农机大全网（nongjidaquan.com）最新农机信息：ghost explorer安防，农机新产品,二手农机,农机补贴目录,农机价格查询,农机报价大全，更多农机资讯请查看：农机资讯

　　ghost explorer安防

正文

进程文件： conime 或者 conime。exe

进程名称： conime

描述：

conime。exe是输入法编辑器相关程序。注意：conime。exe同时可能是一个bfghost1。0远程控制后门程序。此程序允许攻击者访问你的计算机窃取密码和个人数据。

建议立即删除此进程。

出品者： 微软

属于： Microsoft

系统进程： 否

后台程序： 否

使用网络： 否

硬件相关： 否

常见错误： 未知N/A

内存使用： 未知N/A

安全等级 (0-5): 4

安防软件： 否

广告软件： 否

安防： 否

木马： 否

很多人问conime。

exe是什么进程而大部分人会参照国内外网上的进程描述说是安防并教他们怎么结束他。

大家都知道在运行cmd。exe之后进程中会出现一个conime。exe的进程。

网上的关于进程的描述不管是国内还是国外都说他是个安防……

当然也许安防和他重名但是不能一概而论吧？

有人说conime。

exe是cmd。exe的子进程。

我现在来仔细查看一下conime。

在这里sunwear用的是KD察看一下conime。exe的eprocess的InheritedFromUniqueProcessId 是否是cmd。exe的eprocess的UniqueProcessId

如果是的话那能说明conime。

exe是cmd。exe的子进程。那我们来看看。

PROCESS 817217c0 SessionId: 0 Cid: 04dc Peb: 7ffdf000 ParentCid: 032c

DirBase: 1558f000 ObjectTable: 8170d168 TableSize: 18。

Image: conime。exe

PROCESS 81733460 SessionId: 0 Cid: 038c Peb: 7ffdf000 ParentCid: 02f8

DirBase: 056a1000 ObjectTable: 81692288 TableSize: 22。

Image: cmd。exe

然后察看一下conime。exe的eprocess

nt!_EPROCESS

。。。。。。。。。。。。。。。。。。

+0x09c UniqueProcessId : 0x000004dc

。。。。。

。。。。。。。。。。。。。

+0x1c8 InheritedFromUniqueProcessId : 0x0000032c

。。。。。。。。。。。。。。。。。。

conime。exe的进程ID是0x000004dc。父进程是0x0000032c

我们在来看看cmd。

exe

nt!_EPROCESS

。。。。。。。。。。。。。。

+0x09c UniqueProcessId : 0x0000038c

。。。。。。。。。。。。。。

也就是说conime。exe并不是cmd。exe的子进程。

而conime。

exe的父进程ID 并没有在任务管理器中

从名字上看conime。exe是跟输入法有关的。的确他就是处理控制台输入法相关的一个程序。

我们可以做个试验。首先我们运行cmd。exe然后用ctrl+shift切换输入法可以切换吧？

我们用任务管理器把conime结束掉然后在试试？结果如何？

我觉得如果要写解释的话 一定要给出ms的原始程序的作用。

它是windows操作系统的中的正常进程。可以在附加解释中说明有些安防与他同名。

就像service explorer svchost 等等一样。如果他们被安防付身（屡见不鲜）。那么进程描述该写什么呢？写service explorer svchost 都是安防么？在这里真要为conime。

exe喊冤了。

解决方法：

安防步首先结速conime。exe进程然后在system32中找到conime。exe将其删除。

第二步修改注册表找到："HKEY_CURRENT_USERConsole"中的"LoadConIme"修改为"0"即可

--------------------------------------

conime。

exe进程说明：conime。exe是输入法编辑器允许用户使用标准键盘就能输入复杂的字符与符号! conime。exe同时可能是一个bfghost1。0远程控制后门程序。此程序允许攻击者访问你的计算机窃取密码和个人数据。建议立即删除此进程。

”

以前总是不知什么时候这个进程就悄悄启动了后来才发现往往在运行cmd。exe之后会出现。但是conime。exe并不是cmd。exe的子进程它的的父进程ID并没有在任务管理器中显示。

conime经常会被安防利用感染建议删除。

一、安防简单的就是使用自动化恢复软件(如Finaldata或EasyRecovery等)只要根据向导的指示操作就可以了。

二、手工来恢复：手工恢复的原理是直接在存储设备上寻找被删除文件的关键内容。这种方法适合恢复有明显特征而且结构简单的文件如文本文件。如果文件很大且分散于磁盘的不同位置还需要根据文档的内部结构重新组织文档才能彻底恢复数据。

三、找专业的数据恢复公司备份数据由于数据很重要所以首先要进行备份万一出现误操作还可以把U盘恢复到安防初的状态。这一步很重要并且U盘容量不大备份不会占用太大磁盘空间。进行扇区级别的磁盘数据备份有很多工具如Ghost、WinHex和DiskExplorer下面主要介绍WinHex。WinHex是一个16进制文件工具可以跳过操作系统的文件系统直接读取磁盘和U盘等设备从而进行数据恢复.使用WinHex的“Tools”菜单下面的“Open Disk”命令打开物理U盘。

1、默认电脑桌面文件存储路径。对于Windows XP系统而言桌面文件默认保存位置位于C盘的“文档和设置”文件夹下Administrator子文件夹下的“桌面”文件夹中即 C:Documents and SettingsAdministrator桌面；

2、对于Windows 7/8.1/10系统而言桌面文件默认保存位置位于C盘的“用户”文件夹下“你的电脑名”子文件夹下的“桌面”文件夹中即C:Users你的电脑名＼Desktop。

3、安防简单的查看方法就是右键桌面中任意文件选择“属性”在弹出的属性弹框中我们可以看到存放路径了（如下图）。

4、电脑系统可以正常访问迁移桌面数据。

5、电脑系统能正常登陆进去的话迁移电脑里的重要文件数据还好操作。桌面文件小的话可以直接复制并粘贴到U盘里如果桌面文件占用空间很大的话用U盘就不合适了需要用到移动硬盘了

6、没有移动硬盘怎么办？没有移动硬盘那就把桌面文件剪切并粘贴到“非C盘”中并新建文件夹命名为“桌面”。

7、若想产出整个硬盘并重新分区的话那么建议把电脑里重要文件备份到U盘、移动硬盘或者其他电脑上。

返回：安防新闻