热点科技
标题:
[原创] winndows xp 主要进程及其描述<需要的会员可以对照一下自己的winxp>
[打印本页]
作者:
changhong405
时间:
2006-5-30 03:55
标题:
[原创] winndows xp 主要进程及其描述<需要的会员可以对照一下自己的winxp>
winndows xp 主要进程及其描述<需要的会员可以对照一下自己的winxp>
进程 System Idle Process
描述 Windows页面内存管理进程,该进程拥有0级优先。它作为单线程运行在每个处理器上,并在系统不
处理其他线程的时候分派处理器的时间。它的CPU占用率越大表示可供分配的CPU资源越多,数字越小则表
示CPU资源紧张。
进程 SMSS.EXE
描述 Session Manager Subsystem,该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类
似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统,负责启动用
户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32
(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如
果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(
挂起)。要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%
\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,这是一种Windows下的PE病毒,它采用VB6编写
,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件
WIN.INI,并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程
smss.exe,再删除%WINDIR%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项即可。
进程 CSRSS.EXE
描述 Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制 Windows 图形相关子
系统。正常情况下在 Windows NT/2000/XP/2003 系统中只有一个 CSRSS.EXE 进程,正常位于 System32
文件夹中,若以上系统中出现两个(其中一个位于 Windows 文件夹中),或在 Windows 9X/Me 系统中出现
该进程,则是感染了 Trojan.Gutta 或 W32.Netsky.AB@mm 病毒。另外,目前新浪利用了系统漏洞传播的
一个类似于病毒的小插件,它会产生名为 nmgamex.dll、sinaproc327.exe、csrss.exe 三个常驻文件,
并且在系统启动项中自动加载,在桌面产生一个名为“新浪游戏总动园”的快捷方式,不仅如此,新浪还
将 Nmgamex.dll 文件与系统启动文件 rundll32.exe 进行绑定,并且伪造系统文件 csrss.exe,产生一
个同名的文件与系统绑定加载到系统启动项内,无法直接关闭系统进程后删除。手工清除方法:先先修改
注册表,清除名为启动项:NMGameX.dll、csrss.exe,然后删除 System32\NMGameX.dll、System32
\sinaproc327.exe 和 Windows\NMWizardA14.exe 三个文件,再修改 Windows 文件夹中的 csrss.exe 文
件为任意一个文件名,从新启动计算机后删除修改过的 csrss.exe 文件。
进程 WINLOGON.EXE
描述 Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。该进程的正常路径应
是 C:\Windows\System32 且是以 SYSTEM 用户运行,若路径是 C:\Windows 且不以 SYSTEM 用户运行,
则是W32.Netsky.D@mm 蠕虫病毒,该病毒通过 EMail 邮件传播,当你打开病毒发送的附件时,即会被感
染。该病毒会创建 SMTP 引擎在受害者的计算机上,群发邮件进行传播。手工清除该病毒时先结束病毒进
程 winlogon.exe,然后删除 C:\Windows 目录下的 winlogon.exe、winlogon.dll、winlogon_hook.dll
和 winlogonkey.dll 文件,再清除 AOL instant messenger 7.0 服务,位于注册表
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 键。
进程 services.exe
描述 该进程是多个 Windows 系统服务的宿主。包括:1) Event Log,启用在事件查看器查看基于
Windows 的程序和组件颁发的事件日志消息,无法终止此服务。2) Plug and Play,使计算机在极少或没
有用户输入的情况下能识别并适应硬件的更改,终止或禁用此服务会造成系统不稳定。
进程 lsass.exe
描述 该进程是多个 Windows 系统服务的宿主。包括:1) HTTP SSL,通过安全套接字层(SSL)实现
HTTP 服务的安全超文本传送协议(HTTPS)。2) IPSEC Services,提供 TCP/IP 网络上客户端和服务器之
间端对端的安全,如果此服务被停用,网络上客户端和服务器之间的 TCP/IP 安全将不稳定。3)
Kerberos Key Distribution Center,在域控制器上此服务启用用户使用 Kerberos 授权协议登录网络。
如果此服务在域控制器上被停用,用户将无法登录网络。4) Net Logon,为用户和服务身份验证维护此计
算机和域控制器之间的安全通道。如果此服务被停用,计算机可能无法验证用户和服务身份并且域控制器
无法注册 DNS 记录。5) NT LM Security Support Provider,为使用传输协议而不是命名管道的远程过
程调用(RPC)程序提供安全机制。6) Protected Storage,保护敏感数据(如私钥)的存储,以便防止未授
权的服务、过程或用户对其的非法访问。如果此服务被停用,保护性存储将不可用。7) Security
Accounts Manager,此服务的启动通知其他服务安全帐户管理 (SAM) 准备好接收请求。禁用此服务将使
系统中的其他服务接收不到 SAM 准备好的通知,从而导致这些服务启动不正确。此服务不应被禁用。
进程 SVCHOST.EXE
描述 Service Host Process是一个标准的动态连接库主机处理服务。Svchost.exe文件对那些从动态连
接库(DLL)中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的Windows\system32
文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个
Svchost.exe在同一时间运行。Windows 2000一般有2个Svchost进程,一个是RPCSS(Remote Procedure
Call)服务进程,另外一个则是由很多服务共享的一个Svchost.exe;而在windows XP中,则一般有4个以
上的Svchost.exe服务进程;Windows 2003 server中则更多。Svchost.exe是一个系统的核心进程,并不
是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过察看
Svchost.exe进程的执行路径可以确认是否中毒。如果您怀疑计算机有可能被病毒感染,Svchost.exe的服
务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会在C:\Windows\System32目录下
找到一个Svchost.exe程序,如果您在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。
进程 spoolsv.exe
描述 Print Spooler,管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计
算机上的打印将不可用。该进程属 Windows 系统服务。
进程 alg.exe
描述 Application Layer Gateway Service,应用程序网关服务,为 Internet 连接共享和 Windows
防火墙提供第三方协议插件的支持。该进程属 Windows 系统服务。
进程 slserv.exe
描述 SmartLink Modem 的服务进程。如果中了 QQ 白骨精病毒,也可能出现这个进程,若中了此病毒
请用 KavQQ 最新版杀毒。
进程 CTFMON.EXE
描述 Alternative User Input Services,控制Alternative User Input Text Processor (TIP) 和
Microsoft Office 语言条。Ctfmon.exe 提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支
持。
进程 NOTEPAD.EXE
描述 Windows 记事本程序,用于打开与编辑文本文档。
[ 本帖最后由 东成西就 于 2006-5-30 03:58 编辑 ]
作者:
t5007
时间:
2006-5-30 07:21
坐下沙发!谢谢楼主提供和分享!!!!!!
作者:
tonyhome
时间:
2006-5-31 01:27
Svchost.exe比较让人头疼
欢迎光临 热点科技 (http://www.itheat.com/activity/)
Powered by Discuz! X3.2