詳情綜述
Windows管理規範(WMI)是微軟Windows 作業系統的一個組件,提供管理信息和企業環境中的控制。通過使用業界標準,管理者可以用 WMI 查詢和設定關於桌面系統、應用程式、網路,和其它企業組件的信息。開發人員可以用 WMI 創建事件監視應用程式,當重要事件發生時通知用戶。
在 Windows 的更早版本中,提供程式和 Windows 管理服務(WinMgmt.exe)一起被載入進程內,運行在 LocalSystem 安全帳戶下。一個提供程式的失敗導致整個 WMI 服務失敗。WMI 的下個請求重新啟動服務。
從 Windows XP 開始,WMI 屬於有著幾個其它服務的一個共享服務宿主。為了避免當一個提供程式失敗時停止所有服務,提供程式被載入一個名為 Wmiprvse.exe 的分開的主機進程。Wmiprvse.exe 的多個實例可以同時運行在不同的帳戶下: LocalSystem、NetworkService,或LocalService。WMI 核心 WinMgmt.exe 被載入名為Svchost.exe的共享的本地服務宿主。
注: wmiprvsw.exe 是Sasser 蠕蟲!
注: wmiprvse.exe檔案尋找,正常的應該在C:\WINDOWS\System32\Wbem 資料夾。如果在其它檔案, wmiprvse.exe 就是病毒、間諜軟體、特洛伊木馬或蠕蟲! 用安全任務管理器檢查這。
注釋: wmiprvse.exe 是存放在 C:\Windows\System32 下的子目錄 - 正常是 C:\WINDOWS\System32\wbem\。已知的 Windows XP 檔案大小為 218,112 位元組 (占總出現比率 88% ),245,248 位元組,203,776 位元組,207,872 位元組,203,264 位元組,206,336 位元組,225,280 位元組,229,376 位元組,226,304 位元組。
已知的一些病毒,如W32/SillyFDC-AW(蠕蟲病毒)、W32/Sonebot-B(木馬後門)等會使用相同的名稱來感染Windwos系統。
病毒處理
表現為不停調用wmiprvse.exe,或使wmiprvse.exe進程達到數十個。或許不是病毒,只是xp的系統問題。
解決方法如下:
1.建議使用XDelBox刪除以下檔案(如果存在): (使用說明:解壓安裝在系統盤區根目錄,刪除時一次過複製所有要刪除檔案的路徑,在待刪除檔案列表里點擊右鍵選擇剪貼簿導入不檢查路徑,導入後在要刪除檔案上點擊右鍵,選擇立刻重啟刪除,這個時候系統會重啟並進入到XDelBox 啟動選單。不用自己選中。讓XDelBox自己執行。刪除完畢會再次重啟進入正常系統。運行xdelbox前最好卸載所有可移動存儲設備) C:\WINDOWS\system32\drivers\Knlrun.sysC:\WINDOWS\system32\drivers\Entech.sys
2.刪除重啟後使用SREng修復下面各項: 啟動項目 -- 服務--驅動程式之如下項刪除: (使用說明:SREng-啟動項目-服務-驅動程式中"選中"隱藏已認證的微軟項目"然後刪除下面名稱的驅動程式(選中有問題的驅動後,點"刪除服務",點"設定"按鈕即可,注意彈出的視窗中要點"否NO"才是確認刪除服務) knlrun/knlrun ENTECH/ENTECH。
