conime

conime，即Console IME。這裏IME是輸入法編輯器(Input Method Editor) 的英文縮寫。本進程是一個重要的系統進程，它不會隨系統的啓動而自動啓動，只會在啓動命令行才會啓動，但如果刪除或者終止將導致特殊文字的輸入困難，另外微軟新版系統中此進程不會運行 ^[1]  。已有相關病毒被攔截，如若發現啓動異常應立即採取措施。

出品者：微軟

屬於： Microsoft

系統進程： 否

後台程序： 否

使用網絡： 否

硬件相關： 否

常見錯誤： 未知N/A

內存使用： 未知N/A

安全等級 (0-5): 4

間諜軟件： 否

廣告軟件： 否

病毒： 否

木馬： 否

很多人問conime.exe是什麼進程，而大部分人會參照國內外網上的進程描述，説是病毒並教他們怎麼結束他。

大家都知道在運行cmd.exe之後進程中會出現一個conime.exe的進程。

網上的關於進程的描述不管是國內還是國外都説他是個病毒……

當然也許病毒和他重名，但是不能一概而論吧？

有人説conime.exe是cmd.exe的子進程，

我現在來仔細查看一下conime。

在這裏sunwear用的是KD，察看一下conime.exe的eprocess的InheritedFromUniqueProcessId 是否是cmd.exe的eprocess的UniqueProcessId

如果是的話，那能説明conime.exe是cmd.exe的子進程。那我們來看看。

PROCESS 817217c0 SessionId: 0 Cid: 04dc Peb: 7ffdf000 ParentCid: 032c

DirBase: 1558f000 ObjectTable: 8170d168 TableSize: 18.

Image:conime.exe

PROCESS 81733460 SessionId: 0 Cid: 038c Peb: 7ffdf000 ParentCid: 02f8

DirBase: 056a1000 ObjectTable: 81692288 TableSize: 22.

Image:cmd.exe

然後察看一下conime.exe的eprocess

nt!_EPROCESS

..................

+0x09c UniqueProcessId : 0x000004dc

..................

+0x1c8 InheritedFromUniqueProcessId : 0x0000032c

..................

conime.exe的進程ID是0x000004dc。父進程是0x0000032c

我們再來看看cmd.exe

nt!_EPROCESS

..............

+0x09c UniqueProcessId : 0x0000038c

..............

也就是説conime.exe並不是cmd.exe的子進程。

而conime.exe的父進程ID 並沒有在任務管理器中

從名字上看conime.exe是跟輸入法有關的。的確它就是處理控制枱輸入法相關的一個程序。

我們可以做個試驗。首先我們運行cmd.exe，然後用ctrl+shift切換輸入法，可以切換吧？

我們用任務管理器把conime結束掉，然後在試試？結果如何？

我覺得如果要寫解釋的話 一定要給出ms的原始程序的作用.它是windows操作系統的中的正常進程。可以在附加解釋中説明有些病毒與他同名。

就像service explorer svchost 等等一樣。如果他們被病毒附身（屢見不鮮）。那麼進程描述該寫什麼呢？寫service explorer svchost 都是病毒麼？在這裏真要為conime.exe喊冤了。

conime病毒的清除辦法：

1.開始菜單－運行－輸入“msconfig”－確定－打開“系統配置實用程序”－“啓動”選項卡－去掉conime.exe選項前的“勾”，點擊確定。

2.打開任務管理器（ctrl+alt+del），結束conime.exe進程，然後在system32中找到conime.exe將其刪除（建議使用系統自帶的搜索工具，搜索該文件，把查找到的全部刪除即可。不用擔心正常的輸入法conime.exe被刪除，重啓即可恢復conime.exe，實在不行也可以重新安裝的）。

3.開始菜單—運行—輸入regedit—確定－依次打開－HKEY_CURRENT_USER－Console－LoadConIme修改參數為0即可。 ^[2]