프로세스 문제 정보
Rising Firewall 18.09의 Rfwproxy.exe 차단 솔루션 Rising Firewall 18.09의 의심스러운 프로그램에 대한 솔루션!
이번 월요일 방화벽이 업그레이드된 이후 방화벽 버전 18.09에 의심스러운 프로그램인 rfwproxy.exe가 추가되었다는 제보가 많이 나왔습니다. 사실 이건 DL 서비스 프로그램인데 시스템으로 시작해서 약 14M 정도의 메모리를 차지하는데, 메모리가 작은 저나 다른 분들에게는 괴로운 일입니다(내 메모리는 256M). 아직 구체적인 목적은 모르겠습니다. 라이징 고객센터로 이메일을 보냈고, 소식이 나오는 대로 알려드리겠습니다. 이 서비스는 이제 쓸모도 없고 공간만 차지할 것 같아서 중단했습니다. 저와 같은 생각을 가진 친구들은 아래 방법으로 비활성화 하시면 됩니다.
1. "시작" - "제어판" - "관리 도구" - "서비스"를 선택하여 서비스 창을 엽니다.
2. 오른쪽 창에서 떠오르는 프록시 서비스 프로그램을 찾아보세요.
3. 서비스 프로그램을 마우스 오른쪽 버튼으로 클릭하고 팝업 메뉴에서 "속성" 명령을 선택합니다.
4. "시작 유형" 항목에서 "사용 안 함"을 선택하세요.
5. '서비스 상태' 영역에서 '비활성화' 버튼을 클릭하세요.
6. 끝에 "OK"만 입력하세요.
rfwstub.exe
언어: 영어
이름: rfwstub.exe
설명:
Rising 방화벽 프로세스
분석:
Rising Personal Firewall 2008 버전은 현재 유행하는 해커 공격, 피싱 웹사이트, 인터넷 음란물 등에 대해 특별히 최적화되었으며 알려지지 않은 트로이 목마 식별, 상위 보호 기능을 사용합니다. , 피싱 방지,
다중 계정 관리, 인터넷 보호, 모듈 검사, 의심스러운 파일 위치, 네트워크 신뢰 영역 설정, IP 공격 추적 및 기타 기술을 통해 사용자는 해커 공격, 인터넷 사기 등에 효과적으로 저항할 수 있습니다. . 보안
안전 위험.
* 사용자가 자신의 컴퓨터를 쉽게 관리할 수 있도록 하는 방화벽 다중 계정 관리
* 알려지지 않은 트로이 목마 공격을 방지하기 위한 알려지지 않은 트로이 목마 식별
* IE 기능 호출 차단 IE 브라우저 활성화는 바이러스에 의해 악용되지 않습니다
* 강력한 피싱 방지 및 트로이 목마 바이러스 방지 웹 사이트 기능 제공
* 트로이 목마가 네트워크를 통해 정보를 전송하는 것을 방지하는 모듈 검사 기능
* p>
공식 웹사이트: /
목적: Firewall
저자: Beijing Rising Technology Co., Ltd.
소속: Rising Firewall
p>svchost.exe
프로세스 파일: svchost 또는 svchost.exe
프로세스 이름: Microsoft 서비스 호스트 프로세스
프로세스 범주: 기타 프로세스
영어 설명:
svchost.exe는 DLL에서 실행되는 프로세스를 처리하는 Microsoft Windows 운영 체제에 속하는 시스템 프로세스입니다. 이 프로그램은 컴퓨터의 안정적이고 안전한 실행에 중요합니다. 참고: svchost.
중국어 참조:
svchost.exe는 Microsoft Windows 운영 체제에 속하는 시스템 프로그램으로 DLL 파일을 실행하는 데 사용됩니다. 이 프로그램은 시스템의 정상적인 작동에 매우 중요합니다. 참고: svchost.exe는 Windows LSASS 취약점을 악용하여 버퍼 오버플로를 생성하고 컴퓨터를 종료시키는 W32.Welchia.Worm 바이러스일 수도 있습니다.
자세한 내용은 다음을 참조하세요. \msibm.dll은 시스템을 모니터링하기 위해 여러 프로세스를 삽입하고 system32 아래에 다음과 같은 망할 것들을 생성합니다:
wmpdrm.dll
1116\ < / p>
msicn\msibm.dll
msicn\ube.exe
msicn\plugins\
spoolsv\spoolsv.exe(여전히 길다) Microsoft 인쇄 서비스와 같아야 합니다. 젠장!)
다음 쓰레기를 레지스트리에 추가하십시오:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -프린터"
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
@="%System%\wmpdrm .dll"
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\]
[HKEY_CLASSES_ROOT\Interface\]
그런 다음 위의 사항을 4초 정도마다 모니터링하고 전후에 서로를 돌보며 어디서부터 시작해야 할지 알 수 없도록 합니다.
시작 항목 c:/windows/system32/spoolsv /spoolsv.exe -printer
cfs2... 관련 파일 및 디렉터리:
%System%\wmpdrm.dll
%System%\1116\
p>
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe가 있습니다. 시작 항목:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
실행 후 %System%\msicn\msibm.dll이 호출되어 백업에 사용되는 % System%\1116\ 디렉터리가 생성됩니다.
%System%\1116\ 디렉터리는 %System%\wmpdrm.dll, %System%\msicn\ 및 %System%\spoolsv\spoolsv.exe의 백업이 포함된 백업 디렉터리입니다.
%System%\msicn\msibm.dll은 지정된 여러 프로세스를 삽입하고 복구 파일(%System%\1116\ 디렉터리에서) 및 레지스트리 정보(시작 항목, BHO)를 모니터링합니다.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
p>@="%System%\wmpdrm.dll"
참고: "spoolsv"의 데이터는 모니터링되지 않으므로 해당 데이터가 수정된 데이터는 복원되지 않습니다. "spoolsv"를 삭제하면 됩니다. 복원됩니다.
파일은 원격 서버에서 다운로드할 수도 있습니다:
\ube.exe
%System%\msicn\plugins\(디렉토리에 4개의 dll 파일 )
%System%\wmpdrm.dll은 BHO이고 %System%\msicn\ube.exe는 제거 프로그램과 같습니다.
또한 %System%\ 및 %System%\msicn\ 디렉터리의 원격 위치에서 다운로드된 일부 cpz 및 vxd 파일이 있습니다. 예:
ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll이 BHO로 호출된 후 %System%\spoolsv\spoolsv.exe 및 %System%\msicn\msibm.dll을 호출해 봅니다.
참고: %System%\spoolsv\spoolsv.exe가 실행 중이 아니거나 호출되지 않으면 백업에 사용되는 것처럼 백업 및 복원되지 않습니다.
추가로...
"시작 메뉴" >> "프로그램"에는 다음을 가리키는 NavAngel.lnk 바로가기가 있는 "NavAngel" 항목이 있을 수 있습니다. %System% \spoolsv\spoolsv.exe -ctrlfun:4,3
"프로그램 추가/제거"에 "NavAngel" 항목이 있고 해당 명령은 다음과 같습니다: %System%\spoolsv\spoolsv .exe -ctrlfun:4, 2
"WinDirected 2.0"도 있으며 해당 명령은 다음과 같습니다: %System%\spoolsv\spoolsv.exe -uninst
또한 있을 수도 있습니다 임시 캐시 파일을 저장하는 것처럼 보이는 mscache\ 디렉터리입니다.
BHO 관련 레지스트리 정보:
[HKEY_CLASSES_ROOT\CLSID\]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\ wmpdrm .cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\]
[HKEY_CLASSES_ROOT\Interface\]
중독되었는지 확인하려면:
1. 시작 - 실행을 클릭하고 msconfig를 입력한 후 Enter를 누르고 유틸리티 구성 프로그램을 열고 "시작"을 선택하면 Windows에 들어갈 때마다 Spoolsv.exe를 실행하는 시작 항목이 나타납니다. , NTservice에 대한 대화 상자가 나타납니다.
2. C 디스크로 가정하여 시스템 디스크를 열고 C:\WINDOWS\system32\spoolsv 폴더에 "Aoxun Browser Auxiliary"라는 단어가 포함된 spoolsv.exe 파일이 있는지 확인합니다. 도구" 일반 spoolsv.exe 프린터 버퍼 풀 파일은 C:\WINDOWS\system32 디렉터리에 있어야 합니다.
3. 작업 관리자를 열면 spoolsv.exe 프로세스가 있고 CPU 사용량이 매우 높습니다.
제거 방법:
1. 다시 시작하고 F8을 눌러 안전 모드로 들어갑니다.
2. 시작-실행을 클릭하고 cmd를 입력한 후 dos를 입력합니다.
rd 명령을 사용하여 다음 디렉토리(존재하는 경우)를 삭제합니다(dos 창에서 rd(공백) C:\WINDOWS\system32\spoolsv/s를 입력하고 프롬프트가 나타나면 Enter를 누릅니다. 메시지가 나타나면 y를 입력하고 Enter를 누르면 전체 디렉터리를 삭제할 수 있습니다.):
C:\WINDOWS\system32\msibm
C:\WINDOWS\system32\spoolsv
C:\WINDOWS\ system32\bakcfs
C:\WINDOWS\system32\msicn
del 명령을 사용하여 다음 파일(존재하는 경우)을 삭제합니다. 예를 들어 dos 창에 del(공백) C:\windows\system32\spoolsv.exe를 입력하고 Enter를 누르면 감염된 spoolsv.exe가 삭제됩니다. 이 파일은 이후 다른 일반 시스템의 일반 spoolsv.exe에 복사될 수 있습니다. 안티 바이러스가 완료되었습니다.
C:\windows\system32 폴더.):
C:\windows\system32\spoolsv.exe
C:\ WINDOWS\system32\wmpdrm.dll
3. 다시 시작하고 F8을 눌러 안전 모드로 다시 들어갑니다.
(1) 바탕 화면에서 내 컴퓨터를 마우스 오른쪽 버튼으로 클릭하고 "관리"를 선택한 다음 "서비스 및 응용 프로그램" - "서비스"를 클릭하고
NTservice를 마우스 오른쪽 버튼으로 클릭하고 "속성"을 선택합니다. ", 시작 유형을 "사용 안 함"으로 변경하세요.
,
(2) 시작, 실행을 클릭하고 regedit를 입력한 후 Enter를 눌러 레지스트리를 열고 메뉴에서 편집을 클릭한 다음 찾기를 선택하고 spoolsv가 포함된 레지스트리 항목을 찾습니다. exe, 삭제. F3을 사용하여 spoolsv.exe가 포함된 모든 레지스트리 항목을 계속 검색하고 삭제할 수 있습니다.
4. 위의 작업이 완료된 후에도 해당 프로세스가 남아있는 경우. 바탕 화면에서 내 컴퓨터를 마우스 오른쪽 버튼으로 클릭하고 "관리"를 선택한 후 "서비스 및 응용 프로그램" - "서비스"를 클릭하고 인쇄 스풀러를 마우스 오른쪽 버튼으로 클릭한 후 "속성"을 선택하고 먼저 "중지"를 클릭한 다음 시작 유형을 수동으로 변경하세요. 또는 '사용 중지됨'. 그런 다음 위의 단계를 반복하십시오.
또 다른 해결책은 C:\WINDOWS\system32\spool\PRINTERS 아래의 파일을 직접 삭제하는 것입니다.
또한 상황에 직면했습니다: 검사 후 바이러스는 위에서 설명한 것과 다릅니다. 종종 CPU의 100%를 차지하지만 프로세스를 여러 번 종료한 후에는 더 이상 나타나지 않는 것이 이상합니다.
위에서 언급했듯이 system32에는 스풀 폴더가 있습니다. 문제를 해결하려면 \PRINTERS 아래의 파일을 삭제하기만 하면 됩니다.
이것은 '바이러스' 문제가 아니라 시스템 장애일 수도 있지만, 발생하면 여전히 매우 귀찮습니다.
------------------------------- -- ----------
Microsoft의 설명
Windows 2000 인쇄 스풀러는 다음을 삭제하지 않습니다. 인쇄 작업 스풀 파일
증상
인쇄 작업을 프린터로 보낼 때 인쇄 스풀러가 %Systemroot%\System32\Spool\Printers에서 인쇄 스풀 파일을 삭제하지 못할 수 있습니다. 결과적으로 인쇄 스풀러는 인쇄 작업을 반복적으로 스풀하려고 시도할 수 있습니다.
이 인쇄 스풀 파일이 있다고 해서 다른 인쇄 작업이 스풀되는 것은 아닙니다.
원인
이 문제는 인쇄 작업의 인쇄 스풀 파일에 읽기 전용 속성이 있는 경우 발생합니다.
해결 방법
이 문제를 방지하려면 %Systemroot%\System32\Spool\Printers 폴더에 있는 인쇄 스풀 파일의 속성을 변경하지 마십시오.
이 문제를 해결하려면 읽기 전용 특성을 제거한 다음 %Systemroot%\System32\Spool\Printers 폴더에서 스풀 파일을 삭제하세요.
읽기 전용 특성을 제거하려면 Windows 탐색기나 내 컴퓨터에서 파일 스풀을 마우스 오른쪽 버튼으로 클릭하고 속성을 클릭한 다음 읽기 전용 확인란을 선택 취소하고 확인을 클릭하세요.
Windows 2000에서 파일을 삭제하는 방법에 대한 자세한 내용을 보려면 시작, 도움말, 색인 탭을 차례로 클릭하고 삭제를 입력한 다음 파일 삭제 항목을 두 번 클릭하십시오.
상태
이 현상은 설계상 발생하는 현상입니다.
추가 정보
기본적으로 인쇄 스풀에는 보관 속성만 있습니다. 인쇄 스풀 파일 속성은 파일이 %Systemroot%\System32\Spool\Printers 폴더에 있는 동안 프로그램이 파일 속성을 변경하거나 사용자 또는 관리자가 의도적으로 파일 속성을 변경하는 경우에만 변경됩니다.
맨 위로
CCenter.exe
프로세스 파일: ccenter 또는 ccenter.exe
프로세스 이름: ccenter.exe
p>
설명: ccenter.exe는 Rising 정보 센터이자 Rising 바이러스 백신 소프트웨어의 구성 요소입니다.
제작자: Rising
소속: Rising
시스템 프로세스: 없음
백그라운드 프로세스: 있음
네트워크 사용: 아니요
하드웨어 관련: 아니요
일반적인 오류: 알 수 없음
메모리 사용량: 1796k
보안 수준: 0
p>스파이웨어: 아니요
애드웨어: 아니요
바이러스: 아니요
트로이 목마: 아니요