C:\Windows\System32\wbem\WmiPrvSE.exe远程线程注入

Posted 2023-05-09

动作是远程线程注入，自动允许。查不出什么东西，望高手指点。

参考技术A 这个文件本身不是病毒 但不排除病毒修改了此文件 WmiPrvSE.exe这是一个系统服务的进程。　禁用Windows Management Instrumentation Driver Extensions服务或者改为手动
　　方法：桌面-我的电脑/计算机-管理-服务和应用程序-服务 里面有个Windows Management Instrumentation 右键—禁用就可以了. 参考技术B wbem文件夹：用来存放WMI测试程序，用于查看和更改公共信息模型类、实例和方法等，属于系统重要文件wmiprvse.exe是用于通过WinMgmt.exe程序处理WMI操作。这个程序对你系统的正常运行是非常重要的。
出现楼主所说的情况 进程调用而已！ 参考技术C 现在的木马都是使用线程注入，一般都为dll文件注入到其他进程。看到的是正常进程，其实病毒就在里面.举个例子：ms08-067病毒注入到svchost.exe进程。瑞星杀掉了内存但是杀不掉病毒源程序。还经常提示svchost.exe有病毒。解决办法可以采用第三方软件查看其进程相对应的病毒模块地址并将其删除即可. 参考技术D 换杀毒杀马高手AVAST!4.8杀软!

C:\Windows\system是啥

system，中文是系统的意思一般windows里有2个。一个是system，一个是system32.如果你是64位的操作系统的话，就有system32、system64。这几个都是重要文件夹 参考技术A 说的不好别喷我 参考技术B 我怎麽知道，不过好像是放一些DLL什麼的吧