“进程”里的安全设置 360进程防护在哪设置
对应用程序来说,进程就像一个大容器。在应用程序被运行后,就相当于将应用程序装进容器里了,你可以往容器里加其他东西(如:应用程序在运行时所需的变量数据、需要引用的DLL文件等),当应用程序被运行两次时,容器里的东西并不会被倒掉,系统会找一个新的进程容器来容纳它。
进程是由进程控制块、程序段、数据段三部分组成。一个进程可以包含若干线程(Thread),线程可以帮助应用程序同时做几件事(比如一个线程向磁盘写入文件,另一个则接收用户的按键操作并及时做出反应,互相不干扰),在程序被运行后中,系统首先要做的就是为该程序进程建立一个默认线程,然后程序可以根据需要自行添加或删除相关的线程。是可并发执行的程序。在一个数据集合上的运行过程,是系统进行资源分配和调度的一个独立单位,也是称活动、路径或任务,它有两方面性质:活动性、并发性。进程可以划分为运行、阻塞、就绪三种状态,并随一定条件而相互转化:就绪--运行,运行--阻塞,阻塞--就绪。
进程为应用程序的运行实例,是应用程序的一次动态执行。看似高深,我们可以简单地理解为:它是操作系统当前运行的执行程序。在系统当前运行的执行程序里包括:系统管理计算机个体和完成各种操作所必需的程序;用户开启、执行的额外程序,当然也包括用户不知道,而自动运行的非法程序(它们就有可能是病毒程序)。
危害较大的可执行病毒同样以“进程”形式出现在系统内部(一些病毒可能并不被进程列表显示,如“宏病毒”),那么及时查看并准确杀掉非法进程对于手工杀毒有起着关键性的作用。
在Windows下,进程又被细化为线程,也就是一个进程下有多个能独立运行的更小的单位。
进程的概念主要有两点:
第一,进程是一个实体。每一个进程都有它自己的地址空间,一般情况下,包括文本区域(text region)、数据区域(data region)和堆栈(stack region)。文本区域存储处理器执行的代码;数据区域存储变量和进程执行期间使用的动态分配的内存;堆栈区域存储着活动过程调用的指令和本地变量。
第二,进程是一个“执行中的程序”。程序是一个没有生命的实体,只有处理器赋予程序生命时,它才能成为一个活动的实体,我们称其为进程。
自动关闭无用进程 加快计算机速度:开始→运行→输入msconfig→启动→ 或者(笔记本)ctrl+shift+esc
360se.exe 154.892 360se.exe 108.420
360se.exe20.944
360se.exe80.376
360rp.exe2344
360sd.exe 1744
360tray.exe 3224
urlproc.exe
wuauclt.exe
Alicall.exe
Fetion.exe
safeboxTray.exe
svchost.exe
OKSvr.exe
CntvCBoxService.exe
explorer.exe
spoolsv.exe
taskmgr.exe
ZhuDonFangYu.exe
svchost.exe
svchost.exe svchost.exe
svchost.exe lsass.exe csrss.exe
smss.exe
services.exe
winlogon.exe
ctfmon.exe
system
system Idle Process SYSTEM 99 28
[360se.exe]
进程文件: 360se.exe
进程名称: 360se.exe
描 述: 360安全浏览器。
介 绍:由360公司制作的一款浏览器。体积轻巧功能丰富,动态识别网页中的恶意代码,实时拦截提示,阻止木马入侵。但该进程存在时会大量占用系统内存,使得计算机速度变慢。但也有可能是病毒仿装的进程,他会有可能下载盗号或恶意修改电脑。
[360rp.exe]
进程文件: 360rp.exe
进程名称: 360rp.exe
描 述: 360rp.exe为奇虎360公司旗下产品360杀毒的一项子进程,也是启动360杀毒软件的必须进程。该进程无法结束,一旦结束,1分钟之后又会自动重新启动,让此进程无法启动的方式就是卸载360杀毒和关闭360杀毒软件自启动。
介 绍:最根本彻底方法:点击开始菜单中的“运行”命令,输入命令:msconfig,打开“系统配置实用程序”,点击其中的“启动”选项卡,这里就包括了那些随系统启动的程序,从中找出不需要的程序,然后将它去掉。重新启动后系统速度也会变得快了不少。
这也是一种检测恶意程序的好方法,如果你在去掉某个程序的启动项后,它又重新自动加载,那么这个程序很可能就是恶意程序了,应该尽快地将它清除。除此以外,在“服务”选项卡中选择“隐藏所有Microsoft服务”选项后,可以将系统自带的服务过滤掉,这样可以方便地查找到那些利用服务项进行启动的恶意程序。
[360sd.exe]
进程文件: 360sd.exe
进程名称: 360sd.exe
描 述: 360sd.exe是360杀毒的主程序。
介 绍:新版360杀软有两个进程:
360rp.exe,功能:负责后台实时监控,位于C:Program Files360360sd360rp.exe
360sd.exe,功能:界 面 管 理 程序,位于C:Program Files360360sd360sd.exe 一个服务项,名称为“360rp”,描述为:360 杀毒服务程序。这个服务无法停止或暂停。
[360tray.exe]
进程文件: 360tray or 360tray.exe
进程名称: 360tray.exe
描 述: 360安全卫士实时监控程序(可将此程序添加到杀毒软件的“可信任区域”)
介 绍:360安全卫士使用新的木马评估技术,搭载新版360云查杀引擎,更精确的识别和打击木马、病毒,由360安全专家潜心研制的木马特征识别技术,大幅提升侦测未知木马的能力,特有的威胁感知技术,能有效解决木马绕过传统扫描引擎侵害系统的问题,优化vista、win7补丁检测速度,提升补丁升级成功率,软件管家里增加优化过的延迟启动与一键优化,让用户的系统更轻更快。
注意:正常的文件应该在360安全卫士的目录中的 safemon文件夹里~~该进程应该是一个360安全卫士盾牌的样子~~在系统的任务栏里如果没有可能是伪装木马
[urlproc.exe]
进程文件: urlproc.exe
进程名称: urlproc.exe
描 述: 360浏览器的安全红绿灯扩展程序文件,随浏览器启动。
介 绍:通过安全红绿灯能有效拦截挂马带毒、钓鱼、欺诈等威胁网站,同时可以进行修复浏览器、清理浏览痕迹、启动无痕浏览、启动隔离模式等操作,并能有效保护上网安全。
打开360安装目录,桌面--360浏览器图标点右键--属性--查找目标--就打开安装目录了,进入extensions这个目录。这个目录中全是放的浏览器的插件,在进行下面的操作时一定要关了360浏览器,不然是没有效果的。
删除SafeCentral整个文件夹 这个文件夹的功能是 360安全浏览器 安全红绿灯扩展程序。
删除ExtSafeAddress整个文件夹 这个文件夹的功能是360浏览器网址认证,一般网民用不上它。
[wuauclt.exe]
进程文件: wuauclt 或者 wuauclt.exe
进程名称: AutoUpdate for WindowsME
描 述: Wuauclt.exe是Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使计算机无法得到最新更新信息。
介 绍:wuauclt.exe 是Windows 系统文件。是MS的第五代更新程序。 这已由可信任的公司发出证书。这个文件是由Microsoft 所签发。程序是不可见的。总结在技术上威胁危险度是5%!安装完微软最新的更新程序后,会在C:windowssystem32(如果你的系统安装在c盘的话)下生成wuauclt.exe和一个面板文件,并且每次启动计算机,都会自动后台运行wuauclt.exe。
可以禁止这个进程或是找到MATOnline文件夹,打开System的文件夹,找到一个名为wueuclt.exe的文件,直接右键点击删除。
1、点击“开始”→“运行”,输入命令“services.msc”,打开“服务”对话框,(注意:必须以管理员进入)。
2、找到“Automatic Updates”(自动更新):改为手动启动并停止它。Background Intelligent Transfer Service(空闲网络传输--专用与Windows升级有关的程序):改为手动启动并停止它。
3、关闭WINDOWS的自动更新功能。右键点击桌面上“我的电脑”的属性,进入“自动更新”,关闭它。
当你想升级时再开启上述3个程序,即可。
wuauclt.exe病毒的查杀清理解决方法:
结束C:windowswuauclt.exe进程。
该进程结束后,U盘中的sxs.exe和autorun.inf可直接删除。删除后,将U盘拔出。
然后,删除下列文件:
C:windowswuauclt.exe
C:windowsbbyb.exe
C:windowsbbybs.exe
C:windowsbbyb.dll
C:windowsies.dll
删除其启动项。
wuauclt.exe——伪装病毒
wuauclt1.exe
该病毒自动修改原先的wuauclt.exe为wuauclt1.exe,并建立新的wuauclt.exe。建议关闭wuauclt.exe进程,删除wuauclt.exe进程,然后把wuauclt1.exe更改为wuauclt.exe。
注释: 文件 wuauclt.exe 是存放在目录 C:WindowsSystem32。已知的 Windows XP 文件大小为 53,080 字节 (占总出现比率 75% ),53,448 字节,111,104 字节,124,184 字节,51,224 字节,124,376 字节,43,008 字节,112,128 字节,68,440 字节,80,216 字节,114,136 字节,53,592 字节,14,597 字节,111,616 字节,71,000 字节,248,832 字节,124,696 字节,261,080 字节,139,776 字节。
[Alicall.exe]
进程文件: Alicall.exe
进程名称: Alicall.exe
描 述: 阿里通网络电话
介 绍:阿里通网络电话
[Fetion.exe]
进程文件: Fetion.exe
进程名称: Fetion.exe
描 述: fetionfx.exe是中国移动的飞信聊天软件的相关程序。
介 绍:飞信(Fetion)是由中国移动通信集团公司推出的一款集商务应用和娱乐功能为一体的,基于手机应用以及与Internet深度互通的即时通讯产品。
[safeboxTray.exe]
进程文件: safeboxTray.exe
进程名称: safeboxTray.exe
描 述: N/A 路径: C:Program Files360SafeboxsafeboxTray.exe 360保险箱的托盘程序,用于在系统的任务栏显示该软件的图标。
介 绍:可能会与某些游戏发生冲突,结束SafeboxTray.exe进程,可以临时解决该问题。
[svchost.exe]
进程文件: svchost or svchost.exe
进程名称: Service Host Process
描 述: Service Host Process是一个标准的动态连接库主机处理服务.
介绍:Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的% systemroot%system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个 Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。windows 2k一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,windows 2003 server中则更多。
[OKSvr.exe]
进程文件: OKSvr.exe
进程名称: OKSvr.exe
描 述: 是小哨兵还原自动运行的半内置程序。
介 绍:非病毒,可以禁用,只是禁用之后想还原GHOST文件就需要手动运行GHOST了,其他并无大碍。
[CntvCBoxService.exe]
进程文件: CntvCBoxService.exe
进程名称: CntvCBoxService.exe
描 述: CCTV
介 绍:CCTV视频软件。
[spoolsv.exe]
进程文件: spoolsv or spoolsv.exe
进程名称: Microsoft Printer Spooler Service
描 述: spoolsv.exe用于将Windows打印机任务发送给本地打印机。
介 绍:注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级别是建议立即删除。木马spoolsv进程软件利用将msicnmsibm.dll插入多个进程的方法对系统进行监控。
判别自己是否中毒
1、点开始-运行,输入msconfig,回车,打开实用配置程序,选择“启动”, 感染以后会在启动项里面发现运行Spoolsv.exe的启动项, 每次进入windows会有NTservice的对话框。
2、打开系统盘,假设C盘,看是否存在C:WINDOWSsystem32spoolsv文件夹,里面有个spoolsv.exe文件,有“傲讯浏览器辅助工具”的字样说明,正常的spoolsv.exe打印机缓冲池文件应该在C:WINDOWSsystem32目录下。
3,打开任务管理器,会发现spoolsv.exe进程,而且CPU占用率很高。 清除方法
1、重新启动,开机按F8进入安全模式。
2、点开始-运行,输入cmd,进入dos。
利用rd命令删除以下目录(如果存在)( 在dos窗口下输入:rd(空格)C:WINDOWSsystem32spoolsv/s,回车,出现提示,输入y回车,即可删除整个目录。):
C:WINDOWSsystem32msibm
C:WINDOWSsystem32spoolsv
C:WINDOWSsystem32bakcfs
C:WINDOWSsystem32msicn
利用del命令删除下面的文件(如果存在)(比如在dos窗口下输入:del(空格)C:windowssystem32spoolsv.exe,回车,即可删除被感染的spoolsv.exe,这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到
C:windowssystem32文件夹。):
C:windowssystem32spoolsv.exe
C:WINDOWSsystem32wmpdrm.dll
3、重启按F8再次进入安全模式。
(1)桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击
NTservice,选择“属性”,修改启动类型为“禁用”。
、
(2)点开始,运行,输入regedit,回车打开注册表,点菜单上的编辑,选择查找,查找含有spoolsv.exe的注册表项目,删除。可以利用F3继续查找,将含有spoolsv.exe的注册表项目全部删除。
4、若以上操作完成后,仍然有该进程。请桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击print spooler,选择“属性”,先点“停止”然后修改启动类型为手动或“禁用”。随后重复以上步骤。
另外解决方案 直接删除C:WINDOWSsystem32spoolPRINTERS 下的文件即可
我还遇到一种情况:经检查,不是以上所描述的病毒,但经常占CPU 100%,但是连续关进程几次,便不再出现,奇怪。
如上所述,在system32里有 spool文件夹。直接把 PRINTERS 下的文件删除,便解决了这个问题。
这可能不是“病毒”问题,而是系统的故障,但出现了还是很麻烦的。 杀毒后处理
病毒清了后你的SPOOLSV.EXE文件就没有了,且在服务里你的后台打印print spooler也不能启动了,当然打印机也不能运行了,在运行里输入“services.msc”后,在“print spooler”服务中的“常规”项里的“可执行文件路径”也变得不可用,如启动会显示“错误3:找不到系统路径”的错误,这是因为你的注册表的相关项也删了,(在上面清病毒的时候)
解决方法:
1:在安装光盘里I386目录下把SPOOLSV.EX_文件复制到SYSTEM32目录下改名为spoolsv.exe,当然也可以在别人的系统时把这个文件拷过来,还可以用NT/XP的文件保护功能,即在CMD里键入SFC/SCANNOW全面修复,反正你把这个文件恢复就可以了。
2:修改注册表即可:进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSpooler”目录下,新建一个可扩充字符串值,取名:“ImagePath”,其值为:“C:WINDOWSsystem32spoolsv.exe”(不要引号)再进入控制面板中启动打印服务即可
[taskmgr.exe]
进程文件: taskmgr or taskmgr.exe
进程名称: The Windows Task Manager
描 述: taskmgr.exe用于Windows任务管理器。它显示系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开,这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
介绍:电脑中出现与taskmgr.exe相似的taskmer 或 taskmer.exe 进程文件,则可能是感染了灰鸽子木马病毒变种。
[ZhuDonFangYu.exe]
进程文件: zhudongfangyu.exe
进程名称: 360主动防御服务模块
描 述: zhudongfangyu.exe是360安全卫士的主动防御文件,也是服务项。 该文件(服务)为360安全卫士提供实时保护、文件审计、主动防御、智能加速等功能。
介 绍:使360云查杀引擎的扫描速度提高了10倍,内存占用节省了80%,木马查杀效率也大幅提高,建议不要关闭。 关闭该服务可能导致木马查不出,防不住,并严重降低扫描速度,影响电脑性能、用户体验以及系统安全性。而这个服务本身只占用极小的内存、CPU等资源,不影响用户任何操作与其他软件的正常运行。
管理服务项ZhuDongFangYu.exe的方法:
方法一:打开360安全卫士->360实时保护->设置->360主动防御服务中管理服务的开启和关闭。
方法二:打开任务管理器->进程->结束进程“ZhuDongFangYu.exe”。 方法三:打开我的电脑->控制面板->管理工具->服务->找到该服务并关闭。 方法四:退出360安全卫士时同时勾选关闭该服务。
[svchost.exe]
进程文件: svchost or svchost.exe
进程名称: Service Host Process
描 述: Service Host Process是一个标准的动态连接库主机处理服务。
介绍:Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的% systemroot%system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个 Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。windows 2k一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,windows 2003 server中则更多。
Svchost用来启动服务。Svchost.只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。Svchost通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。在xp中此进程一般有四个以上。
[explorer.exe]
进程文件: explorer or explorer.exe
进程名称: 程序管理
描 述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。
介 绍:这是一个用户的shell,在我们看起来就像任务条,桌面等等。或者说它就是资源管理器,。它对windows系统的稳定性还是比较重要的,而红码也就是找它的麻烦,在c和d根下创建explorer.exe。它的作用是用于控制Windows图形,包括开始菜单、任务栏,桌面和文件管理。
[lsass.exe]
进程文件: lsass or lsass.exe
进程名称: 本地安全权限服务
描 述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。
介绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的 msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。
[csrss.exe]
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描 述: 客户端服务子系统,用以控制Windows图形相关子系统。
介 绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。
注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
[smss.exe]
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
描 述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
简介:这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32 (Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。
[services.exe]
进程文件: services or services.exe
进程名称: Windows Service Controller
描 述: 管理Windows服务。
介 绍:大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务,可以看到有很多服务都是在调用%systemroot%system32service.exe
[winlogon.exe]
进程文件: winlogon or winlogon.exe
进程名称: Windows Logon Process
描 述: Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。
[ctfmon.exe]
进程文件: ctfmon or ctfmon.exe
进程名称: Alternative User Input Services
描 述: Ctfmon.exe 监视活动窗口,并为语音识别、书写识别、键盘、翻译和其他中文可选用户输入方法技术提供文本输入服务支持。
介 绍:程序ctfmon.exe,系统默认情况下是随电脑开机而自动启动的。如果你设置了ctfmon.exe不随机自动启动,进入系统后你的电脑任务栏中的输入法图标(即语言栏)就不见了。
要设置ctfmon.exe随机自动启动,可以单击“开始”——>“运行”——>输入“msconfig”(引号不要输入),回车——>打开“系统配置使用程序”窗口——>选择“启动”页,找到ctfmon项并在其前面打上钩,按“应用”、“确定”,重启机器即可生效。 网络上有大量主张中止ctfmon进程的讨论,但是在windows vista,windows 2008, windows 7中,缺少ctfmon进程会引起输入法的不正常行为,常见的情况是用户忽然无法在输入法开启的情况下,以按空格的方式输入可选字的第一个字的情况,刚按下空格时,输入法即被切换为英文。
2010年,可牛安全中心截获到了一种替换系统ctfmon.exe的病毒(潜行者病毒)。随后,“ctfmon.exe病毒”开始呈爆发式传播,牢牢占据病毒排行榜的第一位。以感染Windows系统文件ctfmon.exe作为跳板,绕过杀毒软件及网游保护系统。一旦受感染的系统文件被网络游戏加载到内存。
[system]
进程文件: system or system
进程名称: Windows System Process
描 述: Microsoft Windows系统进程。
介 绍:在任务管理器中会看到这项进程,属于正常系统进程。
system Idle Process]
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描 述: Windows页面内存管理进程,拥有0级优先。
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
=====================================================
=====================================================
(1)[system Idle Process]
进程文件: [system process] or [system process]
进程名称: Windows内存处理系统进程
描 述: Windows页面内存管理进程,拥有0级优先。
介 绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
(2)[alg.exe]
进程文件: alg or alg.exe
进程名称: 应用层网关服务
描 述: 这是一个应用层网关服务用于网络共享。
介 绍:一个网关通信插件的管理器,为 “Internet连接共享服务”和 “Internet连接防火墙服务”提供第三方协议插件的支持。
(3)
(4)[ddhelp.exe]
进程文件: ddhelp or ddhelp.exe
进程名称: DirectDraw Helper
描 述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
简 介:Directx 帮助程序
(5)[dllhost.exe]
进程文件: dllhost or dllhost.exe
进程名称: DCOM DLL Host进程
描 述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
介 绍:com代理,系统附加的dll组件越多,则dllhost占用的cpu资源和内存资源就越多,而8月的“冲击波杀手”大概让大家对它比较熟悉吧。
(6)[explorer.exe]
进程文件: explorer or explorer.exe
进程名称: 程序管理
描 述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。
介 绍:这是一个用户的shell,在我们看起来就像任务条,桌面等等。或者说它就是资源管理器,不相信你在运行里执行它看看。它对windows系统的稳定性还是比较重要的,而红码也就是找它的麻烦,在c和d根下创建explorer.exe。
(7)[inetinfo.exe]
进程文件: inetinfo or inetinfo.exe
进程名称: IIS Admin Service Helper
描 述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。
介 绍:IIS服务进程,蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。
(8)[internat.exe]
进程文件: internat or internat.exe
进程名称: Input Locales
描 述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS.DEFAULTKeyboard LayoutPreload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
介 绍:它主要是用来控制输入法的,当你的任务栏没有“EN”图标,而系统有internat.exe进程,不妨结束掉该进程,在运行里执行internat命令即可。
(9)[kernel32.dll]
进程文件: kernel32 or kernel32.dll
进程名称: Windows壳进程
描 述: Windows壳进程用于管理多线程、内存和资源。
介 绍:更多内容浏览非法操作与Kernel32解读
(10)[lsass.exe]
进程文件: lsass or lsass.exe
进程名称: 本地安全权限服务
描 述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。
介绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的 msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。
(11)[mdm.exe]
进程文件: mdm or mdm.exe
进程名称: Machine Debug Manager
描 述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。
介绍:Mdm.exe的主要工作是针对应用软件进行排错(Debug),说到这里,扯点题外话,如果你在系统见到fff开头的0字节文件,它们就是 mdm.exe在排错过程中产生一些暂存文件,这些文件在操作系统进行关机时没有自动被清除,所以这些fff开头的怪文件里是一些后缀名为CHK的文件都是没有用的垃圾文件,可以任意删除而不会对系统产生不良影响。对9X系统,只要系统中有Mdm.exe存在,就有可能产生以fff开头的怪文件。可以按下面的方法让系统停止运行Mdm.exe来彻底删除以fff开头的怪文件:首先按“Ctrl+Alt+Del”组合键,在弹出的“关闭程序”窗口中选中 “Mdm”,按“结束任务”按钮来停止Mdm.exe在后台的运行,接着把Mdm.exe(在C:WindowsSystem目录下)改名为 Mdm.bak。运行msconfig程序,在启动页中取消对“Machine Debug Manager”的选择。这样可以不让Mdm.exe自启动,然后点击“确定”按钮,结束msconfig程序,并重新启动电脑。另外,如果你使用IE 5.X以上版本浏览器,建议禁用脚本调用(点击“工具→Internet选项→高级→禁用脚本调用”),这样就可以避免以fff开头的怪文件再次产生。
(12)[mmtask.tsk]
进程文件: mmtask or mmtask.tsk
进程名称: 多媒体支持进程
描 述: 这个Windows多媒体后台程序控制多媒体服务,例如MIDI。
介 绍:这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行。
(13)[mprexe.exe]
进程文件: mprexe or mprexe.exe
进程名称: Windows路由进程
描 述: Windows路由进程包括向适当的网络部分发出网络请求。
介 绍:这是Windows的32位网络界面服务进程文件,网络客户端部件启动的核心。印象中“A-311木马(Trojan.A-311.104)”也会在内存中建立mprexe.exe进程,可以通过资源管理结束进程。
(14)[msgsrv32.exe]
进程文件: msgsrv32 or msgsrv32.exe
进程名称: Windows信使服务
描 述: Windows信使服务调用Windows驱动和程序管理在启动。
介 绍:msgsrv32.exe 一个管理信息窗口的应用程序,win9x下如果声卡或者显卡驱动程序配置不正确,会导致死机或者提示msgsrv32.exe 出错。
(15)[mstask.exe]
进程文件: mstask or mstask.exe
进程名称: Windows计划任务
描 述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。
介绍:计划任务,它通过注册表自启动。因此,通过计划任务程序实现自启动的程序在系统信息中看不到它的文件名,一旦把它从注册表中删除或禁用,那么通过计划任务启动的程序全部不能自动运行。win9X下系统启动就会开启计划任务,可以通过双击计划任务图标-高级-终止计划任务来停止它自启动。另外,攻击者在攻击过程中,也经常用到计划任务,包括上传文件、提升权限、种植后门、清扫脚印等。
(16)[regsvc.exe]
进程文件: regsvc or regsvc.exe
进程名称: 远程注册表服务
描 述: 远程注册表服务用于访问在远程计算机的注册表。
(17)[rpcss.exe]
进程文件: rpcss or rpcss.exe
进程名称: RPC Portmapper
描 述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
介 绍:98它不是在装载解释器时或引导时启动,如果使用中有问题,可以直接在在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices添加"字符串值",定向到"C:WINDOWSSYSTEMRPCSS"即可。
(18)[services.exe]
进程文件: services or services.exe
进程名称: Windows Service Controller
描 述: 管理Windows服务。
介 绍:大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务,可以看到有很多服务都是在调用%systemroot%system32service.exe
(19)[smss.exe]
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
描 述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
简介:这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32 (Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。
(20)[snmp.exe]
进程文件: snmp or snmp.exe
进程名称: Microsoft SNMP Agent
描 述: Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分。
简 介:负责接收SNMP请求报文,根据要求发送响应报文并处理与WinsockAPI的接口。
(21)[spool32.exe]
进程文件: spool32 or spool32.exe
进程名称: Printer Spooler
描 述: Windows打印任务控制程序,用以打印机就绪。
(22)[spoolsv.exe]
进程文件: spoolsv or spoolsv.exe
进程名称: Printer Spooler Service
描 述: Windows打印任务控制程序,用以打印机就绪。
介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
(23)[stisvc.exe]
进程文件: stisvc or stisvc.exe
进程名称: Still Image Service
描 述: Still Image Service用于控制扫描仪和数码相机连接在Windows。
(24)[svchost.exe]
进程文件: svchost or svchost.exe
进程名称: Service Host Process
描 述: Service Host Process是一个标准的动态连接库主机处理服务.
介绍:Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的% systemroot%system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个 Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。windows 2k一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,windows 2003 server中则更多。
(25)[taskmon.exe]
进程文件: taskmon or taskmon.exe
进程名称: Windows Task Optimizer
描 述: windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。
介 绍:任务管理器,它的功能是监视程序的执行情况并随时报告。能够监测所有在任务栏中以窗口方式运行的程序,可打开和结束程序,还可直接调出关闭系统对话框。
(26)[tcpsvcs.exe]
进程文件: tcpsvcs or tcpsvcs.exe
进程名称: TCP/IP Services
描 述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。
(27)[winlogon.exe]
进程文件: winlogon or winlogon.exe
进程名称: Windows Logon Process
描 述: Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。
(28)[winmgmt.exe]
进程文件: winmgmt or winmgmt.exe
进程名称: Windows Management Service
描 述: Windows Management Service透过Windows Management Instrumentation data WMI)技术处理来自应用客户端的请求。
简介:winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化。WinMgmt.exe (CIM对象管理器)和知识库(Repository)是WMI两个主要构成部分,其中知识库是对象定义的数据库,它是存儲所有可管理静态数据的中心数据库,对象管理器负责处理知识库中对象的收集和操作并从WMI提供程序收集信息。WinMgmt.exe在Windows 2k/NT上作为一个服务运行,而在Windows 95/98上作为一个独立的exe程序运行。Windows 2k系统在某些计算机上出现的WMI错误可以通过安装Windows 2k SP2來修正。
(29)[system]
进程文件: system or system
进程名称: Windows System Process
描 述: Microsoft Windows系统进程。
介 绍:在任务管理器中会看到这项进程,属于正常系统进程。
系统进程就介绍到这里。
在Windows2k/XP中,以下进程是必须加载的:
smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同时存在多个)、spoolsv.exe、explorer.exe、System Idle Process;
在Windows 9x中,一下进程是必须加载的:
msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll。
病毒进程隐藏三法
当我们确认系统中存在病毒,但是通过“任务管理器”查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法: 1.以假乱真
系统中的正常进程有:svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等,可能你发现过系统中存在这样的进程:svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。对比一下,发现区别了么?这是病毒经常使用的伎俩,目的就是迷惑用户的眼睛。通常它们会将系统中正常进程名的o改为0,l改为i,i改为j,然后成为自己的进程名,仅仅一字之差,意义却完全不同。又或者多一个字母或少一个字母,例如explorer.exe和iexplore.exe本来就容易搞混,再出现个iexplorer.exe就更加混乱了。如果用户不仔细,一般就忽略了,病毒的进程就逃过了一劫。 2.偷梁换柱
如果用户比较心细,那么上面这招就没用了,病毒会被就地正法。于是乎,病毒也学聪明了,懂得了偷梁换柱这一招。如果一个进程的名字为svchost.exe,和正常的系统进程名分毫不差。那么这个进程是不是就安全了呢?非也,其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。我们知道svchost.exe进程对应的可执行文件位于“C:WINDOWSsystem32”目录下(Windows2000则是C:WINNTsystem32目录),如果病毒将自身复制到“C:WINDOWS”中,并改名为svchost.exe,运行后,我们在“任务管理器”中看到的也是svchost.exe,和正常的系统进程无异。你能辨别出其中哪一个是病毒的进程吗?显然不能。 3.借尸还魂
除了上文中的两种方法外,病毒还有一招终极大法——借尸还魂。所谓的借尸还魂就是病毒采用了进程插入技术,将病毒运行所需的dll文件插入正常的系统进程中,表面上看无任何可疑情况,实质上系统进程已经被病毒控制了,除非我们借助专业的进程检测工具,否则要想发现隐藏在其中的病毒是很困难的。
Windows 进程大全
A
actmovie.exe actmovie.exe 是微软Windows操作系统自带的程序,用于支持显示卡运行一些屏幕保护和微软程序。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题
agentsvr.exe agentsvr.exe 是一个ActiveX插件,用于多媒体程序。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
alg.exe alg.exe 是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。
ASPNET_WP.exe ASPNET_WP.exe 是涉及技术的程序运行所必须的程序。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
AcctMgr.exe AcctMgr.exe 是Norton systemworks套装的一部分,用于你计算机上相关密码。该进程对计算机的稳定和安全是重要的。
acrobat.exe acrobat.exe 是the Adobe Acrobat创建器的一部分。它能够创建和打印PDF文档。该进程不是运行所必须的,但终止它可能有问题。
acrord32.exe acrord32.exe 是Adobe Acrobat Reader阅读器的一部分。该进程用于打开和察看PDF文档
AcroTray.exe AcroTray.exe 是Acrobat助手程序,用于帮助你打印你的PDF文档。
ACSd.exe ACSd.exe 是AOL的相关程序。该进程在后台运行和自动重新连接到AOL。
ADGJDET.exe ADGJDET.exe 是Creative创新声卡的一部分。
AdobeUpdateManager.exe AdobeUpdateManager.exe
是Adobe产品软件升级程序。
ADService.exe ADService.exe 是Iomega Zip驱动器驱动相关程序。
ADService.exe ADService.exe 是Iomega Zip驱动器驱动相关程序。
agent.exe agent.exe 是Dell电脑提供的用户监视和管理系统的程序。这不是一个重要的进程。禁用它可以节省用户资源。注意:agent.exe也可能是Forte Agent Newsgroup Reader新闻组阅读器。
agrsmmsg.exe agrsmmsg.exe 是软猫调制解调器的消息程序。
AgtServ.exe AgtServ.exe 是在线字典软件,提供屏幕点击查询词典功能。
aim.exe aim.exe 是AOL Instant Messenger即时通讯软件。
aim95.exe aim95.exe 是AOL Instant Messenger即时通讯软件,提供在线聊天服务。
AIT 索尼Sony音乐机。提供35G的容量和4M的传输速度。AIT技术提供最多100G的空间,AIT-3提供最多800G的空间。
alogserv.exe alogserv.exe 是McAfee VirusScan杀毒软件的一部分。该进程记录McAfee VirusScan的应用程序操作日志。
anvshell.exe anvshell.exe 是ASUS显示卡硬件驱动程序。它也会在系统托盘创建图标用于进行控制。
AOLacsd.exe AOLacsd.exe 是AOL Internet软件的连接器,用于Internet连接。
AOLDial.exe AOLDial.exe 是AOL Internet软件(9.0版本或更高版本)的一部分。用于拨号连接Internet网络。
aom.exe aom.exe 是Adobe公司产品的进程,用于Web检测更新。
apntex.exe apntex.exe 是Alps电子硬件驱动软件。
asfagent.exe asfagent.exe 是Dell电脑系统管理套件的一部分。
ashWebSv.exe ashWebSv.exe 是Avast网络安全套件的一部分。用于保护你的电脑免受网络攻击。
astart.exe astart.exe 是华硕ASUS显示卡硬件驱动程序。该程序会在系统托盘中添加图标,用于配置设备。
ati2evxx.exe ati2evxx.exe 是ATI显示卡增强工具。它用于管理ATI HotKey特性。
ATIevxx.exe ATIevxx.exe 是ATI一些显卡硬件产品的软件部分。
ATIPtaxx.exe ATIPtaxx.exe 是ATI显示卡驱动的一部分,在系统托盘有显示。
Atrack.exe Atrack.exe 是Norton Internet Security网络安全和Norton Personal Firewall个人防火墙的一部分。它会提醒你一些软件尝试访问网络。
aupdate.exe aupdate.exe 是Symantec产品的LiveUpdate在线升级程序。该进程自动在线检测是否有Symantec产品的更新,提醒你进行下载。
autochk.exe autochk.exe 是微软操作系统的一部分。它会备份和还原系统设定到初始状态。
avconsol.exe avconsol.exe 是McAfee VirusScan反病毒软件的一部分。
AVENGINE.EXE AVENGINE.EXE 是Panda Antivirus熊猫卫士反病毒套装的一部分,用于保护你的计算机免受网络攻击。
avgserv.exe avgserv.exe 是AVG AntiVirus反病毒网络安全程序。用于实时保护你的计算机安全。
avgw.exe avgw.exe 是Grisoft网络安全组件的一部分,用于保护你计算机的安全。免受病毒、间谍软件、蠕虫和木马的攻击。
avpcc.exe avpcc.exe 是卡巴斯基Kaspersky反病毒套装的一部分,用于保护你的计算机免受病毒和蠕虫的攻击。
avsynmgr.exe avsynmgr.exe 是McAfee网络安全套装的一部分。它用于更新同步病毒定义文件,保持你的计算机使用最新病毒特征库。
B
btwdins.exe btwdins.exe 是为了微软Windows操作系统支持蓝牙技术的程序。
backweb-137903 backweb-137903.exe是惠普HP相关软件。
backweb-8876480 backweb-8876480.exe
是罗技Logitech相关产品软件。它用于自动检测升级罗技相关产品。
bacstray.exe bacstray.exe 是宽度调制解调器Modem相关进程,用于配置和诊断。
blackd.ex blackd.exe 是BlackICE计算机防火墙的一部分。
bpcpost.exe bpcpost.exe 是Microsoft TV察看器程序。
BRMFRSMG.EXE BRMFRSMG.EXE 是Brother Print兄弟打印机相关程序,该进程使用户通过并口、USB口连接兄弟打印机相关设备。
brss01a.exe brss01a.exe 是兄弟打印机相关程序。
bttnserv.exe bttnserv.exe 用于支持Compaq EasyAccess多媒体键盘按钮,移除该进程,会导致附加按钮无法使用。
C
ccmexec.exe ccmexec.exe 是微软SMS操作系统服务。该SMS Agent Host服务在其它服务之上。这个程序对你系统的正常运行是非常重要的。
cidaemon.exe cidaemon.exe 是一个索引服务,为了让你更加快速的查找文件。
cisvc.exe cisvc.exe 是微软Windows操作系统自带的程序。它用于监测CIDAEMON.exe内存使用状态,防止可用内存过低问题。这是一个系统进程,不要进行删除。
clisvcl.exe clisvcl.exe 是微软Windows系统自带程序。该进程调用SMSS进程检测在你计算机上的软件。
cmd.exe cmd.exe 是微软Windows系统的命令行程序,类似与微软的DOS操作系统。cmd.exe是一个32位的命令行程序,运行在Windows NT/2000/XP上。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
Control.exe Control.exe 是微软Windows操作系统自带的程序。用于访问控制面板。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
csrss.exe csrss.exe 是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
conime.exe conime.exe是输入法编辑器相关程序。允许用户使用标准键盘就能输入复杂的字符与符号,需要注意它同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机,窃取密码和个人数据。建议立即删除此进程。
ctfmon.exe ctfmon.exe 是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
ca.exe ca.exe 是ETrust EZ Firewall防火墙的一部分,用于保护你的计算机免受网络攻击。
calc.exe calc.exe 是微软附件中自带的计算器程序,包括基本和科学计算。
carpserv.exe carpserv.exe 是调制解调器Modem相关软件,用于对调制解调器的声音进行控制,例如你听到的拨号时听到的声音。
CCAP.EXE CCAP.EXE 是Symantec AntiVirus反病毒网络安全套装的一部分,用于保护你的计算机免受网络危险攻击。
ccapp.exe ccapp.exe 是Norton AntiVirus 2003反病毒软件的一部分。它能够自动保护你的计算机安全。
ccevtmgr.exe ccevtmgr.exe 是Norton Internet Security网络安全套装的一部分。该进程会同反病毒与防火墙程序同时安装。
ccproxy.exe ccproxy.exe 是Symantec Internet Security网络安全套装的一部分。该进程用于设定基本网络共享,用于你的网络共享给你的家庭或者办公室。
ccpxysvc.exe ccpxysvc.exe 是Norton Antivirus反病毒和Norton Personal Firewall个人防火墙的服务程序。
ccregvfy.exe ccregvfy.exe 是Norton Internet Security网络安全套装的一部分。该进程检测是否存在恶意的篡改注册表。
cdac11ba.exe cdac11ba.exe 是MacroVision safeCast反复制保护软件。该进程是一些软件为了保护其产品不被盗版而安装的。
cdantsrv.exe cdantsrv.exe 是MacroVison C-Dilla许可管理软件的一部分。
cfd.exe cfd.exe 是Motive通讯的宽带相关软件。
cfgwiz.exe cfgwiz.exe 是Norton Antivirus反病毒软件的一部分。
cftmon.exe cftmon.exe 是微软Microsoft Office套件的一部分,用于输入法相关。
charmap.exe charmap.exe 是微软Microsoft Windows工具,用于帮助你定位非标准字符集。
cleanup.exe cleanup.exe 是网络清理程序的一部分。它用于删除网络浏览痕迹,包括cookies、历史记录以及其它。
cli.exe cli.exe 是ATi显示卡硬件驱动程序。在状态栏上有图标用于进行调节。
cmanager.exe cmanager.exe 是操作日志记录程序。
cmmpu.exe cmmpu.exe 是C-Media声卡驱动程序。
Companion.exe Companion.exe 是AOL连接套件的一部分,其图标驻留在系统托盘上。它提供访问AOL的快捷方式。
comsmd.exe comsmd.exe 是3com 3C9xx系列网卡驱动的一部分。它提供诊断和配置功能。
cpd.exe cpd.exe 是McAfee Personal Firewall个人防火墙的一部分。它在后台运行,用于不同的安全特性。
crypserv.exe crypserv.exe 是Kenonic控制加密软件的主程序。
cthelper.exe cthelper.exe 是创新Creative公司Soundblaster声卡的程序。它是一个第三方的声卡相关插件/软件。
ctnotify.exe ctnotify.exe 是创新Creative声卡产品的一部分。该进程用于侦测插入的CD光盘。
ctsvccda.exe ctsvccda.exe 是创新Creative公司的相关软件,它与Soundblaster声卡驱动和一些其它创新程序一同安装。
cvpnd.exe cvpnd.exe 是Cisco VPN虚拟专用网络相关软件的一部分,它用于你使用加密或非密码VPN连接到远程服务器。
D
ddhelp.exe ddhelp.exe 是微软Windows操作系统的一部分。该进程是DirectX的一部分,用于对Windows 3D显示卡加速。
dfssvc.exe dfssvc.exe 是分布式文件系统服务。只在微软服务器版Windows上出现,该进程是重要的DFS分布式文件系统服务。微软Windows服务器版基础服务。
dllhost.exe dllhost.exe 是微软Windows操作系统的一部分。dllhost.exe用于管理DLL应用。这个程序对你系统的正常运行是非常重要的。
dos4gw.exe dos4gw.exe 是微软DOS操作系统在32位操作系统上的扩展壳。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
dotnetfx.exe dotnetfx.exe 是微软Windows升级到.net技术的一个进程。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
dumprep.exe dumprep.exe 是微软Windows XP操作系统的一部分,记录出现错误的程序信息。当一个程序出现错误时,该程序发送相关错误信息到微软。该程序不是纯粹的系统进程,安装是为了第三方使用。
dadapp.exe dadapp.exe 是Dell电脑自带的相关软件。用于Dell键盘可编程键。它会在系统托盘增加图标。
dadtray.exe dadtray.exe 是Dell电脑相关软件,用于配置Dell电脑相关热键。如果移除该进程会导致附加键不可用。
damon.exe damon.exe 是Dell电脑技术支持软件套装的一部分。
dap.exe dap.exe 是SpeedBit's DownLoad Accelator下载加速器主程序。
DavCData.exe DavCData.exe 是微软Microsoft Internet Information网络信息服务的一部分,用于让你的个人计算机或者Windows服务器对外提供Web服务。
dcfssvc.exe dcfssvc.exe 是柯达Kodak数码相机相关程序。该进程用于用户传输照片。
ddcman.exe ddcman.exe 是Wild Tangent计算机游戏相关程序。
defwatch.exe defwatch.exe 是Norton Antivirus反病毒企业版的一部分,用于检查病毒库特征文件是否有新的升级。
delayrun.exe delayrun.exe 是惠普HP相关产品,它用于防止HP计算机相关问题。
devenv.exe devenv.exe 是微软Microsoft Visual Studio的一部分,用于应用程序开发。
devldr.exe devldr.exe 是与Sound Blaster Live!声卡安装的程序。
Dwm.exe 是aero界面的一个进程,是VistaAeroGlass相关程序,让Vista系统拥有玻璃化3D的界面风格。
E
explorer.exe explorer.exe 是Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致Windows图形界面无法适用。注意:explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。该进程的安全等级是建议删除。 EnergyCut-EnergyCut.exe 2007--2-9
联想笔记本电源管理程序。电源管理系统是联想专为笔记本电脑设计的一套用于管理笔记本电源的系统。它通过软件、硬件的配合,提供了对笔记本电脑各部件的性能及功耗控制,从而延长了笔记本电脑的电池使用时间,增强了其续航能力。
F
fast.exe fast.exe 是Windows XP的一部分。该进程用于用户账号的快速切换。该进程不是纯粹的系统进程,但是安装它是需要的。
G
grpconv.exe grpconv.exe 是Windows操作系统的工具。它用于转换Windows 3.1的文件夹格式升级至Windows 95以及更高版本的Windows。这个程序对你系统的正常运行是非常重要的。
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。(系统服务)
H
hidserv.exe hidserv.exe 用于支持Windows操作系统的USB多媒体设备。这个程序对你系统的正常运行是非常重要的。
I
iexplore.exe iexplore.exe 是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒,该病毒会终止你的反病毒软件,和一些Windows系统工具,该进程的安全等级是建议删除。
imapi.exe imapi.exe 是微软Windows操作系统的一部分。用于CD刻录镜像管理。这个程序对你系统的正常运行是非常重要的。
inetinfo.exe inetinfo.exe 主要用于支持微软Windows IIS网络服务的除错。这个程序对你系统的正常运行是非常重要的。
internat.exe 是微软Windows多语言输入程序。这个程序对你系统的正常运行是非常重要的。internatt.exe也有可能是Win32.Lydra.a木马的一部分。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。
K
kernel32.exe kernel32.exe 是Floodnet病毒的一部分,通过Outlook发送邮件进行传播。这个进程的安全等级是建议立即进行删除。
L
launch32.exe launch32.exe 是储存管理服务的远程部署与安装程序。这个程序对你系统的正常运行是非常重要的。
loadwc.exe loadwc.exe 是微软Internet Explorer浏览器的一部分。该程序用于更高Internet Explorer的设置和喜好。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
Locator.exe Locator.exe 的作用是为了稳定的让远程程序调用Windows系统本地服务。该进程维护一个数据库程序。这个程序对你系统的正常运行是非常重要的。
logonui.exe logonui.exe 是一个系统进程,用于显示微软Windows XP系统用户切换界面。这个程序对你系统的正常运行是非常重要的。
lsass.exe lsass.exe 是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
M
mad.exe mad.exe 是Microsoft Exchange重要的一部分,用于调用DLL和记录消息。这个程序对你系统的正常运行是非常重要的。
mapisp32.exe mapisp32.exe 用于调用Microsoft Exchange和Outlook以及其它调用MAPI消息的程序。禁用该程序,可能导致相关需求的程序出现问题。
msdtc.exe msdtc.exe 是微软分布式传输协调程序。该进程调用系统Microsoft Personal Web Server和Microsoft SQL Server。该服务用于管理多个服务器。
msiexec.exe msiexec.exe 是Windows Installer的一部分。用于安装Windows Installer安装包(MSI)。这个程序对你系统的正常运行是非常重要的。
msoobe.exe msoobe.exe 是Windows XP产品激活程序,用于管理在线注册许可密钥。这个程序对你系统的正常运行是非常重要的。
mstask.exe mstask.exe 是Windows计划任务程序。它用于管理计划任务,包括备份和更新,定时运行。如果你删除该进程,计划任务将无法运行。
mprexe.exe mprexe.exe 只会在微软Windows 9x和Me出现。该进程用于计算机使用多个网络协议和网卡与路由的连接。正常情况下,该进程似乎只会在Windows出现问题的情况下,才会出现的Windows的任务管理器中。在其它情况下,它是不被调用的。
msconfig.exe msconfig.exe 用于帮助编辑和管理配置文件,例如Win.ini和autoexec.bat。这个程序对你系统的正常运行是非常重要的。
msgsrv32.exe msgsrv32.exe 仅会在微软Windows 9x和Me系统出现。该进程是一个32位的消息服务,似乎只在出现问题的时候,才会在Windows任务管理器中出现。在其它时候是不可见的。
MSMMsg.exe MSMMsg.exe 是BCM语音调制解调器驱动程序。
mstinit.exe mstinit.exe 是微软计划任务精灵,用于管理杀毒软件和磁盘碎片整理。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
mmc.exe mmc.exe 是Windows管理控制程序,是显示管理插件的控制面板,例如驱动器管理。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
mmtask.tsk mmtask.tsk 只会在微软Windows 9x和Me系统出现,通常情况下是隐藏的。它用于Windows进行多媒体的多任务处理。这个程序对你系统的正常运行是非常重要的。
System Idle System Idle 不是一个进程,更多用于统计剩余的CPU资源情况。无法删除。
N
ndisuio.sys ndisuio.sys 属于NDIS User Mode I/O (NDISUIO)协议驱动,用于支持无线设备,例如蓝牙之类。这个程序对你系统的正常运行是非常重要的。
netdde.exe netdde.exe 是微软Windows的网络动态数据Exchange服务。它用于帮助exchange数据在网络传输。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
ntoskrnl.exe ntoskrnl.exe 是保护性的进程,在你计算机反复启动的情况下出现。在正常情况下,在任务管理器是不会有该进程的。注意:ntoskrnl.exe也可能是w32.bolzano病毒。请使用杀毒软件进行查杀。
ntvdm.exe ntvdm.exe 是Windows 16位虚拟机的一部分。该进程用于使16位的进程能够运行在32位的系统环境下。这个程序对你系统的正常运行是非常重要的。
P
pchschd.exe pchschd.exe 用于监视分析系统硬件使用。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
pstores.exe pstores.exe 属于储存保护服务。它用于应用程序储存,如Internet Explorer储存机密数据。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
R
rasautou.exe rasautou.exe 是微软远程访问拨号器程序。它用于系统或者第三方应用程序,管理调制解调器Modem拨号连接。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
rdpclip.exe rdpclip.exe 用于文件复制。它用于从服务器到本地拷贝粘贴文件。这个程序对你系统的正常运行是非常重要的。
regsvc.exe 是Windows服务集中的一个系统服务。它用于远程计算机访问本地注册表。一些本地程序也能够通过该服务编辑注册表。这个程序对你系统的正常运行是非常重要的。
regsvr32.exe regsvr32.exe 用于注册Windows操作系统的动态链接库和ActiveX控件。这个程序对你系统的正常运行是非常重要的。
rnaapp.exe rnaapp.exe 是微软Windows 98/Me操作系统的进程,用于进行拨号网络连接。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
rpcss.exe rpcss.exe 是微软Windows操作系统的一部分。它用于本地计算机的远程程序调用服务。它是本地网络的公用服务。这个程序对你系统的正常运行是非常重要的。
rsvp.exe rsvp.exe 是用于保证客户端与服务端的音频和视频流质量的服务。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
rundll.exe 是Windows 95/98/Me是系统的一部分。这个程序对你系统的正常运行是非常重要的。注意:rundll.exe也可能是LOXOSCAM和Backdoor.SchoolBus.B木马的一部分。该病毒会在Windows XP和2000中出现。该病毒允许攻击者访问你的计算机。该进程的安全等级是建议立即删除。
rundll32.exe rundll32.exe 用于在内存中运行DLL文件,它们会在应用程序中被使用。这个程序对你系统的正常运行是非常重要的。注意:rundll32.exe也可能是W32.Miroot.Worm病毒。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
runonce.exe runonce.exe 是微软Run Once的包装。它用于第三方应用程序的安装程序。它允许安装程序添加到启动项中,用于再次启动后,进行进一步配置。这个程序对你系统的正常运行是非常重要的。
RegCertTool.exe 中国农业银行的证书工具相关程序。
S
sapisvr.exe sapisvr.exe 是Windows XP自带的进程。它用于语音识别支持。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
savedump.exe savedump.exe 用于NT内存储存。该进程会写内存内容到页面文件。重新启动后,内存中的内存会保存成一个文件。这个程序对你系统的正常运行是非常重要的。
scanregw.exe scanregw.exe 是微软Windows操作系统的一部分。该进程用于检测Windows注册表。如果找到错误,会使用Windows上次可用的较好配置文件启动Windows。这个程序对你系统的正常运行是非常重要的。
scardsvr.exe scardsvr.exe 是微软Windows操作系统的一部分,用于认证你本地系统的简单安全卡。
services.exe services.exe 是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%system32目录)和Sober.P (储存在%systemroot%Connection WizardStatus目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
smss.exe smss.exe 是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
snmp.exe snmp.exe 是微软Windows自带的网络相关进程。该进程用于局域网LAN和局域网基础配置。这个程序对你系统的正常运行是非常重要的。
spoolss.exe spoolss.exe 是微软Windows操作系统的一部分。该进程用于将打印机任务发送到本地打印机。这个程序对你系统的正常运行是非常重要的。
spoolsv.exe spoolsv.exe 用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级别是建议立即删除。
srvany.exe srvany.exe 是一个Windows附加程序,用于将一个程序注册为一个服务。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
svchost.exe svchost.exe 是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。这个程序对你系统的正常运行是非常重要的。注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。该进程的安全等级是建议立即删除。
systray.exe systray.exe 是一个后台程序,用于显示信息,例如日期和时间。这个程序对你系统的正常运行是非常重要的。
T
tapisrv.exe 这是一个后台服务,用于Windows 98和Windows NT4的Windows电话(TAPI)支持。这个程序对你系统的正常运行是非常重要的。
taskmgr.exe taskmgr.exe 用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开,这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
tlntsvr.exe tlntsvr.exe 属于微软Telnet程序的一部分。Telnet是一个基于TCP/IP网络的终端程序。
tcpsvcs.exe tcpsvcs.exe 是微软Windows网络组件的一部分。这个系统进程用于计算机使用专用的TCP/IP网络服务,例如DHCP,简单TCP和打印服务。这个程序对你系统的正常运行是非常重要的。
U
Userinit.exe Userinit.exe 是Windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。
W
WinLogon.exe WinLogon.exe 是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意:winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建SMTP引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。 [TOP↑]
WMIADAP.EXE WMIADAP.EXE 是微软操作系统的部分。该进程AutoDiscovery/AutoPurge ( ADAP)进程传输性能库到WMI库。这个程序对你系统的正常运行是非常重要的。
Wmiexe.exe Wmiexe.exe 是Windows管理程序。该后台程序让用户访问基本系统信息。删除这个重要进程会导致你的系统出现错误。
wmiprvse.exe wmiprvse.exe 是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。这个程序对你系统的正常运行是非常重要的。
wscntfy.exe wscntfy.exe 是Windows安全相关策略的一部分。这个程序对你系统的正常运行是非常重要的。
wuaclt.exe wuaclt.exe 是微软Windows系统自动检测你计算机上软件更新功能的一部分。这个程序对你系统的正常运行是非常重要的。注意:wuaclt.exe也可能是W32.Cult木马,该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
WUAUBoot.exe WUAUBoot.exe 用于管理Windows自动更新。该进程会检测检测更新。
Wuauclt.exe Wuauclt.exe 是Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使你无法得到最新更新信息。
wuaudt.exe wuaudt.exe 是微软操作系统自动更新的一部分。这个程序对你系统的正常运行是非常重要的。 (windows不存在名为wuaudt.exe的文件,正常的应该是wuauclt.exe而非wuaudt.exe,如果你的系统存在wuaudt.exe,很有可能你已经是病毒或木马的受害者)
WUCrtUpd.exe WUCrtUpd.exe 用于检测Windows的更新。该进程定时自动链接到在线地址检测更新。删除该进程将使你无法得到最新更新信息。
0
1xconfig.exe 1xconfig.exe 是SCM MicroSystems多媒体硬件产品的软件。该进程提供方便的托盘操作方式。
3dm2.exe 3dm2.exe 是3ware ATA/SATA RAID硬盘Web界面控制工具。该进程不是运行所必须的,但终止它可能有问题。
而系统进程一般在15到25之间为最正常,进程里面都是.exe格式的.注意看下格式,除了.exe的就有可能是病毒
Windows XP 常见的进程列表 最基本的系统进程
这些进程是系统运行的基本条件,有了这些进程,系统才能正常运行。
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe
管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。(系统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标 附加的系统进程
这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表操作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe
通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe
允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
允许通过Internet信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe
实现TFTP Internet标准。该标准不要求用户名和密码。远程安装服务
的一部分。(系统服务)
termsrv.exe
提供多会话环境允许客户端设备访问虚拟的Windows 2000 Professional 桌面会话以及运行在服务器上的基于Windows的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务) 不常用服务
以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉
tcpsvcs.exe 提供在PXE可远程启动客户计算机上远程安装 Windows 2000
Professional 的能力。(系统服务)
支持以下 TCP/IP 服务Character Generator,Daytime,Discard,Echo,以及Quote of the Day。(系统服务)
ismserv.exe
允许在Windows Advanced Server站点间发送和接收消息。(系统服务)
ups.exe
管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe
为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe
支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe
并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe
允许有权限的用户使用NetMeeting远程访问Windows桌面。(系统服务)
netdde.exe
提供动态数据交换(DDE)的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe
为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制
安装功能。(系统服务)
RsEng.exe
协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe
扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存
储点,以节省磁盘空间。(系统服务)
SCardSvr.exe
对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe
包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系
统服务)
snmptrap.exe
接收由本地或远程SNMP代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上SNMP管理程序。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe
依据.MSI文件中包含的命令来安装、修复以及删除软件。(系统服务)
系统进程解惑
上文中提到了很多系统进程,这些系统进程到底有何作用,其运行原理又是什么?下面我们将对这些系统进程进行逐一讲解,相信在熟知这些系统进程后,就能成功破解病毒的“以假乱真”和“偷梁换柱”了。
svchost.exe
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。
在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于5个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。
explorer.exe
常被病毒冒充的进程名有:iexplorer.exe、expiorer.exe、explore.exe。explorer.exe就是我们经常会用到的“资源管理器”。如果在“任务管理器”中将explorer.exe进程结束,那么包括任务栏、桌面、以及打开的文件都会统统消失,单击“任务管理器”→“文件”→“新建任务”,输入“explorer.exe”后,消失的东西又重新回来了。explorer.exe进程的作用就是让我们管理计算机中的资源。
explorer.exe进程默认是和系统一起启动的,其对应可执行文件的路径为“C:Windows”目录,除此之外则为病毒。
iexplore.exe
常被病毒冒充的进程名有:iexplorer.exe、iexploer.exeiexplorer.exe进程和上文中的explorer.exe进程名很相像,因此比较容易搞混,其实iexplorer.exe是Microsoft Internet Explorer所产生的进程,也就是我们平时使用的IE浏览器。知道作用后辨认起来应该就比较容易了,iexplorer.exe进程名的开头为“ie”,就是IE浏览器的意思。
iexplore.exe进程对应的可执行程序位于C:ProgramFilesInternetExplorer目录中,存在于其他目录则为病毒,除非你将该文件夹进行了转移。此外,有时我们会发现没有打开IE浏览器的情况下,系统中仍然存在iexplore.exe进程,这要分两种情况:1.病毒假冒iexplore.exe进程名。2.病毒偷偷在后台通过iexplore.exe干坏事。因此出现这种情况还是赶快用杀毒软件进行查杀吧。
rundll32.exe
常被病毒冒充的进程名有:rundl132.exe、rundl32.exe。rundll32.exe在系统中的作用是执行DLL文件中的内部函数,系统中存在多少个Rundll32.exe进程,就表示Rundll32.exe启动了多少个的DLL文件。其实rundll32.exe我们是会经常用到的,他可以控制系统中的一些dll文件,举个例子,在“命令提示符”中输入“rundll32.exe user32.dll,LockWorkStation”,回车后,系统就会快速切换到登录界面了。rundll32.exe的路径为“C:Windowssystem32”,在别的目录则可以判定是病毒。
spoolsv.exe
常被病毒冒充的进程名有:spoo1sv.exe、spolsv.exe。spoolsv.exe是系统服务“Print Spooler”所对应的可执行程序,其作用是管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,计算机上的打印将不可用,同时spoolsv.exe进程也会从计算机上消失。如果你不存在打印机设备,那么就把这项服务关闭吧,可以节省系统资源。停止并关闭服务后,如果系统中还存在spoolsv.exe进程,这就一定是病毒伪装的了。
我们平时在检查进程的时候如果发现有可疑,只要根据两点来判断:
1.仔细检查进程的文件名;
2.检查其路径。
通过这两点,一般的病毒进程肯定会露出马脚。
找个管理进程的好帮手
系统内置的“任务管理器”功能太弱,肯定不适合查杀病毒。因此我们可以使用专业的进程管理工具,例如Procexp。Procexp可以区分系统进程和一般进程,并且以不同的颜色进行区分,让假冒系统进程的病毒进程无处可藏。
运行Procexp后,进程会被分为两大块,“System Idle Process”下属的进程属于系统进程,
explorer.exe”下属的进程属于一般进程。我们介绍过的系统进程svchost.exe、winlogon.exe等都隶属于“System Idle Process”,如果你在“explorer.exe”中发现了svchost.exe,那么不用说,肯定是病毒冒充的。
http://www.yesky.com/SoftChannel/72350085605752832/20031223/1755973.shtml
http://soft.yesky.com/lesson/135/2445635.shtml
http://www.it.com.cn/f/edu/078/1/454397.htm
http://process.8s8s.com/
Windows XP 常见的进程列表
最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行)
smss.exe 系统进程管理
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) ->netlogon
svchost.exe 包含很多系统服务->eventsystem,
(SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)
explorer.exe 资源管理器
(internat.exe 托盘区的拼音图标)
附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少)
mstask.exe 允许程序在指定时间运行。(系统服务)->schedule
regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe->msftpsvc,w3svc,iisadmn
tlntsvr.exe->tlnrsvr
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe ->termservice
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
以下全是系统服务,并且很少会用到,如果你暂时用不着,应该关掉(对安全有害)
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)->simptcp
支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库.->rpclocator(区 RpcSs)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing服务 (系统服务)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)
进程是什么
最基本的系统进程列表
系统进程知识详解
常见进程
wdfmgr.exe进程文件分析详解
VMware Workstation虚拟机四大进程分析
nvidia显卡进程nvsvc32.exe分析
spoolsv.exe进程文件作用分析
360安全卫加载进程详解
巧妙从进程判断是否是病毒木马
WMIADAP.EXE分析
sbiesvc.exe进程分析
userinit.exe分析
WINDOWSXP服务详解(上)
WINDOWSXP服务详解(下)
mDNSResponder.exe介绍
smss.exe详细分析
常用最基本的系统进程列表
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
svchost.exe
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
Explorer.exe 资源管理器
internat.exe 托盘区的拼音图标
附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少):
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表操作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基
于 Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)
支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序
。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)
更多阅读
PS初级教程 污点修复画笔工具的使用 污点修复画笔工具在哪
【PS初级教程】污点修复画笔工具的使用——简介Adobe Photoshop,简称“PS”,是一个由Adobe Systems开发和发行的图像处理软件。Photoshop主要处理以像素所构成的数字图像。使用其众多的编修与绘图工具,可以更有效的进行图片编辑工作。2
IE菜单栏在哪 360浏览器工具栏不见了
IE菜单栏在哪——简介可能对于很多新手而言还不知道IE菜单栏在哪?今天小编就和您详细聊聊IE的菜单栏。IE菜单栏在哪——工具/原料IE菜单栏IE菜单栏在哪——IE菜单栏的位置:IE菜单栏在哪 1、IE菜单栏在IE浏览器中地址栏的下方,小编给
360浏览器医生在哪 360浏览器医生不显示 360浏览器医生进程
360浏览器医生在哪 360浏览器医生不显示——简介 在使用360浏览器时浏览器可能会出现一些问题,这时我们就可以用360浏览器医生来修复这些问题,但是有时360浏览器医生不见了。下面就和大家分享360浏览器医生不显示的解决方法。360浏览
强韧的亡灵结晶怎么得/怎么刷 强韧的亡灵结晶在哪换
强韧的亡灵结晶怎么得/怎么刷——简介强韧的亡灵结晶,是DNF里一件很有用处的材料道具,有了它史诗武器不在话下。强韧的亡灵结晶怎么得/怎么刷——工具/原料强韧的亡灵结晶强韧的亡灵结晶怎么得/怎么刷——强韧的亡灵结晶能换什么/在
关于FlashPlayer8中的安全设置 如何设置flash player
一般情况下,从本地文件系统运行的Flash程序和通过信任的Web上下载的swf、flv的内容都可正常播放。但有时会碰到下载的swf、flv内容会出现一个如下的提示框此框提醒用户所使用的 swf 或 flv内容正在尝试从其所在域外部(国外)的站点访