101577.exe是什么进程？？？

kxetray.exe是什么进程~

kxetray.exe是金山毒霸的安全中心！
出现这个情况，建议楼主进行如下操作：
1，卸载金山毒霸。
2，去官方网站下载最新版本的金山毒霸。
3，安装金山毒霸！

请楼主参考！

360rps.exe是360杀毒的实时保护程序，提供全面安全防护，强力查杀病毒！
请楼主参考！

Trojan-Downloader.Win32.Adload.ci分析
病毒名称： Trojan-Downloader.Win32.Adload.ci
病毒类型： 木马类
文件 MD5： bed1b615302f8958068824f7bbc1f51e
公开范围： 完全公开
危害等级： 中等
文件长度： 140,800 字节
感染系统： Win9X以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： PECompact 2.x -> Jeremy Collake
命名对照： Symentec[无]
Mcafee[无]

病毒描述：
该病毒运行后，建立文件夹%\System32%\microsoft和%\Program Files%\pcast。并在pcast文件夹下释放两个文件分别为download.ini和updat.exe.而后病毒会访问2**.100.33.13，下载病毒文件到%Documents and Settings\Administrator\Local Settings\Temp%，并会打开计划任务，添加一个名为DM_Install_Program.jobdmremotesetup的任务。执行路径为%\documents and settings\当前用户名\localsettings\temp\\101577.exe，该病毒对用户有一定危害。

行为分析：
1、释放文件夹及相关文件：

%\System32\%microsoft\Protect\S-1-5-18\User
\76d00f4a-dc1c-481e-86be-5c4366c95531
%\System32\%microsoft\Protect\S-1-5-18\User\Preferred
%\System32\%microsoft\Crypto
%\System32\%microsoft\Protect
%\Program Files\%pcast\PodcastbarMini\ownload.ini
%\Program Files\%pcast\PodcastbarMini\updat.exe
%Documents and Settings\Administrator
\Local Settings\Temp%\1.exe
%Documents and Settings\Administrator
\Local Settings\Temp%\101577.exe

2、新建注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\sharehelper\Install\OEMURL
值: 字符串: "http://ulink4.dudu.com/setup/iebar.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\SharedAccess\Parameters\FirewallPolicy\StandardProfile
\AuthorizedApplications\List
值: 字符串: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\101577.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
\List\%\Program Files\pcast\PodcastbarMini\%update.exe"
值: 字符串: "C:\Program Files\pcast\PodcastbarMini\update.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
值: 字符串: "%\DOCUME~1\当前用户名\LOCALS~1\Temp\101577.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
值: 字符串: "%\Program Files\pcast\PodcastbarMini\update.exe

3、病毒运行后连接下列地址：

6*.183.15.233
2**.100.33.13

4、病毒运行后添加一项计划任务：

描述 发行商 映象路径
DM_Install_Program.jobdmremotesetup 1000 Oaks %\documents and settings\当前用户名\local settings\temp\101577.exe

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

--------------------------------------------------------------------------------
清除方案 ：
手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 关闭病毒进程
(2) 删除病毒文件：

%\System32\%microsoft\Protect\S-1-5-18\User
\76d00f4a-dc1c-481e-86be-5c4366c95531
%\System32\%microsoft\Protect\S-1-5-18\User\Preferred
%\System32\%microsoft\Crypto
%\System32\%microsoft\Protect
%\Program Files\%pcast\PodcastbarMini\ownload.ini
%\Program Files\%pcast\PodcastbarMini\updat.exe
%Documents and Settings\Administrator\Local Settings\Temp%\1.exe
%Documents and Settings\Administrator\Local Settings\Temp%\101577.exe

(3) 删除病毒添加的计划任务。
(4) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\sharehelper\Install\OEMURL
值: 字符串: "http://ulink4.dudu.com/setup/iebar.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
值: 字符串: "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\101577.exe"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications
\List\%\Program Files\pcast\PodcastbarMini\%update.exe"
值: 字符串: "C:\Program Files\pcast\PodcastbarMini\update.exe"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
值: 字符串: "%\DOCUME~1\当前用户名\LOCALS~1\Temp\101577.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
值: 字符串: "%\Program Files\pcast\PodcastbarMini\update.exe

木马程序的可能性比较大.

没见过，可能是木马或者什么的峭好说

---

龙湾区19570322650： win7 dllhost.exe是什么进程 - ？
郎行妇良： dllhost.exe是什么进程?dllhost.exe是微软Windows操作系统的一部分.dllhost.exe用于管理DLL应用.dllhost.exe用是运行com+的组件,也就是com代理.如果需要运行windows中的Web和FTP服务器就会有这个进程在运行.这个进程程序对你...

龙湾区19570322650： 118.exe 是什么进程？
郎行妇良： 像这样的1.exe 2.exe a.exe c.exe abc.exe 等都是属于蠕虫病毒.或者下载者病毒.用瑞星杀毒杀一下,用金山清理专家,windows 清理助手,360安全卫士,升级到最新版本,最新日期和查杀引擎.到安全模式中查杀.

龙湾区19570322650： dllhost.exe是什么进程?为什么运行? - ？
郎行妇良： dllhost.exe进程是微软为其Windows系统定义的重要的系统进程,系统描述为:COM Surrogate,一般都将其称为COM +宿主进程(COM +组件服务全称:Microsoft Component Services),它执行控制基于DLL的COM对象、Internet信息服务...

龙湾区19570322650： cs.exe到底是什么进程 - ？
郎行妇良： 进程文件: CS 或 CS.EXE 进程位置: c:\ 程序名称: Cool.Web.Search.HOMESEARCH.F 程序用途: 后门木马病毒 程序作者: 系统进程: 否 后台程序: 是 使用网络: 是 硬件相关: 否 安全等级: 低 进程分析: 病毒修改注册表 创建系统服务Anti-Virus Update Scheduler实现自启动,通过局域网共享目录传播自身.有后门功能,监听端口等待连接.

龙湾区19570322650： explorer.exe是什么进程? - ？
郎行妇良： explorer.exe是Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理.不过也发现有大量的恶意病毒木马插入到explorer.exe进程中导致出现应用程序错误的情况发生. 关于...

龙湾区19570322650： Winlogon.exe是什么进程?有什么功能及如何判断安全性? - ？
郎行妇良： 如果你使用的是微软的Windows操作系统,那么当你打开任务管理器后就会在里面发现这个Winlogon.exe进程在运行,而如果你试图终止此进程时,系统就会出现:无法完成操作,拒绝访问的提示;更为奇怪的是你都无法在任务栏里直接查看到...

龙湾区19570322650： svchost.exe是什么进程,怎样结束 - ？
郎行妇良： 系统进程,无法结束,如果用优化大师进程管理强行结束,则有可能导致系统崩溃,很危险 你的svchost进程目录是不是内存目录,就是system那个,如果是就正常,如果不是那就危险了

龙湾区19570322650： newcentersom.exe是什么进程 - ？
郎行妇良： 这个进程是Windows Modules Installer Worker,用于Windows Update,或安装某些微软发布的安装包时,进行系统文件的修改或替换;如果进程占用率很高100%,可能是系统在安装一些系统模块,如Windows Update正在自动下载安装安全更新;

龙湾区19570322650： 有个进程叫conime.exe是什么进程啊?? - ？
郎行妇良： conime.exe conime - conime.exe - 进程信息 进程文件: conime 或者 conime.exe进程名称: conime描述: conime.exe是输入法编辑器相关程序.注意:conime.exe同时可能是一个bfghost1.0远程控制后门程序.此程序允许攻击者访问你的计...

龙湾区19570322650： svchost.exe的进程是什么,有什么作用? - ？
郎行妇良： 一般来说,任务管理器里有四五个svchost.exe进程是正常的,svchost.exe是系统服务的进程,也就是说系统运行所必需的很多后台服务反映在任务管理器里都是svchost.exe,因此这个进程对于系统的稳定运行是很重要的.文件:svchost或者...