㈠ 一般進程中都有哪些程序分別是干什麼的
System Idle Process
Windows頁面內存管理進程,該進程擁有0級優先。它作為單線程運行在每個處理器上,並在系統不處理其他線程的時候分派處理器的時間。它的CPU佔用率越大表示可供分配的CPU資源越多,數字越小則表示CPU資源緊張。
System
Microsoft Windows系統進程。
smss.exe
Session Manager Subsystem,該進程為會話管理子系統用以初始化系統變數,MS-DOS驅動名稱類似LPT1以及COM,調用Win32殼子系統和運行在Windows登陸過程。它是一個會話管理子系統,負責啟動用戶會話。這個進程是通過系統進程初始化的並且對許多活動的,包括已經正在運行的Winlogon,Win32(Csrss.exe)線程和設定的系統變數作出反映。在它啟動這些進程後,它等待Winlogon或者Csrss結束。如果這些過程時正常的,系統就關掉了。如果發生了什麼不可預料的事情,smss.exe就會讓系統停止響應(掛起)。要注意:如果系統中出現了不只一個smss.exe進程,而且有的smss.exe路徑是"%WINDIR%\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,這是一種Windows下的PE病毒,它採用VB6編寫 ,是一個自動訪問某站點的木馬病毒。該病毒會在注冊表中多處添加自己的啟動項,還會修改系統文件WIN.INI,並在[WINDOWS]項中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除時請先結束病毒進程smss.exe,再刪除%WINDIR%下的smss.exe文件,然後清除它在注冊表和WIN.INI文件中的相關項即可。
csrss.exe
Client/Server Runtime Server Subsystem,客戶端服務子系統,用以控制Windows圖形相關子系統。正常情況下在Windows NT4/2000/XP/2003系統中只有一個CSRSS.EXE進程,正常位於System32文件夾中,若以上系統中出現兩個(其中一個位於Windows文件夾中),或在Windows 9X/Me系統中出現該進程,則是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。另外,目前新浪利用了系統漏洞傳播的一個類似於病毒的小插件,它會產生名為nmgamex.dll、sinaproc327.exe、csrss.exe三個常駐文件,並且在系統啟動項中自動載入,在桌面產生一個名為「新浪遊戲總動園」的快捷方式,不僅如此,新浪還將Nmgamex.dll文件與系統啟動文件rundll32.exe進行綁定,並且偽造系統文件csrss.exe,產生一個同名的文件與系統綁定載入到系統啟動項內,無法直接關閉系統進程後刪除。手工清除方法:先先修改注冊表,清除名為啟動項:NMGameX.dll、csrss.exe,然後刪除System32\NMGameX.dll、System32\sinaproc327.exe和Windows\NMWizardA14.exe三個文件,再修改Windows文件夾中的csrss.exe文件為任意一個文件名,從新啟動計算機後刪除修改過的csrss.exe文件。
WINLOGON.EXE
Windows Logon Process,Windows NT用戶登陸程序。這個進程是管理用戶登錄和退出的。而且winlogon在用戶按下CTRL+ALT+DEL時就激活了,顯示安全對話框。
services.exe
Windows Service Controller,管理Windows服務。大多數的系統核心模式進程是作為系統進程在運行。打開管理工具中的服務,可以看到有很多服務都是在調用service.exe。正常的services.exe應位於%System%文件夾中,如果在%Windir%\Connection Wizard\Status中發現services.exe和csrss.exe、smss.exe的話,則是中了Worm_Sober.N蠕蟲病毒。病毒運行後,顯示一下對話框,看上去是一個錯誤信息。同時,在%Windir%\Connection Wizard\Status和%system%目錄下生成多個文件。病毒會在被感染用戶的系統內搜索多種擴展名的文件,找到電子郵件地址,並使用的自帶的SMTP向這些地址發送帶毒的電子郵件進行傳播。
LSASS.EXE
本地安全許可權服務控制Windows安全機制。管理IP安全策略以及啟動ISAKMP/Oakley(IKE)和IP安全驅動程序等。它會為使用Winlogon服務的授權用戶生成一個進程。這個進程是通過使用授權的包,例如默認的msgina.dll來執行的。如果授權是成功的,lsass就會產生用戶的進入令牌,令牌別使用啟動初始的Shell。其他的由用戶初始化的進程會繼承這個令牌的。而Windows活動目錄遠程堆棧溢出漏洞,正是利用LDAP 3搜索請求功能對用戶提交請求缺少正確緩沖區邊界檢查,構建超過1000個"AND"的請求,並發送給伺服器,導致觸發堆棧溢出,使LSASS.EXE服務崩潰,系統在30秒內重新啟動。這里請記住該進程的正常路徑為C:\WINDOWS\system32,一些病毒,如W32.Nimos.Worm病毒會在其它位置模仿LSASS.EXE來運行。
svchost.exe
Service Host rocess是一個標準的動態連接庫主機處理服務。Svchost.exe文件對那些從動態連接庫(DLL)中運行的服務來說是一個普通的主機進程名。Svhost.exe文件定位在系統的Windows\system32文件夾下。在啟動的時候,Svchost.exe檢查注冊表中的位置來構建需要載入的服務列表。這就會使多個Svchost.exe在同一時間運行。Windows 2000一般有2個Svchost進程,一個是RPCSS(Remote Procere Call)服務進程,另外一個則是由很多服務共享的一個Svchost.exe;而在windows XP中,則一般有4個以上的Svchost.exe服務進程;Windows 2003 server中則更多。Svchost.exe是一個系統的核心進程,並不是病毒進程。但由於Svchost.exe進程的特殊性,所以病毒也會千方百計的入侵Svchost.exe。通過察看Svchost.exe進程的執行路徑可以確認是否中毒。如果您懷疑計算機有可能被病毒感染,Svchost.exe的服務出現異常的話通過搜索Svchost.exe文件就可以發現異常情況。一般只會在C:\Windows\System32目錄下找到一個Svchost.exe程序,如果您在其他目錄下發現Svchost.exe程序的話,那很可能就是中毒了。
explorer.exe
Windows Explorer用於控制Windows圖形Shell,包括開始菜單、任務欄,桌面和文件管理。這是一個用戶的Shell,在我們看起來就像任務條,桌面等等,或者說它就是資源管理器。它對Windows系統的穩定性是比較重要的。
rundll32.exe
Windows RUNDLL32 Helper,Windows Rundll32為了需要調用DLLs的程序。該文件可有被QQ白骨精病毒所感染,應該先結束此進程,然後刪除%SysDri%\Rundll32.exe文件,再去找一個正常的Rundll32.exe恢復即可。QQ白骨精病毒是一種用VC編寫的發送QQ尾巴和盜取信息的木馬病毒,它通過在QQ上發送以誘惑性文字為名的EXE文件(如:超級MM,超級FLASH,請您笑納.EXE)來傳播。病毒會搜索QQ好友並自動發送病毒文件,並盜取被感染的電腦中的QQ密碼。若中了此病毒請用KavQQ最新版殺毒。
regsvc.exe
遠程注冊表服務用於訪問在遠程計算機的注冊表。
taskmgr.exe
Windows任務管理器。按 CTRL+ALT+ DEL或CTRL+SHIFT+ESC 打開。查看現在是運行在系統上的程序。
winmgmt.exe
Windows Management Service透過Windows Management Instrumentation data (WMI)技術處理來自應用客戶端的請求。winmgmt是Windows 2000客戶端管理的核心組件。當客戶端應用程序連接或當管理程序需要他本身的服務時這個進程初始化。WinMgmt.exe(CIM對象管理器)和知識庫(Repository)是WMI兩個主要構成部分,其中知識庫是對象定義的資料庫,它是存儲所有可管理靜態數據的中心資料庫,對象管理器負責處理知識庫中對象的收集和操作並從WMI提供程序收集信息。WinMgmt.exe在Windows 2000/NT上作為一個服務運行,而在Windows 95/98上作為一個獨立的exe程序運行。Windows 2000系統在某些計算機上出現的WMI錯誤可以通過安裝Windows 2000 SP2來修正。
wuauclt.exe
Automatic Updates自動升級,Wuauclt.exe是主管Windows自動升級的系統進程。可以在線檢測最近Windows更新。如果您沒有開啟自動升級的話就不會有這項進程了,而且就算您開啟了它,它也不是任何時候都開啟的。Wuauclt.exe佔用的資源也不算太小。運行時內存佔用達到了6m左右,好在自動升級不是每時每刻開著的。但是如果您關閉了這個程序的話,wscenfy.exe就會啟動。
notepad.exe
Windows中附帶的字元編輯器,用於打開文檔。
regsvr32.exe
Microsoft Windows注冊服務程序,用於注冊Windows操作系統的動態鏈接庫和ActiveX控制項。這個程序對您系統的正常運行是非常重要的。
TIMPlatform.exe
QQ外部應用開發介面管理程序,TIMPlatform.exe是QQ和Tencent Messenger共同使用的外部應用開發介面管理程序,屬於QQ 2004不可或缺的底層核心模塊。如果刪除該程序,QQ將喪失與周邊功能模塊以及外部應用程序相互調用的功能。該文件可有被QQ白骨精病毒所感染,並且將原文件改名為TIMP1atform.exe(l改成了1)。請先結束本進程,然後刪除TIMPlatform.exe,再將TIMP1atform.exe改為TIMPlatform.exe即可。QQ白骨精病毒是一種用VC編寫的發送QQ尾巴和盜取信息的木馬病毒,它通過在QQ上發送以誘惑性文字為名的EXE文件(如:超級MM,超級FLASH,請您笑納.EXE)來傳播。病毒會搜索QQ好友並自動發送病毒文件,並盜取被感染的電腦中的QQ密碼。若中了此病毒請用KavQQ最新版殺毒。