进程
hkcmd.exe是什么进程?为什么运行?如何识别相关病毒?
当你打开Windows电脑任务管理器可能就会发现里面有hkcmd.exe进程在运行,虽然这不是一个系统进程,也只是部分电脑里面有此进程,但如果系统里面有,它就会随着电脑系统的启动而一起启动。那么这个hkcmd.exe是什么进程呢?它的运行在系统中起到什么功能?会不会是一个病毒文件?hkcmd.exe进程(HotKeysCmds)是Intel®(英特尔)公司为其开发的显卡芯片组定义的一个与驱动关联的热键命令模块程序。在功能上hkcmd.exe进程为用户提供对显卡驱动设置程序各种功能及其他系统软件快速调用的快捷键(比如Ctrl + Alt + F12)。如果你电脑采用的是英特尔810和815等芯片组集成显卡,当你安装显卡驱动程序时此进程便会一起被安装到系统中。次进程的运行的运行没有窗口(称为后台进程),我们可以通过以下位置看到此程序文件:所在位置:C :/ windows/system32/hkcmd.exe (C为系统安装所在分区的盘符)它个不是一个Windows®系统自身的进程,所以如果你觉得次它没必要运行,可以将其终止,这个操作不会导致系统及显卡程序故障或其他程序出现问题。如果不想hkcmd.exe随系统自动启动或占用电脑性能资源,可以在以下位置来关掉它:开始→控制面板→Intel Extreme Graphics(英特尔图形图标)同时此进程一般会与igfxtray.exe共同存在,通常他们都是安全的。如果你的电脑中次进程有一场表现:比如报错、CPU使用率过高,可尝试通过重新安装显卡驱动程序来解决。如若未果,那么很有可能是病毒所为。(延伸:svchost.exe是什么进程?)虽然不是系统进程,但hkcmd.exe进程存在已有进10多年漫长的历史,且采用Intel集成显卡的电脑有很多,所有很多病毒也盯上了此进程文件,他们或采用完全相同的名称或更开其中一个数字以便迷惑用户。不过下面这些方法可以帮助我们判断hkcmd.exe是不是病毒:一些相关木马病毒已被杀毒软件捕获,下面这些就是将自己伪装成hkcmd.exe的病毒:
KunlunPlatform.exe是什么进程?是安全的程序吗?
如果你在Windows系统任务管理器看到了KunlunPlatform.exe进程在运行,这说明你的电脑安装并且正在使用微软英库Engkoo英库输入法。你尝试一下在电脑的任何可输入文字的地方点击以下鼠标就会出现这个进程的窗口:看到了吗?它是一个输入法的窗口。觉得不够详细?请看下文:KunlunPlatform.exe进程是微软发布的Engkoo(英库)拼音输入法进程,这款输入法英库输入法是由微软亚洲研究院发布的一款功能非常好用的拼音输入法程序(笔者就在用这款程序),功能上教微软以前系统中默认自带的拼音输入法以及简洁版与新体验输入法有较大提升。此程序可以被安装在Windows XP以及Win7和Win8系统(桌面环境)上,如果你安装并使用切换键将当前使用的输入法切换到了Engkoo输入法那么KunlunPlatform.exe进程就会被激活并出现在任务管理器中,并以当前系统用户名称运行。进程所在位置:C:\Program Files\Microsoft Engkoo Pinyin\1.0.413.03\Shared其中C为你的Engkoo输入法安装所在分区盘符,会更具不同安装位置有所不同。后面那一连串数字是KunlunPlatform.exe版本信息,会更具微软亚洲研究院对Engkoo的升级而有所不同。以下是进程熟悉截图(基于Win7专业版):KunlunPlatform.exe不是一个系统进程,不过也无法通过任务管理器将其终止(终止后它会再次出现)。如果你介意它的存在,可以在输入法设置栏中将其删除或者卸载Engkoo英库输入法。(延伸:svchost.exe是什么进程?)虽然目前还鲜有相关病毒报道的案例(这可能与次输入法用户范围有关),不过也难免以后会出现相关的木马病毒。我这里有一些基本方法可以用户防范或发现这类悲剧的发生:以上任何情况的出现都是危险的信号,特别是前三条。如果你遇到此类情况,应该立即安装杀毒软件并更新最新病毒库后对电脑进行全盘查杀。
wuauclt.exe是什么进程?让Windows系统自动更新!
Windows系统用户可以通过任务管理器到wuauclt.exe进程是否运行,如下图所示:那么wuauclt.exe是什么进程及它为什么会运行呢?本文或许对你有所帮助:wuauclt.exe进程文件是微软为其Windows操作系统定义的系统文件,被描述为:Windows Update(Windows更新),也就是说这个进程是一个自动更新客户端。这是一个后台进程(它运行没有界面),它会连接到微软服务器上来检查你电脑上的Windows系统、驱动程序或其他微软软件的更新(比如各种系统补丁),如果有更新便会下载自动安装(也可以更改更新设置),如下图所示。如果你在任务管理器中看到了wuauclt.exe进程,那就说明你开启了Windows系统更新功能了。毫无疑问,如果你想用自动更新功能(上图中除最后一个“关闭自动更新”项以外),这个进程是必须存在的,即便是在任务管理器中将其终止它也会自动启动。而如果关闭自动更新,wuauclt.exe是不会自动启动的,即便是手动启动它也会自动关闭(我已经验证过了)。我还是建议大家开启自动更新,让wuauclt.exe进城处于运行状态,这样能及时更新系统漏洞,可确保你系统的安全。(拓展阅读:svchost.exe是什么进程?)进程所在位置:C:\WINDOWS\system32 (C为系统安装所在分区盘符)开启/关闭位置:控制面板→安全中心→自动更新作为一个重要的系统进城,wuauclt.exe成了一些木马病毒中毒“突击”的目标,这些病毒有些会使用相同的名称,有些则会修改几个容易混淆的字符意图获得用户更多的信任。这里笔者有些方法可以快速实现在不用杀毒软件的情况下识别出这些病毒:安全厂商已拦截到相关病毒Backdoor.Clt(W32.Cult),这是一个后门木马,使攻击者能够完全控制你的电脑。 如果wuauclt.exe是连接到6667端口,很有可能已感染Backdoor.Clt病毒。
spoolsv.exe是什么进程?出现spoolsv.exe应用程序错误
spoolsv.exe是一个常见的进程,在使用微软的Windows操作系统时,当打开任务管理器就会在里面发现spoolsv.exe进程在运行,并且此进程通常是随着系统启动而开启并一直运行直到关闭计算机。那么你知道这个spoolsv.exe是什么进程嘛?为什么在电脑中自动运行?为何会出现spoolsv.exe应用程序错误的情况?本文或许对你有所帮助:spoolsv.exe进程文件是由微软为其发布的Windows操作系统定义一个重要的系统进程,被称为:Spooler SubSystem App(后台处理程序子系统应用程序),是打印后台处理程序打印接口的主要组成部分。它的功能是管理后台打印作业:给本地打印机发送打印任务、缓存打印数据、负责对多个打印任务进行列队,用户不必等待逐个进行。如果我们需要打印文件、图片时必须有spoolsv.exe进程运行。此进程的运行没有窗口(俗称后台进程),在已测试的Windows XP以及Win7系统中此进程会在电脑启动时被初始化在后台运行直到关闭电脑。此进程文件在所有系统中存储的位置:所在位置:C:\WINDOWS\system32\spoolsv.exe(C代表系统安装坐在分区盘符)一般情况下只要电脑没有打印任务需要处理是可以在任务管理器中终止spoolsv.exe进程运行的,关闭它后不会影响到系统的正常运行(不过下次开机时它还是会自动启动)。但如果计算机的本地打印机在进行打印任务,终止其运行会导致打印无法正常工作。由于spoolsv.exe是Windows操作系统自身的一个进程文件,所以很多木马病毒或恶意软件会冒充它的名字来迷惑用户。如果不幸遭遇,系统常常会伴有spoolsv.exe应用程序错误的现象的现象发生,如果你的电脑也有这种情况或者怀疑有病毒冒充了此进程,那么我们在不借助杀毒软件的情况下可以利用一下几个条件来判断他们是否安全:如果出现以上5种情况中的一种或多种(可综合这几条一起来判断),那么你的电脑很有可能中了木马病毒,笔者很多用户会有遇到过系统提示应用程序错误错误的情况,绝大多数都是病毒所致。建议大家尽快升级杀毒软件最新病毒库然后对电脑进行全盘查杀(包括移动存储设备)。以下是已被拦截的部分与本进程有关的病毒:%Systemroot%变量代表系统启动文件夹位置,如果安装在C盘就会是C:\Windows
lsass.exe是什么进程?为什么运行?如何识别相关病毒?
如果你使用的是Windows XP系统,当你打开系统的任务管理器时就会在里面发现这个lsass.exe进程在以运行。此进程会随着启动系统而自动启动并一直运行,并且无法在任务管理器终止。那么这个lsass.exe是什么进程?为什么无法终止?其在Windows系统中起到什么作用?是不是病毒伪装又如何鉴别?本文或许对你有所帮助:lsass.exe进程是微软为Windows®操作系统定义的系统进程,存在于基于Windows NT的系统,如Windows 2000/Xp/2003/Vista系统中。其描述为:LSA Shell (Export Version)本地安全认证服务,其作用是处理密码变更以及验证尝试登录到计算机的用户,如果登录成功它会创建该用户的访问令牌,并用它来启动外壳程序(Explorer.exe),其他的由用户初始化的进程会继承这个令牌。lsass.exe文件信息:所在位置:C:\WINDOWS\system32(其中C代表系统安装所在分区盘符)毫无疑问,这是一个Windows系统的关键进程,它会随着系统启动而启动,且不能从Windows任务管理器中被终止,Windows会禁止你这么做,因为系统需要此进程正常工作。如果你尝试这么做会出现“该进程为关键系统进程,任务管理器无法结束进程”的提示,如果使用第三方管理工具,如微软的procexp将lsass.exe进程其强行终止,系统会60秒内自动重启。不过这个我们可以在运行中输入:shutdown -a来去掉这个lsass.exe自动重启的提示窗口,窗口消失之后你的系统可以继续运行。而电脑之所以重启是因为此进程负责:创建该登陆用户访问令牌。一旦强行结束其运行,不仅会自动重启,其系统的一些功能也会无法使用,比如“关闭计算机”中的关机项消失,如下图所示: 不过可以点“切换用户”按钮,里面会有一个关机项。另外,如果你电脑里面有多个账户,这是你还会发现切换用户窗口中的用户全消失了,而留给你的是左下方仅有的一个关机按钮。本进程作为在众多系统中都存在的重要系统进程,早就一些木马病毒给盯上了。它们其中的一些还会使用类似名称,如:Isass.exe(大写的i开头)、lsasss.exe(Sasser蠕虫)等。这些恶意程序或木马病毒长常会导致lsass.exe系统错误的提示。不过这些相关病毒我们有一些方法可以在不需要杀毒软件的情况下对正在运行的lsass.exe进程进行鉴别:如果你的系统发现以上4中情况中的一种或多种请保持警惕,因为那些现象非常有可能是木马病毒或恶意软件导致的,建议你尽快更新杀毒软件病毒库后进行全盘查杀。如果你在系统里发现任何与此进程有关的情况或是对本文关于lsass.exe是什么进程这个疑问的相关描述有些意见或建议希望你可以留言,你信息都将是重要的参考。拓展阅读:svchost.exe是什么进程?
dwm.exe是什么进程?它为什么运行?dwm.exe图文介绍
如果你使用的是Windows Vista、Win7操作系统,当你打开任务管理器就会在里面发现这个dwm.exe进程在运行,有时候你会发现它会占用较多的内存资源。不过你知道吗?dwm.exe可是一个非常实用的进程哦,它可以实现一些炫酷的桌面效果。下面笔者将图文并茂告诉你dwm.exe是什么进程;主要有那些功能以及禁止其运行后会不会影响系统正常工作等疑惑,希望可以对你能有所帮助。dwm.exe是微软Microsoft®为其Windows 7/Vista操作系统定义的系统进程。dwm是Desktop Window Manage的缩写,在系统中描述为:桌面窗口管理器,在默认设置下dwm.exe会随系统自动启动并一直运行,在以前的XP之类系统中是没有这个进程的。此进程的功能可以使操作系统上显示的各种窗口图形效果更美观及提高使用体验(称为Windows Aero)。Windows Aero效果包括3D特效、窗口透明、实时预览:Windows Flip 3D:提供下图所示的3D快速预览所有打开的窗口,而无须单击任务栏:提示:Flip 3D是Windows Aero的功能之一,并不需要再安装其他软件即可实现。 如何开启Flip 3D效果:按Ctrl+Windows徽标键+Tab快捷键即可(Windows 7/Vista)玻璃及阴影效果:即实现各种界面窗口边缘的半透明及边缘阴影。如下图所示:提供实时窗口预览:鼠标放置任务栏下当前打开的窗口上会实现显示它的小窗口; 从上图总我们可以看出dwm.exe实现的显示效果还是蛮不错的,不过要想支持这种Aero桌面效果,你电脑的Windows 体验指数基础分数要在 3.0 以上才能够较好运行Aero,分数过低将没有足够的功能运行dwm.exe实现的Aero桌面效果。如何关闭dwm.exe进程:随着打开的窗口增加此进程会出现内存占用高的情况便会出现,这是正常现象。然而对于那些性能并不太好的计算机这种情况可能会让电脑有点卡(比如1G内存),这时你可以将dwm.exe实现的这些功能关闭或降低屏幕分辨率,这或许可以让系统的流畅度有所改善(但同时也会失去那些窗口效果)。禁用Windows Aero效果的方法:
Winlogon.exe是什么进程?有什么功能及如何判断安全性?
如果你使用的是微软的Windows操作系统,那么当你打开任务管理器后就会在里面发现这个Winlogon.exe进程在运行,而如果你试图终止此进程时,系统就会出现:无法完成操作,拒绝访问的提示;更为奇怪的是你都无法在任务栏里直接查看到它存储的位置。那Winlogon.exe是什么进程?有哪些功能?为什么会出现这种与别的进程不一样的情况呢?Winlogon.exe进程是微软公司为其Windows操作系统定义的一个非常重要的系统核心进程,被称为“Windows登陆应用程序”,它会随着系统启动而启动并一直运行。通常情况下此进程应该是安全的,并且只占用很少的CPU及内存资源,如果资源占用过多则很有可能被病毒“劫持”。请不要尝试将本进程终止(也无法在任务管理器将其终止)或将此进程从系统中删除,这会导致你的系统无法正常运行。因为Winlogon.exe进程为系统提供了有以下4项重要的功能:现在你应该知道Winlogon.exe进程对Windows系统有多么重要了。对了,如果你想要查看本进程的程序属性,你不能像对待其他进程那样在资源管理器中通过“右击→属性”来查看,不过可以打开程序所在位置来查看。本进程程序文件在系统中被保存在以下位置:C:\Windows\System32 (其中C:代表系统安装所在分区的盘符)系统的核心进程一直都是病毒们紧盯的目标,因为核心进程一般会一直运行且会被用户信任。Winlogon.exe进程也不例外,已经有类似病毒被安全厂商截获,它们有的会使用与Winlogon相同的名称来迷惑用户。被感染的用户会可能会出现以下情况:如果操作系统出现以上三种情况中的一种或多种时别再犹豫是什么原因了,你很可能已被感染病毒,建议立即更新杀毒软件最新病毒库后全盘查杀。以下是已被截获的部分病毒实例:%Systemroot%变量代表系统启动文件夹位置,如果安装在C盘就会是C:\Windows以上便是我们对Winlogon.exe进程的一些总结,希望本文对你有所帮助;如果你对本次有些意见或相关简介以及你在电脑上遇到的任何与此进程相关的情况希望你可以发表留言,你提供的信息将作为重要依据供大家交流参考。拓展阅读:svchost.exe是什么进程?
Rthdcpl.exe是什么进程?及如何识别Rthdcpl.exe病毒?
本文需要解答的问题:Rthdcpl.exe是什么进程?它来自哪里又为何会运行在我的电脑里?我将为你尽可能详细的解答,本文并不长也很容易理解。如果你在Windows任务管理器中发现有Rthdcpl.exe进程存在,这说明你电脑采用了瑞昱半导体公司的声卡产品,你可以放心,这是一个安全的进程。Rthdcpl.exe进程是来自台湾的著名半导体公司:瑞昱半导体股份有限公司为其声卡设备提供的驱动及设置控制程序。它有一个专用名称:Realtek HD音频音效管理器,也是Realtek HD音频控制面板的组成部分,Rthdcpl.exe会随着你给电脑Realtek声卡安装驱动而一起安装。在功能上我们可以用它来修改Realtek音频设备的设置从而控制声音的表现。默认安装的话此进程应该被保存在这个位置:C:\Windows (C:代表系统安装所在分区盘符)Rthdcpl.exe进程并非系统文件及核心进程,并且它在运行的时候只占用很少的系统资源。如果你尝试在任务管理器中禁止该进程很有可能会导致电脑没有声音(不同的版本可能不同)。虽然终止后它不会自动启动,但还是会随着你下次启动电脑时而启动。如果你不希望它随开机启动启动可以通过在“系统配置”项中的“启动”栏目中将其禁止(禁止后依然可以通过系统的控制面板访问),方法如下:打开“运行”输入msconfig打开“系统配置”对话框,切换到“启动”栏去掉Realtek即可虽然Rthdcpl.exe进程不是一个系统进程,但也不幸的被黑客盯上;目前已经有安全厂商截获过相关病毒。不过别担心,我们可以利用一下方法快速有效的识别出相关病毒:第一种情况可能并不太准确,但如果是第二种:任务管理器中有两个Rthdcpl.exe进程就很有可能感染病毒了(可以利用上面的“系统配置”禁止Rthdcpl.exe启动来识别二者真伪);而出现第三种被感染的可能性也是相当大的。如果你的系统出现这三种情况建议时用更新杀毒软件病毒库后对系统全盘查杀。好了,到这里你应该对Rthdcpl.exe是什么进程有所了解了。
Rundll32.exe是什么进程?为什么运行?Rundll32.exe详解
我们打开微软部分版本系统的Windows任务管理器后会发现里面有Rundll32.exe进程在运行(但不是所有系统都有),虽然其存在于操作系统中已经很久了,但还是有很多用户对此进程并不太了解,一些用户还出现过Rundll32.exe应用程序错误以及CPU使用率100%等特殊现象,还出现过类似病毒感染的情况。那么Rundll32.exe是什么进程呢?本文或许可以帮到你:Rundll32.exe进程从字面可以理解为:运行32位DLL;这是由微软公司为其Windows操作系统定义的一个非常重要的系统核心程序,在Windows XP/Vista/7里面均存在程序(但并非一直运行)。其作用是负责调用Windows DLL(动态链接库)文件并把他们装入到你电脑的内存当中,并供其他应用程序使用。延伸:DLL文件怎么打开?及DLL格式文件的作用如果你系统中的Rundll32.exe文件不存在或者发生错误时就无法找到这些DLL文件并载入到内存中,而如果正好别的程序要用到内存中的这个DLL文件时就会发生错误提示或者无法运行。我们可以在以下位置看到Rundll32.exe文件:C:\Windows\System32(开头的C代表系统安装所在分区盘符)使用Rundll32.exe必须遵循的精确语法格式,如下所示: 使用Rundll32.exe必须遵守的精确语法格式注意:DLL名称不能包含任何空格、逗号、引号,并且在DLL名称与入口点之间要有英文逗号隔开。 此外,入口点函数的名称是区分大小写,并与<optional arguments>(非必需的可选参数)之间用空格隔开。Rundll32.exe在应用调用中会有以下5个步骤,期间用到LoadLibrary()、GetProcAdress()、FreeLibrary()三个函数:下面穆童举个实例,打开“运行”(快捷键Win+R)输入以下代码后确定
Ctfmon.exe是什么进程?为什么会运行Ctfmon.exe进程?
当我们打开微软的Windows任务管理器,就会在里面发现一个Ctfmon.exe进程,并且开机之后就会一直存在。一直以来很多细心的用户都在问Ctfmon.exe是什么进程主要作用是什么?为什么我系统里会运行,而有些人系统却没有运行这又是为什么呢?以及是否可以将Ctfmon.exe进程终止或者删除呢?下面笔者就根据自己实际使用了解到的一些信息给大家讲解一下:Ctfmon.exe进程是微软定义的属于Microsoft Office套件的进程,在Windows XP/Vista/Win7等系统中都有此程序存在,其作用是为负责控制可选用户输入方法技术提供文本输入服务支持(包括语音识别、手写识别、键盘、翻译等),最显著表现就是启动语言栏组件(任务栏右下角通知区域的小键盘图标),通常情况下此进程的运行只占很少的一部分系统资源。(拓展:svchost.exe是什么进程?)虽然相对来说此进程并非系统的核心程序,但对于XP系统的用户,删除此进程可能会导致输入法相关的一些故障。一些用户会遇到的输入法不显示问题通常就和它有关,一般将Ctfmon.exe进程重启一些就可以让其重新显示出来。其在系统中存放的位置:C:\Windows\System32(开头的C代表系统安装所在分区的盘符)值得注意的是,Ctfmon.exe进程在Windows 7系统中和XP系统中表现不同,XP系统中此进程会随着系统的启动而自动启动,而Windows 7中虽然也能在System32目录下发现Ctfmon.exe进程,但其并不会启动,即便是我通过双击来启动Ctfmon.exe,屏幕也只是闪一下,在任务管理器里面还没有发现此进程,这应该是微软对Win7输入技术的一些改进。提示:在微软任何系统中Ctfmon.exe进程的作用都一样(参照微软编号为:282599文件)由于在Windows XP系统中Ctfmon.exe进程是随着电脑启动而自动运行的,且这又是微软的系统进程,所以很多病毒及木马程序会使用相同名称的进程以便取得用户更多的信任,并且目前已经有安全厂商结果到相关病毒。如果你怀疑此进程有些不正常,那么我们用下面的一些方法快速的察觉出Ctfmon.exe相关的病毒,若发现情况建议马上更新杀毒软件最新病毒库并对电脑全盘扫描。另外我还发现一些用户反应在任务管理器中看到了两个Ctfmon.exe,这也是一个非常危险的信号应该立即扫描确认安全性,如果你也遇到这样的情况希望能够反应一下。好了,介绍到这里相信大家已经对Ctfmon.exe是什么进程有所了解了,如果对本文有什么疑问及建议欢迎留言。