DEMO32.exe和_ds69.tmp进程

快乐无极 , 2011/05/13 10:31 , 应用文档 , 评论(0) , 阅读(8876) , Via 本站原创 | |

看到任务管理器中出现了几个DEMO32.exe和_ds69.tmp,_dsXX.tmp(XX为数字),以为中了病毒,在网上搜索了一下,说得都是没有什么价值,只是说是SQL SERVER相关进程。

后来仔细琢磨,原来是这样的:DEMO32.exe是一个光盘演示程序。在安装sqlserver2000之前有个界面,微软便是用DEMO32这个东西做的,提供了一些选择项,但是在安装sqlserver2000时可能会遇到错误退出,而这个演示程序仍然在运行,不会关闭,而_ds69.tmp是一个监视进程,监视DEMO32.exe是否在运行,如果没有运行了,它会删除临时文件夹角中的DEMO32.exe的相关程序。而根据生成的临时文件夹的不同(运行多次安装程序将产生多个ID值),监视进程也不一样,所以在C:\Windows下会产生多个_dsXX.tmp,乍一看还真有点像病毒程序。如果在用户关闭计算机后,_dsXX.tmp可能并不会自行删除,但我观察到,它会自动在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager中的PendingFileRenameOperations中写入删除自己的值 \??\C:\WINDOWS\_ds69.tmp,也就是说下次启动计算机时,Windows也会将_dsXX.tmp删除掉。

这些进程都是没有病毒的。可能有些病毒程序也会伪装成这个样子,因为这种自我执行、伪装、再自我删除的方式也并不难实现,所以,运行一些陌生的应用程序时还是小心点好。

Tags:
发表评论

昵称

网址

电邮

打开HTML 打开UBB 打开表情 隐藏 记住我 [登入] [注册]