电脑进程安全问题，急救

刚开机的时候多了很多进程，一会就没了，那几个进程都是什么东西啊，是病毒吗？ NET1.EXE NET.EXE CMD.EXE 这几个进程都是什么啊？

system32文件夹下有一个net.exe和net1.exe，一般做渗透的时候，很多情况下管理员只知道删除net.exe而遗漏net1.exe，导致我们能继续do evil.....

一直没弄明白它们到底有什么区别，又有什么联系。而且貌似大家一直认为它们的功能是相同的，但一直没找到确切的答案。

今天Casper同学说他把net1.exe删了以后net.exe就不能用了，觉得可能有情况，就在本机测试了下，发现果真如此，运行net.exe会提示找不到指定文件，说的当然就是net1.exe。如下图。

而把net1.exe恢复回去net命令也恢复正常。

我测试发现如果net1.exe必须放在system32目录，否则即使和net.exe放在同一目录net.exe也会因为找不到net1.exe而报错。(一般情况下程序都是从当前目录开始搜索的，这个有点怪)

那看来除了大小不一样(谁都看得出来= =#)，它们之间貌似还有个依赖关系(net.exe依赖net1.exe)。

那net.exe只是读取net1.exe里面的某些内容呢还是直接需要执行net1.exe呢，我猜测的是可能要运行net1.exe，就想在执行net命令的时候看进程里面会不会出现net1.exe的影子，结果由于net执行太快，一直不成功，干脆用Filemon监测了下，发现果然如此，net.exe运行的时候会去调用net1.exe，然后再由net1.exe进程来执行命令。可以说net1.exe是在背后做事的，net.exe是位于前台的总管，负责调遣。

net1.exe没有命令行帮助，我估计微软可能设计初衷是只把net.exe提供给用户，到微软官方查了半天，也没发现啥有用的说法.......

windows下net是个非常复杂的命令，后面接不同的参数能执行的功能非常多&杂，比如net help结果如下:

NET ACCOUNTS NET HELP NET SHARE
NET COMPUTER NET HELPMSG NET START
NET CONFIG NET LOCALGROUP NET STATISTICS
NET CONFIG SERVER NET NAME NET STOP
NET CONFIG WORKSTATION NET PAUSE NET TIME
NET CONTINUE NET PRINT NET USE
NET FILE NET SEND NET USER
NET GROUP NET SESSION NET VIEW

而这每一个子参数背后基本又带其它的子参数。这么多参数都是调用net1.exe执行吗？

为了把问题搞清楚，我又测试了一轮，发现并不是所有的net命令都会调用net1.exe，但正如我前面所猜想的，net.exe是在前台的总管，负责调遣。net1.exe是负责在背后干活的，在net.exe需要它的时候就站出来执行某些命令，但net1.exe只负责其中的很小一部分而已，其他的命令net.exe会调用不同的dll文件去执行。

所以，在这里有个结论可以肯定的是:net.exe和net1.exe功能是不同的。

部分测试情况如下:

会调用net1.exe的命令

net localgroup
net start/stop
net share

不调用net1.exe的命令

net use
net view

功能差别:某些情况下(一般是net不需要调用net1.exe的时候)用net1执行net的命令，会显示用net执行该命令的帮助

比如net1 use=net use /?

当然还有其他很多可能调用net1.exe或者不会调用net1.exe，我只测了这几个，其他的有兴趣的可以自己试。

总结一下收获，看来net1.exe本应该是一个dll让net.exe调用，但不知道什么原因微软把它做成了exe，具体原因我们就不深究了，微软肯定有它的道理，呵呵。

再贴个相关图片:删掉net1.exe后net use可以正常执行，而net user不行。

摘自红色黑客联盟(www.7747.net) 原文： http://www.7747.net/Article/200906/39812.html

确定有木马!!!

在安全模式下病毒木马无法运行，而杀毒软件能运行!!!

工具都附有下载地址，祝你好运朋友!!!!!!!!

解决办法：推荐杀毒软件(NOD32 卡巴 江民 金山) 1: 建议你先用360安全卫士的木马云查杀和杀毒软件在安全模式下查杀，因为安全模式下查杀效果最好!!

一定要在安全模式下查杀！重启电脑时--按F8--安全模式--打开杀毒软件－－全盘查杀。！！

2: windows恶意软件清理助手　 下载地址： http://www.duote.com/soft/7513.html 一款用户拥有完全控制权的软件清理工具:、独有的清理技术,可以彻底清理有驱动保护的恶意软件;引擎和脚本分离,立场中立,清理操作对用户完全透明;、自定义查杀规则,控制权完全由用户掌握;、开放的用户接口,可以满足您的个性化清理需求,用户自定义脚本文件,实现对一些特殊软件的清理,并可将其共享给所有用户使用!、即时更新脚本库,使您拥有更强劲的清理能力 !!

3:使用360顽固木马专杀查杀当电脑感染木马，如果不能运行请改名：“我爱酒鬼”呵呵 　下载地址： http://www.360.cn/（360顽固木马专杀一定得联网才能查杀)

4: 用贝壳木马专杀贝壳官方网站 下载地址： http://www.beike.cn/ 贝壳木马专杀是绿色软件，直接双击运行就可以了 360虽然不错，但是对于新木马完全没有免疫力 贝壳主要是针对新木马病毒设计的

5: 木马克星乃反黑客－杀木马工具,可以查杀8122种国际木马,1053种密码偷窃木马，保证查杀传奇密码偷窃木马，oicq类寄生木马，冰河类文件关联木马，密码解霸，奇迹射手等游戏密码邮寄木马，内置木马防火墙，任何黑客程序试图发送密码邮件，都需要Iparmor确认，不仅可以查杀木马，更可以反查黑客密码。下载地址： http://mirc.ys168.com/

6:冰刃 IceSword 1.22 中文版 下载地址： http://www.onlinedown.net/soft/53325.htm 这是一斩断黑手的利刃, 它适用于Windows 2000/XP/2003 操作系统, 其内部功能是十分强大, 用于查探系统中的幕后黑手-木马后门, 并作出处理. 可能您也用过很多类似功能的软件, 比如一些进程工具、端口工具, 但是现在的系统级后门功能越来越强, 一般都可轻而易举地隐藏进程、端口、注册表、文件信息, 一般的工具根本无法发现这些 "幕后黑手" .IceSword 使用了大量新颖的内核技术, 使得这些后门躲无所躲. 当然使用它需要用户有一些操作系统的知识. 使用前请详细阅读说明.在对软件做讲解之前, 首先说明第一注意事项: 此程序运行时不要激活内核调试器(如softice), 否则系统可能即刻崩溃. 另外使用前请保存好您的数据, 以防万一未知的

7: 以下两个删除软件供备用。个别病毒杀软也杀不掉的用这两个删除吧 Unlocker是一个免费的右键扩充工具，当用户发现有文件或进程无法删除时，可以通过右键菜单中的“Unlocker”进行解锁，不过它并非强制关闭的程序，而是以解除进程与程序关联性的方式进行，因此不会造成数据丢失。以后当你要删除文件的时候，右键选择Unlocker 即可 下载地址：　 http://www.newhua.com/soft/24732.htm

超级巡警文件暴力删除工具　采用内核技术删除文件，能删除运行中文件或者被占用文件，可以用来查看文件被哪些程序占用，也可以在病毒分析中对一些顽固病毒木马衍生文件的删除。 下载地址： http://www.duote.com/soft/13844.html[/color][/url]

　病毒清理完成后用SREng工具(系统修复大师）进行修复！！

下载地址：　 http://www.kztechs.com/sreng/download.html

net1.exe是用户分配权限未见，看你的系统是什么了，

net.exe是继承用户分配

CMD是命令行是某程序如瑞星等都有可能会出现这个黑色框框！就是表示有命令自启动~

一般是继承权限或你使用冰点等就会有框框啦！

关键详细进程问题你可以使用360安全卫士的高级里面有个系统进程状态

里面就有详细的分析！

还有：winlogon.exe病毒的查杀方法

　　这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程

　　正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。

　　而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。

　　进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程，其用户名为“SYSTEM”。如果出现了两个winlogon.exe，且其中一个为大写，用户名为当前系统用户的话，表明可能存在木马。这个木马非常厉害，能破坏掉木马克星，使其不能正常运行。目前我使用其他杀毒软件未能查出。

完了，提供几个木马专杀：

木马克星(iparmor) 2009 Build 0922

下载地址为： http://www.duote.com/soft/2921.html

木马清除专家 2009 V0928

下载地址为： http://www.duote.com/soft/7207.html

QQ病毒木马专杀工具(QQKav) V2009.08.01 建军节版

下载地址为： http://www.duote.com/soft/10999.html

机器狗/磁碟机/AV终结者木马专杀工具 V7.42 | 清除AV终结者、修复

http://www.duote.com/soft/11492.html

有可能是中毒，但不能确定。你用工具检查一下。

杀毒软件效果不好的情况下，最好用专门的专杀木马工具，绝对搞定的。 - 这些流行特洛伊、盗号木马的专杀工具很有效的，你抓紧试试了。他们的效果由强到弱，有兴趣你可以都试试，我推荐先用第一个。 都是绿色的软件，与当前的杀毒的和工具都不冲突。 1.下载这个工具 windows清理助手3.0 对流行木马和IE弹广告窗口等有奇效！！！ 地址 http://www.arswp.com/download/arswp2/arswp2.rar 简介：短小精悍，首选工具！ 用法： 下载后，解压到桌面 运行程序（ArSwp.exe），等扫描。 扫描出来的东西，全部打勾，点清理即可（如提示重启就重启下电脑）.

- 2.强力推荐 贝壳安全的木马专杀: 扫描系统文件夹一绝!! （这个是玩网络游戏的人必备的工具，文件超小，但扫描效率很高） 下载地址 http://www.beike.cn/ 《贝壳木马专杀》是国内首款专为网游防盗号量身打造的，是完全免费的木马专杀软件； 小于500kb的轻小体积，纯绿色的免安装模式，适合玩家快速下载使用。由金山的云安全和贝克联合出品！效果很好。 - 3. 360 出的顽固木马专杀 （注意不是360安全卫士） http://www.360.cn/killer/360compkill.html 简介：可查杀机器狗、U盘病毒、磁碟机, 最新各类流行木马等数十种顽固型木马；并修复360安全卫士及360保险箱 注意：这个工具偶尔会有文件误报，注意一下就行了。

下载最新的360顽固木马专杀大全4.2

http://down.360safe.com/360compkill.zip

解压后，把superkiller.exe 改个名,如aa.exe, 然后进行联网状态下自定义全盘扫描，完成后重启电脑.

使用专杀大全期间请不要做其他操作，专杀大全提示重启请点立即重启，以免木马重复感染。