.exe 远程储存文件管理服务 管理远程储存的文件的操作。(系统服务) Rsremote.exe 遥感定位的 用于机器位置定位的。一般都开启，否则会影响系统相关软件的运行。RsSub.exe 远程媒体控制服务 控制用来远程储存数据的媒体。(系统服务) rsvp.exe 通信控制服务 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装 功能。(系统服务) rthdcpl.exe 声卡设置程序 是 Realtek 声卡特性设置软件相关程序。RUNDL132.EXE w32.miroot.worm 病毒， 攻击访问你的计算机，窃取密码和个人数据。删除。1.关掉病毒进程：explorer.exe,RUNDL132.EXE 2.取消病毒启动项。3.根据病毒启动项指出的路径，删除全部病毒文件。4.重新启动，扫描杀毒。5.清除系统垃圾文件（主要是临时文件） RUNDLL32.EXE DLL 文件运行程序 在内存中运行 DLL 文件，调用 DLLs 程序，对系统正常运行非常重要 rwyncmc.exe 龙管家计费系统 rzxclient.exe 上网实名程序 是龙管家计费系统中任子行系统上网实名程序, safeboxTray.exe 360 保险箱 可能会与某些游戏发生冲突，结束 SafeboxTray.exe 进程,可以临时解决该问题！ SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控 制。(系统服务) SeDown.exe 360 安全浏览器下载器 services.exe 系统服务
包含很多系统服务 4548 ServiceStartInstall.exe 这个是相机驱动，没有关系的！ 大家普遍也均怀疑是可疑程序因此，我建议你在不影响系统运行的情况下，把它删除干净。这个是电信 3G 网卡的 华为 E800 的驱动安装服务, 但是做得相当不规范,做得跟 木马一样. 比如软件公司名称,作者都没有,服务也没有任何提示,安装时也不做任何提示,, 也没有相关提示.我实测这个驱动好象无法驱动相应网卡.我的建议是直接删除这 个服务. C:\Program Files\SPACE_E800_USB\setup\ServiceStartInstall.exe - (running) 如果是这个的话 ServiceStartInstall.exe 有可能是木马 SGImeGuard,exe 搜狗输入法进程 删除不删除吧没什么大用,也不影响你什么东西,对于有电脑&洁癖&的哥们,姐们 (包括本人,桌面就是个干净,回收站就是空....呵呵~)直接就是删除!! 方法1.任务管理器 2.找到这个进程 3.点击鼠标右键---打开文件位置--4.(我用的是 360)鼠标右键点击该文件用&360 解除占用& 5.然后 360 强力删除(我用的是粉碎) OK!!一切~~一切~~都干净了!! smlogsvc.exe 配置性能日志和警报。(系统服务) smss.exe 管理子系统 /win32.ladex.a 木马 408 smss.exe 也可能是 win32.ladex.a 木马。该木马允许攻击者访问你的计算机， 窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在 windows 的 system32 和 servicepackfiles\i386 下面,是计算机的核心进程！ snagit32.exe：屏幕主程序 snagiteditor.exe:屏幕捕获编辑程序 snagpriv.exe:屏幕捕获程序 sndvol32.exe 音量控制程序 ， 该程序用于调节你的计算机音量（包括主音量、CD 音频等） 。该进程会驻留在系 统托盘中。SNMP 管理程序 。(系统服务) snmp.exe 网络监视程序 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服 务) snmptrap.exe 陷阱消息接收程序 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在 这台计算上 softmgrlite.exe 360 小助手 Sogoucloud.exe 搜狗拼音新添加的“云计算”进程 负责输出每次打字时的云计算候选项（在候选栏的第二位） 。不喜
欢的话可以自己关掉。选项在“设置属性”对话框的“高级”选项卡中(智能输入 栏-开启云计算候选)，勾掉云计算即可了。经试验，关掉相应选项后，退出搜狗拼音，SogouCloud.exe 进程会立即消失， 再切换回搜狗拼音也不会出现。真伪 1. 搜狗拼音输入法确实有 SogouCloud.exe 文件，是搜狗输入法云计算代理程 序。不过应该是在搜狗输入法的安装目录下。不是该路径时应该是伪装的文件。2. 正版的 SogouCloud.exe 有搜狗公司的数字签名，可以看看你的文件有没有 签名。sogoflash.exe 搜狗输入法皮肤推荐程序 在皮肤设置里 开启皮肤推荐 选项的打钩去掉就可以了！ 搜狗输入法设置——外观里，底部 恢复本页默认设置上面 SPOOLSV.EXE 文件加载服务 将文件加载到内存中以便迟后打印。(系统服务) 该进程的安全级别是建议立即删除。stMgr.exe 暴风影音管理 禁用 contrl center of storm media 可关闭。不是病毒。stormliv.exe 暴风影音媒体控制中心 8696 无用，建议除去。控制面板--管理工具--服务，停止 contrl center of storm media svchost.exe 系统服务 包含很多系统服务 4948 系统服务如果要了解每个 svchost 进程到底提供了多少系统服务， 可 以 在 win2000 的 命 令 提 示 符 窗 口 中 输 入 “ tlist -s ” 命 令 来 查 看 该 命 令 是 win2000 support tools 提供的。在 winxp 则使用“tasklist /svc”命令。svchost.exe 系统服务 3320 system netcontroller 木马病毒 300 system.exe 是 netcontroller 木 马 病 毒 生 成 的 文 件 ， 出 现 在 :\windows 目录下，建议将其删除。但要系统的 system 进程区分 开来.system 进程是没有.exe 的， system idle process 系统空闲进程 是表示你系统剩余的 CPU 资源！ 不要想去结束它！ 要是他占的 CPU 资源为 0 估计你该重新启动了！ 当 “ System Idle Process ” 进 程 占 用 资 源 为 2% 时 ， 说 明 机 器 目 前 只 有 2% 的 资 源 是 空 闲 的 ， 即 机 器 可 能 感 染 了 病 毒 或 被 其 他 程 序 占 用 了 98% 的 资 源 。换 句 话 说 ， System Idle Process ” 进 程 占 用 资 源 占 用 “ 资源越大则系统可用资源越多，其字面意思是“系统空闲进程” system process 显示 cpu 情况 名称 system Idle process 不是一个进程，显示 cpu 可用资源百分比情况 taskmgr.exe 任务管理器/病毒
2500 它显示你系统中正在运行的 进程。该程序使用 Ctrl+Alt+Del 打开， 这不是纯粹的系统程序，但是如果终止它， 可能会导致不可知的问题。查看 taskmgr.exe 的文件来源。若不在 WINDOWS\SYSTEM32 里， 就是病毒。建议升级杀毒软件病毒以后对计算机全面杀毒开机按住 F8 键－ 选择“安全模式”杀毒另外最好关闭系统还原 tcpsvcs.exe TCP/IP 服务 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的 能力。(系统服务 ) 支持以下 TCP/IP 服务Character Generator, Daytime, Discard, Echo,以及 Quote ofthe Day。(系统服务) telrun.exe 系统程序 是系统正常运转、各种办公软件、游戏运行所不可或缺的重要文件！ teniodl.exe 游戏下载进程 这个进程不是什么毒,只是游戏的一个下载进程, termsrv.exe 多会话环境服务 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会 话以及运行在服务器上的基 于 Windows 的程序。(系统服务) tftpd.exe TFTP Internet 标准 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务) thunder.exe:迅雷主程序 ThunderPlatform.exe 迅雷高速通道 迅雷的上传组件 推介你下载完的东西马上在&已下载&中删除 以防止上传占带 宽。不能关闭，关闭后迅雷会假性崩溃。tlntsvr.exe 远程控制服务 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务) 允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务) Tschelp.exe SnagItStudio 帮助程序 TXPlatform.exe 腾讯通讯程序 进程名称TXPlatform 或者 TXPlatform.exe 描述腾讯即时通讯客户端相关程序,用于阻止同一个 QQ 号在同一台电脑上登陆 2 次和支持外部添加功能（如添加到用户自定义面板） 。这 是 2007 年 下 半 年 腾 讯 公 司 更 新 的 qq 上 的 文 件 ， 原 来 的 文 件 名 是 Timplatform.exe 可以删除以减少内存使用（将 TXPFProxy.dll 与 TXPlatform.exe 一 起删除） 。ULCDRSvr.exe 烧录程序 烧录 dvd 和 cd,装了绘声绘影后出现。ups.exe 不间断电源服务 管理连接到计算机的不间断电源(UPS)。(系统服务) utool.exe 卸载单文件进程 urlproc.exe 360 浏览器安全程序
360 浏览器的安全红绿灯扩展程序文件，随浏览器启动。UtilMan.exe 辅助工具服务 从一个窗口中启动和配置辅助工具。(系统服务) wdfmgr.exe 播放器相关程序 进程文件:wdfmgr 或者 wdfmgr.exe 进程名称:windows driver foundation 基本 manager 描 述 :wdfmgr.exe 是 微 软 microsoftwindowsmediaplayer10 播 放 器 的 相关程序。该进程用于减少兼容性问题。这不是纯粹的系统程序,终止会导致不 可知的问题 wh_client.exe 四川省网吧管理进程 四川省网吧智能监查管理软件的进程名 winlogon.exe 管理用户登录 1444 winmgmt.exe 系统管理信息服务 系统管理信息(系统服务)。wins.exe NetBIOS 名称服务 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服 务) Winword.exeword 进程 wmiprvse.exe WMI 操作程序 进程文件wmiprvse or wmiprvse.exe 进程名称Microsoft Windows Management Instrumentation 描述:wmiprvse.exe 是微软 Windows 操作系统的一部分。用于通过 WinMgmt.exe 程序处理 WMI 操作。这个程序对你系统的正常运行是非常重要的。wowexec.exe 整理磁盘碎片程序 支持 16 位进程，内存使用 wscntfy.exe Windows 安全策略 2904 Windows 安全相关策略的一部分。这个程序对你系统的正常运行是非常重要的 wuauclt.exe 系统自动更新 进程文件wuauclt 或者 wuauclt.exe 描述：Wuauclt.exe 是 Windows 自动升级管理程序。该进程会不断在线检测更新。删除该进程将使你无法得到最新更新信息。xlueops.exe 迅雷看看广告 用 360 禁止他访问网络 youkudesktop.exe 优酷客户端 youkumediacenter.exe 优酷媒体中心 yozo_writer.exe 永中文字进程 ZhuDongFangYu.exe 360 主动防御服务模块
第一篇:au_.exe一 EXE 后缀型病毒文件的手工杀毒的方法教程这类病毒一般是以进程的方式运行，这类病毒一般是比较好被发现的。下边先说下这类病毒，是在哪 里启动的。1/注册表 如果发现计算机有不名的进程和异常情况请在注册表内下列地方进行核实找住可以的程序 进行删除 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \RunServicesOnce HKEY_CURRENT_USER/Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER \Software \Microsoft\ Windows\ CurrentVersion\ Policies\ Explorer\Run HKEY_CURRENT_USER\ Software\ Microsoft \Windows\ CurrentVersion Explorer/ShellFolders Startup=&C:/windows/start menu/programs/startup 2/系统 WIN.INI 文件内 在 win.ini 文件中，“run=”和“load=”是可能加载“木马”程序的途径， 必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟 悉的启动文件， 你的计算机就可能中上“木马”了。当然你也得看清楚， 因为好多“木马”， 如“AOL Trojan 木马”，它把自身伪装成 command.exe 文件，如果不注意可能不会发现它不是真正的系统启动件。也许你 会问了我是 XP 系统啊 怎么没有这个呢？不必担心给你个正确的你参考下就知道有没有可疑程序了。下边 就是正常的 WIN.INI(XP) ; for 16-bit app support [fonts] [extensions] [mci extensions] [files] [Mail] MAPI=1 CMCDLLNAME32=mapi32.dll CMCDLLNAME=mapi.dll CMC=1 MAPIX=1 MAPIXVER=1.0.0.1 OLEMessaging=1 [MCI Extensions.BAK] aif=MPEGVideo
aifc=MPEGVideo aiff=MPEGVideo asf=MPEGVideo2 asx=MPEGVideo2 au=MPEGVideo m1v=MPEGVideo m3u=MPEGVideo2 mp2=MPEGVideo mp2v=MPEGVideo mp3=MPEGVideo2 mpa=MPEGVideo mpe=MPEGVideo mpeg=MPEGVideo mpg=MPEGVideo mpv2=MPEGVideo snd=MPEGVideo wax=MPEGVideo2 wm=MPEGVideo2 wma=MPEGVideo2 wmv=MPEGVideo2 wmx=MPEGVideo2 wvx=MPEGVideo2 wpl=MPEGVideo 3/SYSTEM.INI 文件中 在 system.ini 文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应 该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，本文发表 于
网站，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。又会有人 问了 我是 XP 系统怎么又不一样呢？在给你个正常的 XP 系统的 SYSTEM.INI 请大家可以参考下 正常的 SYSTEM.INI 文件 ; for 16-bit app support [drivers] wave=mmdrv.dll timer=timer.drv [mci] [driver32] [386enh] woafont=app936.FON EGA80WOA.FON=EGA80WOA.FON EGA40WOA.FON=EGA40WOA.FON CGA80WOA.FON=CGA80WOA.FON CGA40WOA.FON=CGA40WOA.FON
4/在 config.sys 内 这类加载方式比较少见 ,但是并不是没有,如果上述方法都找不到的话,请来这里 也许会有收获的。5/在 autuexec.bat 内 这类加载方式也是比较少见,建议跟 config.sys 方法一样。4 和 5 的加载方式建议大家先必须确定计算机有病毒后在 并且上边的方法都找不到后，最后来这里进行 查找。总结这类病毒是比较容易暴露的， 建议手动删除时最好进入安全模式下， 因为安全模式只运行 WINDOWS 必备的系统进程，EXE 型病毒很容易暴露出来的，下边附上一张 WINDOWS 安全模式的 必须进程表 smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产 生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) -&netlogon svchost.exe 包含很多系统服务 !!!-&eventsystem,(SPOOLSV.EXE 将文件加载到内存中以便迟后打印。) explorer.exe 资源管理器 (internat.exe 托盘区的拼音图标) system System Idle Process 这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个 处理器上，并在系统不处理其他线程的时候分派处理器时间 taskmagr.exe 就是任务管理器了 二、DLL 型后缀病毒的手工杀毒的方法教程这类病毒大多是后门病毒，这类病毒一般不会把自己暴露在进程中的，所以说特别隐蔽，比较不好发 现。启动 DLL 后门的载体 EXE 是不可缺少的，也是非常重要的，它被称为：Loader。如果没有 Loader，那 DLL 后门如何启动呢？因此， 一个好的 DLL 后门会尽力保护自己的 Loader 不被查杀。Loader 的方式有很多， 可以是为我们的 DLL 后门而专门编写的一个 EXE 文件； 也可以是系统自带的 Rundll32.exe 和 Svchost.exe， 即使停止了 Rundll32.exe 和 Svchost.exeDLL 后门的主体还是存在的。现在大家也许对 DLL 有了个初步的 了解了，但是不是后缀是 DLL 就是病毒哦，也不要因为系统有过多的 Rundll32.exe 和 Svchost.exe 进程而 担心，因为他们不一定就是病毒，所以说这个病毒比较隐蔽，下边来介绍几种判别办法： 供稿 1/Svchost.exe 的键值是在 “HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost”每个键值表示一个独 立的 Svchost.exe 组。微软还为我们提供了一种察看系统正在运行在 Svchost.exe 列表中的服务的方法。以 Windows XP 为例：在“运行”中输入：cmd，然后在命令行模式中输入：tasklist /svc。如果使用的是 Windows 2000 系统则把前面的“tasklist /svc”命令替换为：“tlist -s”即可。如果你怀疑计算机有 可能被病毒感染，Svchost.exe 的服务出现异常的话通过搜索 Svchost.exe 文件就可以发现异常情况。一 般只会找到一个在：“C:\Windows\System32”目录下的 Svchost.exe 程序。如果你在其他目录下发现 Svchost.exe 程序的话，那很可能就是中毒了。
2/还有一种确认 Svchost.exe 是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在 Windows 系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具。比如 Windows 优 化大师中的 Windows 进程管理 2.5。这样，可以发现进程到底饔昧耸裁碊 LL 文件. 3/普通后门连接需要打开特定的端口，DLL 后门也不例外，不管它怎么隐藏，连接的时候都需要打开 端口。我们可以用 netstat –an 来查看所有 TCP/UDP 端口的连接，以发现非法连接。大家平时要对自己打 开的端口心中有数，并对 netstat –an 中的 state 属性有所了解。当然，也可以使用 Fport 来显示端口对 应的进程，这样，系统有什么不明的连接和端口，都可以尽收眼底。4/最关键的方法对比法。安装好系统和所有的应用程序之后， 备份 system32 目录下的 EXE 和 DLL 文件打开 CMD，来到 WINNTsystem32 目录下，执行：dir *.exe&exe.txt & dir *.dll&dll.txt，这样，就会把 所有的 EXE 和 DLL 文件备份到 exe.txt 和 dll.txt 文件中；日后，如发现异常，可以使用相同的命令再次 备份 EXE 和 DLL 文件(这里我们假设是 exe0.txt 和 dll0.txt)，并使用：fc exe.txt exe0.txt&exedll.txt & fc dll.txt dll0.txt&exedll.txt，其意思为使用 FC 命令比较两次的 EXE 文件和 DLL 文件，并将比较结 果保存到 exedll.txt 文件中。通过这种方法， 我们就可以发现多出来的 EXE 和 DLL 文件， 并通过文件大小， 创建时间来判断是否是 DLL 后门。DLL 型病毒的清除方法 1/ 在确定 DLL 病毒的文件的话请尝试下边方法 移除方法1. 开始——运行——输入&Regedit& 2. 搜索&*.dll& 3. 删除搜索到的键值。4. 重启 5. 转到 C:\Windows\System32\ 6. 删除*.dll 2/到注册表下列地方寻找 DLL 的踪迹 HKEY_LOCAL_MACHINE/ SOFTWARE/ Microsoft/ WindowsNT/ Currentversion/ Svchost 3/如果上边的地方都找不到的话建议使用优化大势进程显示工具 对 RUNDLL32.EXE 和 SVCHOST.EXE 里 边运行的 DLL 程序进行核实找到病毒文件对其进行结束 然后在对他进行删除 建议使用第 1 种方法是非常 有效的 三、$NtUninstallQxxxxxxx$（x 代表数字）型病毒的手工杀毒的方法教程这个属于恶意脚本文件病毒。C 盘下生成文件夹：$NtUninstallQxxxxxxx$（x 代表数字） 冒充微软更 新补丁的卸载文件夹，并且在 Win2000/XP 下拥有系统文件级隐藏属性。下边说下清楚方法 注册表手动删除启动项，参考HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\windows\CurrentVersion\Run 删除：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\Windows\ CurrentVersion\ RunOnce HKEY_LOCAL_MACHINE\ SOFTWARE \Microsoft\ Windows\ CurrentVersion\RunOnce 删除：Sys32，值为：C:\$NtUninstallQxxxxxxx$\WINSYS.vbs HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft \Windows\ CurrentVersion \Run 删除：Sys32，值为：regedit -s C:\$NtUninstallQxxxxxxx$\WINSYS.cer 删除：internat.exe，值为：internat.exe 删除整个$NtUninstallQxxxxxxx$ 目录
补充说明系统文件夹（\WINNT 或\Windows）下出现的如$NtUninstallQ823980$ 、$NtUninstallQ814033$ 这类 文件夹是 Windows Update 或安装微软补丁程序留下的卸载信息，用来卸载已安装的补丁，按补丁的编号 如 Q823980、Q814033 可以在微软的网站查到相应的说明。请注意与恶意代码建立的文件夹区分。四、压缩文件杀毒工具对其不能删除的病毒的手工杀毒的方法教程这类病毒大多是在 IE 临时文件里的，请对临时文件进行清除即可清楚此类病毒，建议定时清理 IE 临 时文件。补充1.)检查注册表 看 HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼Curren Version 和 HKEY_CURRENT_USER＼ Software＼Microsoft＼Windows＼CurrentVersion 下，所有以“Run”开头的键值名，其下有没有可疑的 文件名。如果有，就需要删除相应的键值，再删除相应的应用程序。2.)检查启动组 木马们如果隐藏在启动组虽然不是十分隐蔽，但这里的确是自动加载运行的好场所，因此还是有木马喜欢 在这里驻留的。启动组对应的文件夹为：C:＼windows＼start menu＼programs＼startup，(查了下 C 没这 个东西？希望大家来研究，看你们的有这个目录没？)在注册表中的位置：HKEY_CURRENT_USER＼Software ＼Microsoft＼Windows＼CurrentVersion＼Explorer＼Shell Folders Startup=&C:＼windows＼start menu＼programs＼startup&。要注意经常检查这两个地方哦！ 3.)Win.ini 以及 System.ini 也是木马们喜欢的隐蔽场所，要注意这些地方 比方说，Win.ini 的[Windows]小节下的 load 和 run 后面在正常情况下是没有跟什么程序的，如果有了那 就要小心了，看看是什么；在 System.ini 的[boot]小节的 Shell=Explorer.exe 后面也是加载木马的好场 所， 因此也要注意这里了。当你看到变成这样Shell=Explorer.exe wind0ws.exe， 请注意那个 wind0ws.exe 很有可能就是木马服务端程序！赶快检查吧。4.)对于下面所列文件也要勤加检查，木马们也很可能隐藏在那里 C:＼windows＼winstart.bat、C:＼windows＼wininit.ini、Autoexec.bat。5.)如果是 EXE 文件启动，那么运行这个程序，看木马是否被装入内存，端口是否打开。如果是的话，则说 明要么是该文件启动木马程序，要么是该文件捆绑了木马程序，只好再找一个这样的程序，重新安装一下
了。6.)万变不离其宗，木马启动都有一个方式，它只是在一个特定的情况下启动 所以，平时多注意一下你的端口，查看一下正在运行的程序，用此来监测大部分木马应该没问题的。
第一篇:au_.exeU 盘修复-U 盘量产详细图文教程- Alcor（安国）AU698X
U 盘不能打开，如 提示请插入磁盘之类的，总之 U 盘不能用了。U 盘修复过程：
一、查看芯片型号
1、识别工具“Chip Genius” 下载地址：/userfiles/soft//ChipGenius.rar 2、将 U 盘插上，打开 Chip Genius 软件，如图：
3、 看到产品制造商是 Genius， 说明是杂盘子的 U 盘。还好， 芯片型号还能读出来是AU6983 4、故芯片知道是 Alcor（安国）AU6983。
二、U 盘量产修复
1、U 盘芯片是 Alcor（安国）AU6983，下载 Alcor 安国 AU698X 系列量产工具 AlcorMP
下载地址：/userfiles/soft//AlcorMP(100316).rar 2、当然你的 U 盘芯片是其他型号的，请下载对应的量产工具，查找相应的教程。50 种 U 盘量产工具大全：/software.aspx?id=1369 3、开始 AlcorMP
修复 U 盘 4、下载量产的 ISO 镜像。我用的是老毛桃 u 盘启动 winpeboot--镜像 下载地址：/f/1D67F61D50324FBE.html 下载地址自己找吧
5、解压 AlcorMP(100316).rar 后，将量产 ISO 镜像 winpeboot 复制到 AUTORUN 文件夹下 6、运行 AlcorMP.exe 主程序
7、打开量产工具，点设定
8、弹出下面的对话框，不用输入密码，直接按回车那即可进入设定界面。
9、点一下“装置方式设定”，这里设置只要点一下 AutoRun。
10、点了 AutoRun 后会弹出一个对话框，选 Iso Mode，然后点一下“… ”
11、找到你要量产的 ISO 镜像的路径，点 OK ，其它的不用设置，默认就可以了。量产前 设定卸载驱动，打上钩，点确定，确定后关闭设定窗口。
12、设定窗口关闭后，回到量产工具主界面，这时点“开始”来开始量产，出现进度条，直到 提示成功.......
13、最后一步，提示成功后先不要急着退出，先点击“弹出”然后退出软件。大功告成！
好了，这时候弹出 U 盘,再重新插一下 U 盘。看看，是不是有两个盘了？一个 CD-ROM， 一个可移动磁盘。
····················