系统进程详解

 

 

 

    下面列出的都是操作系统的进程,而不是程序的进程,记住这些进程并了解他们的工作原理,用途,能让我们对系统进程的理解提升一个级别。

 

 

 

system Idle Process系统进程介绍

alg.exe系统进程介绍

csrss.exe系统进程介绍

ddhelp.exe系统进程介绍

dllhost.exe系统进程介绍

Explorer.exe系统进程介绍

inetinfo.exe系统进程介绍

internat.exe系统进程介绍

kernel32.dll系统进程介绍

lsass.exe系统进程介绍

mdm.exe系统进程介绍

mmtask.tsk系统进程介绍

regsvc.exe系统进程介绍

rpcss.exe系统进程介绍

services.exe系统进程介绍

smss.exe系统进程介绍

snmp.exe系统进程介绍

spool32.exe系统进程介绍

spoolsv.exe系统进程介绍

stisvc.exe系统进程介绍

svchost.exe系统进程介绍

taskmon.exe系统进程介绍

tcpsvcs.exe系统进程介绍

winlogon.exe系统进程介绍

winmgmt.exe系统进程介绍

system系统进程介绍

1、System Idle Process系统进程介绍

  [system Idle Process]
  
  进程文件: [system process] or [system process]
  
  进程名称: Windows内存处理系统进程
  
  描  述: Windows页面内存管理进程,拥有0级优先。
  
  介  绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
  
  System Idle Process为何物
  
  问:在使用Windows XP的过程中,按“Ctrl+Alt+Del”键调出任务管理器,在进程中我发现一个名为“System Idle Process”的进程,它往往占用了大部分CPU资源,经常是80%以上,请问为什么它占用了那么多资源?
  
  答:你误解了“System Idle Process”进程的意思了,这里的80%并不是你所想的占用CPU的资源,恰恰相反的是这里的80%以上是CPU资源空闲了出来的。这里的数字越大表示CPU可用资源越多,数字越小则表示CPU资源越紧张。该进程是系统必须的,不能禁止哦。

 

2、alg.exe系统进程介绍

  [alg.exe]
  
  进程文件: alg or alg.exe
  
  进程名称: 应用层网关服务
  
  描  述: 这是一个应用层网关服务用于网络共享。
  
  介  绍:一个网关通信插件的管理器,为 “Internet连接共享服务”和 “Internet连接防火墙服务”提供第三方协议插件的支持。
  
  Internet 连接共享 (ICS)/Windows 防火墙服务(ICF)的这个子组件对允许网络协议通过防火墙并在 Internet 连接共享后面工作的插件提供支持。应用程序层网关 (ALG) 插件可以打开端口和更改嵌入在数据包内的数据(如端口和 IP 地址)。文件传输协议 (FTP) 是唯一具有 Windows Server 2003 标准版和 Windows Server 2003 企业版附带的一个插件的网络协议。ALG FTP 插件旨在通过这些组件使用的网络地址转换 (NAT) 引擎来支持活动的 FTP 会话。ALG FTP 插件通过重定向所有通过 NAT 的流量和发送到通向环回适配器上 3000 到 5000 范围内的专用侦听端口的端口 21 的流量来支持这些会话。ALG FTP 插件随后监视并更新 FTP 控制通道流量,以便 FTP 插件能够通过 FTP 数据通道的 NAT 转发端口映射。FTP 插件还更新 FTP 控制通道流中的端口。
  
  系统服务名称:ALG应用程序协议 协议 端口
           FTP 控制   TCP  21
           
  问:
  我是ADSL宽带用户,平时常常下载电影,这几星期里我用网际快车下载电影的时候(下载的中段时候),老是出错:“ALG.EXE文件挂起”。我用的是XP系统,具体询问的问题如下:1.ALG.EXE是什么文件?为什么老是会挂起?2.为什么挂起后就不可以下载了?反映连接不上,但是其它上网都很正常如QQ、MSN、看网站,是一点问题也没有(就是不可以下载了,连FTP也不可以下载)。3.重启以后就好了,但是不到五分钟又是ALG.EXE文件挂起,又不可以下载电影了。我等着,一笑哥给我想想办法吧。
  答:
  ALG嘛,Application Layer Gateway Service是也,是Windows XP的一个应用层网关服务,通过“控制面板|管理工具|服务”,你可以看到其具体解释是“为应用程序级协议插件提供支持并启用网络/协议连接”,在其上点击右键,选择“属性|依存关系”,还可以发现“Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)”需要依赖此服务,而ICF和ICS也就是我们平时所说的XP中自带的防火墙和Internet连接共享。由于ALG的特殊性,因此很多病毒都将自己伪装成ALG.EXE文件,以欺骗系统和使用电脑的朋友,因此经常挂起很可能与你中了病毒有关,建议你使用最新版的杀毒软件进行查杀,看系统是否有问题。而在ALG.EXE挂起时,忘记快车不能够下载,是由于你启用了系统Internet连接的连接共享或者防火墙功能,ALG.EXE挂起导致这些功能失效,因此出现不能下载的情况。你可以关闭Internet连接共享以及防火墙功能,看是否有类似问题再次出现。

 

3、csrss.exe系统进程介绍

[csrss.exe]
  
  进程文件: csrss or csrss.exe
  
  进程名称: Client/Server Runtime Server Subsystem
  
  描  述: 客户端服务子系统,用以控制Windows图形相关子系统。
  
  介  绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。
  
  纯手工查杀木马csrss.exe
  
  注意:csrss.exe进程属于系统进程,这里提到的木马csrss.exe是木马伪装成系统进程
  
  前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的,不应该在这里,而且它的图标是98下notepad.exe的老记事本图标,在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定,也没有发现内存和CPU大量占用,网络流量也正常。
  
  这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator,就是我登录的用户名,而非system,另外它们的名字是小写的,而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE,觉得不对劲。
  
  然后按F3用资源管理器的搜索功能找csrss.exe,果然在C:\Windows下,大小52736字节,生成时间为12月9日12:37。而真正的csrss.exe只有4k,生成时间是2003年3月27日12:00,位于C:\Windows\Syetem32下。
  
  于是用超级无敌的UltraEdit打开它,发现里面有kavscr.exe,mailmonitor一类的字符,这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序,不是病毒就是木马了。灭!
  
  试图用任务管理器结束csrss.exe进程失败,称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值,注销重登录,该进程消失,可见它没有象3721那样加载为驱动程序。
  
  然后要查找和它有关的文件。仍然用系统搜索功能,查找12月9日生成的所有文件,然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe,但kavsrc.exe的图标也是98下的记事本图标,它和rundll32.exe的大小都是33792字节。
  
  此后在12:38分生成了一个tmp.dat文件,内容是
  
  @echo off
  debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
  copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
  del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
  del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
  C:\WINDOWS\system32\netstart.exe
  
  好像是用debug汇编了一段什么程序,这年头常用debug的少见,估计不是什么善茬,因为商业程序员都用Delphi、PB等大程序写软件。
  
  汇编大约进行了1分钟,在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节,另两个大小也是52736字节。前两个位于C:\Windows\System32下,后两个在当前用户的Temp文件夹里。
  
  这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行,因为我在任务管理器中没有见过它。把这些文件都删除,我的办法是用winrar压缩并选中完成后删除源文件,然后在rar文件注释中做说明,放一个文件夹里,留待以后研究。这个监狱里都是我的战利品,不过还很少。
  
  现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容,发现结果不少,有QQ病毒,传奇盗号木马,新浪游戏病毒,但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果,也是一个木马。
  
  这个病毒是怎么进入我的电脑的呢?搜索时发现在12月9日12:36分生成了一个快捷方式,名为dos71cd.zip,它是我那天从某网站下载的DOS7.11版启动光盘,但是当时下载失败了。现在看来根本就不是失败,是因为这个网站的链接本来就是一段网页注入程序,点击后直接把病毒下载来了。

 

4、ddhelp.exe系统进程介绍

  [ddhelp.exe]
  
  进程文件: ddhelp or ddhelp.exe
  
  进程名称: DirectDraw Helper
  
  描  述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
  
  简  介:Directx 帮助程序
  
  错误信息:Ddhelp.exe 导致模块 Mgaxdd32.dll 中出现无效页错误
  
  症状
  
  当使用 Windows Media Player 播放文件或运行 DxDiag.exe 工具时,您可能会看到以下错误信息:
  Ddhelp.exe caused an invalid page fault in module Mgaxdd32.dll at 015F:BAAL521F(Ddhelp.exe 在 015F:BAAL521F 处导致 Mgaxdd32.dll 模块中出现无效页错误)
  
  原因
  
  如果您的计算机中装有以下任何项目,就可能会出现此问题: ? Matrox Millennium II 视频适配器
  
  Microsoft DirectX 6.1
  
  不兼容的视频适配器
  
  解决方案
  
  要解决此问题,请与视频适配器的生产厂商联系,以获得更新的视频驱动程序。(重装新版的显卡驱动)

 

5、dllhost.exe系统进程介绍

  [dllhost.exe]
  
  进程文件: dllhost or dllhost.exe
  
  进程名称: DCOM DLL Host进程
  
  描  述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
  
  介  绍:com代理,系统附加的dll组件越多,则dllhost占用的cpu资源和内存资源就越多,而8月的“冲击波杀手”大概让大家对它比较熟悉吧。
  
  解决Web服务器出现的dllhost.exe错误
  
  我的Web服务器出了问题。一个弹出话框显示“dllhost.exe出现错误”。当我查看应用事件日志时发现有很多Active Server Pages Event 5这样的错误。它们在错误信息中显示为“line 0内存溢出”。这种错误以前每隔几天就发生一次,但现在是每隔几小时就发生一次。重启后也只能维持一阵子。你对此有什么看法吗?
  
  我还没碰到过这种问题,但我在微软的参考信息中看到Exchange Outlook Web Access使用过程中描述过这样的错误。(http://support.microsoft.com/?kbid=224327)
  
  该链接建议你安装最新的Exchange升级版。如果你在使用Exchange,不妨尝试一下。如果没有,我就要给你一些建议,它们同那些存在ASP 3.0方面问题的人的建议一样:
  
  确保你有所有最新升级版和服务包。
  
  在每个Web应用中允许进程隔离。
  
  将应用程序升级到ASP.NET。
  
  将Web 服务器升级到Windows Server 2003。
  
  了解真相 dllhost.exe是病毒吗?
  
  dllhost.exe 解释
  
  dllhost.exe是什么?
  
  dllhost.exe是运行COM+的组件,即COM代理,运行Windows中的Web和FTP服务器必须有这个东西。
  
  什么时候会出现dllhost.exe?
  
  运行COM+组件程序的时候就会出现。例如江民KV2004
  
  冲击波杀手又是怎么一回事?
  
  冲击波杀手借用了dllhost.exe作为进程名,但是由于Windows不允许同一个目录下有同名文件的存在,因此,冲击波杀手把病毒体:dllhost.exe放到了C:\Windows\System32\Wins目录里面(Windows 2000是C:\WINNT\System32\Wins,全部假设系统安装在C盘),但是真正的dllhost.exe应该放 在C:\Windows\System32(Windows 2000是C:\WINNT\System32)
  
  换句话说就是:冲击波(Worm.WelChia)为了迷惑用户,避免病毒的执行体被进程管理器终止,采用了dllhost.e xe这个和Windows组件一样的名字,但是并不是说进程里面出现dllhost.exe就等于感染了worm.welchi a
  
  再看看这里的FAQ吧
  
  第一个误区————进程出现Dllhost.exe就等于中了病毒
  Dllhost.exe是系统文件,但是进程里面出现Dllhost.exe进程不等于中了病毒
  
  第二个误区————一见Dllhost.exe进程就杀死
  其实这样做是不好的。很多程序都需要Dllhost.exe,例如KV2004实时监控运行的时候或IIS在解析一些ASP文件 的时候,进程中都会出现Dllhost.exe
  
  之所以大家恐惧Dllhost.exe进程,恐怕是由于冲击波(杀手)的问题。
  其实冲击波(杀手)只不过采取了一个偷梁换柱的方法。因为任务管理器里面无法看出进程中exe文件的路径,所以让大家在分析问题 的时候出现一些偏差。
  
  感染冲击波(杀手)的典型特征不是进程中出现Dllhost.exe,而是RPC服务出现问题(冲击波)和System32\w ins目录里面出现svchost.exe和dllhost.exe文件(冲击波杀手)。注意路径!!
  
  那么,Dllhost.exe是什么呢?Dllhost.exe是 COM+ 的主进程。正常下应该位于system32目录里面和system32\dllcache目录里面。而system32\win s目录里面是不会有dllhost.exe文件的。

 

6、Explorer.exe系统进程介绍

  [explorer.exe]
  
  进程文件: explorer or explorer.exe
  
  进程名称: 程序管理
  
  描  述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell,包括开始菜单、任务栏,桌面和文件管理。
  
  介  绍:这是一个用户的shell,在我们看起来就像任务条,桌面等等。或者说它就是资源管理器,不相信你在运行里执行它看看。它对windows系统的稳定性还是比较重要的,而红码也就是找它的麻烦,在c和d根下创建explorer.exe。
  
  Explorer.exe程序在系统中的作用
  
  教您手工清除“诺维格”及其变种!一个伪装成Explorer.exe系统进程的病毒
  
  如何解决Explorer.exe意外退出的问题?

  
  我的系统经常出现这个问题,先提示“Explorer.exe has encountered a problem and needs to close.We are sorry for the inconvenience.”然后Explorer.exe就自动退出,请问是什么原因呢?我用的是Windows XP系统。谢谢。
  
  你可能是因为Windows XP SP2的问题,因为不清楚你的具体情况,所以并不能用最合适的方式解决这个问题,但是你可以在微软的相关文章找到和你的系统一致的状况,并找到最好的解决方案。以下是相关链接http://support.microsoft.com/default.aspx?scid=kb;zh-cn;883791
  
  试图启动 Windows 时出现“Error Loading Explorer.exe”(加载 Explorer.exe 时出错)错误信息
  
  错误信息:Error Loading Explorer.exe You Must Reinstall Windows(加载 Explorer.exe 时出现错误,必须重新安装 Windows)

 

7、inetinfo.exe系统进程介绍

  [inetinfo.exe]
  
  进程文件: inetinfo or inetinfo.exe
  
  进程名称: IIS Admin Service Helper
  
  描  述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。
  
  介  绍:IIS服务进程,蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。
  
  inetinfo.exe占用了100%的cpu解决方案
  
  当我们在使用iis时,如果这时错误关机(停电等),重启机器后,再次使用iis,经常发现inetinfo.exe占用了100%的cpu,重装iis后,还是没用
  
  这个问题很多人的解决方案就是重装机器,之前我也是那么做的,只是我是从ghost恢复,但老这样做,似乎很麻烦。终无我忍无可忍(这样的情况太多了,而且我的同时也经常碰到这样的问题)
  
  我就想,既然国内资料没法找到解决方案,国外的也可以试试吧。经过两个多小时的努力,找到了解决方法:其实很简单,使用windows update更新一下电脑一下就行
  
  原文在:http://www.eggheadcafe.com/ng/microsoft.public.inetserver.misc/post210106.asp
  
  inetinfo.exe进程占用高达100%
  
  进程文件: inetinfo or inetinfo.exe
  
  进程名称: IIS Admin Service Helper
  
  InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。
  
  可能原因很多:
  
  1、IIS溢出入侵
  
  默认情况下,IIS 5.0服务器存在一个后缀为"printer"的应用程序映射,这个映射使用位于WINNTSystem32下的名为 msw3prt.dll 的动态库文件。这个功能是用于基于Web控制的网络打印的,是Windows2000为Internet Printing Protocol(IPP)协议而设置的应用程序功能。不幸的是,这个映射存在一个缓冲区溢出错误,可以导致inetinfo.exe出错
  
  解决方法:删除printer的应用程序映射
  
  2、shtml.dll
  
  在Frontpage Extention Server/Windows2000 Server上输入一个不存在的文件将可以得到web目录的本地路径信息:
  
  http://www.victim.com/_vti_bin/shtml.dll/something.html
  
  这样将返回以下信息:
  
  Cannot open "d:inetpubwwwrootpostinfo1.html": no such file or folder.
  
  但是如果我们请求并非HTML、SHTML或者ASP后缀的文件,我们将会得到不同的信息:
  
  http://207.69.190.42/_vti_bin/shtml.dll/something.exe
  
  shtml.dll对较长的带html后缀的文件名都会进行识别和处理,利用这一点,可以对IIS服务器执行DOS攻击,使目标服务器的CPU占用率达到 100%
  
  解决方法:禁用Frontpage扩展。
  
  Inetinfo.exe 进程停止响应
  http://support.microsoft.com/default.aspx?scid=kb;zh-cn;311517

 

8、internat.exe系统进程介绍

  [internat.exe]
  
  进程文件: internat or internat.exe
  
  进程名称: Input Locales
  
  描  述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
  
  介  绍:这里的internat很多人会误以为是网络什么有关的,其实不然,因为他和英特网internet差一字哦,这里这个internat是输入法图标的工具,一般本机只有一个输入法的都不需要运行这个.(任务栏里面的En图标) ,它主要是用来控制输入法的,当你的任务栏没有“EN”图标,而系统有internat.exe进程,不妨结束掉该进程,在运行里执行internat命令即可。
  
  在具有多个输入法区域设置的计算机上运行 Riprep.exe 时出现 Internat.exe 错误信息
  http://support.microsoft.com/default.aspx?scid=kb;zh-cn;245264
  
  QQ密码侦探1.1版木马程序会伪装成internat.exe进程
  
  监听原理:将监听程序伪装成windows的启动文件internat.exe,将原system目录内的同名文件拷入 windows目录,将本目录文件更名为SMAXINTE.EXE 从而实现启动隐身后台运行。windows目录中的sqwin.ini是其运行记录文件。注册表中新建3个主键
  
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
  
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK
  
  发送的邮箱、密码个数等信息放在
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
  
  \Software\Services\Security\Common\SoftWare\ControlsFolder\Reconciliation
  
  \Policies\Retriction\Adspopware\Connection Wizard Explorer\ShellServiceO
  
  bjectDelayLoad\Windows Messaging Subsystem\ProtectedStorage 中
  
  启 动:随系统启动,驻留后台运行
  
  外在表现:windows目录下存在internat.exe和sqwin.ini文件,system目录下internat.exe长度为196K,同时出现smaxinte.exe文件,长度大约37K。
  
  对 策:删除WINDOWS目录中的internat.exe和sqwin.ini文件,因system中的监听程序正在运行,所以无法直接删除,可用下列方式进行删除:
  
  1、用内存管理程序移掉内存中的INTERNAT,然后删除system中的INTERNAT.EXE,将smaxinte.exe改名为internat.exe
  
  2、将INTERNAT.EXE的系统属性改为普通,退到纯DOS下,再删除system中的INTERNAT.EXE,将 smaxinte.exe改名为internat.exe了解注册表的再删除
  
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
  
  HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK 3个相关键
  
  综 述:隐蔽性极强,伪装做的很不错,基本没有明显漏洞,属专业级盗窃程序

 

9、kernel32.dll系统进程介绍

  [kernel32.dll]
  
  进程文件: kernel32 or kernel32.dll
  
  进程名称: Windows壳进程
  
  描  述: Windows壳进程用于管理多线程、内存和资源。
  
  介  绍:kernel32.dll是Windows 9x/Me中非常重要的32位动态链接库文件,属于内核级文件。它控制着系统的内存管理、数据的输入输出操作和中断处理,当Windows启动时,kernel32.dll就驻留在内存中特定的写保护区域,使别的程序无法占用这个内存区域。
  
  kernel32.dll出错解决方案
  http://www.chinaitlab.com/www/news/article_show.asp?id=2380

 

10、lsass.exe系统进程介绍

  [lsass.exe]
  
  进程文件: lsass or lsass.exe
  
  进程名称: 本地安全权限服务
  
  描  述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。
  
  介  绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。
  
  今天一种名为avserver.exe的病毒开始在互联网上流传,传播方式类似于blast病毒,该病毒利用微软windows漏洞传播,请各位及时搭好windows补丁
  
  中病毒后症状
  
  和RPC的那种差不多 连着网一开机过一会就出现一个对话框(和XP里面强行关掉某个程序后出现的那种对话框差不多)说 LSA Shell(Export Version)出现问题,叫我选择调试/发送错误报告/不发送错误报告
  不管选哪个一会就出现一个类似RPC一分钟关机的对话框:说C:\Windows\System32\lsass.exe引起错误需要关机,状态码是-1073741819 ,然后重启的时候如果仍然连着网线,登陆XP时还说我密码错误!!断网就可以登陆了~~
  
  进程里面有xxxxx_up.exe ,lsass.exe ,avserver.exe 不停的往外建立tcp连接,使得打开ftp的时候说
  no buffer space available
  病毒会在windows\system32\下建立一个名为XXXXX_UP.exe文件,在windows目录下建立avserver.exe
  
  中毒后暂时的解决办法:
  
  1.解除关机倒计时窗口:调整系统时间为5.1之前的时间,如4.1号;在运行(run)里边运行shutdown -a
  
  2.在系统进程中关闭有xxxx_up.exe avserver.exe进程,拔掉网线,安装网络防火墙或者打开windows自带的防火墙,关闭445端口的通信
  
  3.重启到安全模式,手动删除windows\system32\下的一个名为XXXXX_UP.exe文件,在windows目录下的avserver.exe,以及启动项中的键值
  
  4.安装系统补丁 ,还可以使用Windows自动更新
  
  lsass.exe出乎意料终止,几分钟关机
  http://www.chinaitlab.com/www/news/article_show.asp?id=32293
  
  基于 Windows 2000 Server 的域控制器上的 Lsass.exe 进程的内存使用量
  http://support.microsoft.com/default.aspx?scid=kb;zh-cn;308356

 

11、mdm.exe系统进程介绍

  [mdm.exe]
  
  进程文件: mdm or mdm.exe
  
  进程名称: Machine Debug Manager
  
  描  述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。
  
  介  绍:Mdm.exe的主要工作是针对应用软件进行排错(Debug),说到这里,扯点题外话,如果你在系统见到fff开头的0字节文件,它们就是mdm.exe在排错过程中产生一些暂存文件,这些文件在操作系统进行关机时没有自动被清除,所以这些fff开头的怪文件里是一些后缀名为CHK的文件都是没有用的垃圾文件,可匀我馍境换岫韵低巢涣加跋臁6?X系统,只要系统中有Mdm.exe存在,就有可能产生以fff开头的怪文件。可以按下面的方法让系统停止运行Mdm.exe来彻底删除以fff开头的怪文件:首先按“Ctrl+Alt+Del”组合键,在弹出的“关闭程序”窗口中选中“Mdm”,按“结束任务”按钮来停止Mdm.exe在后台的运行,接着把Mdm.exe(在C:\Windows\System目录下)改名为Mdm.bak。运行msconfig程序,在启动页中取消对“Machine Debug Manager”的选择。这样可以不让Mdm.exe自启动,然后点击“确定”按钮,结束msconfig程序,并重新启动电脑。另外,如果你使用IE 5.X以上版本浏览器,建议禁用脚本调用(点击“工具→Internet选项→高级→禁用脚本调用”),这样就可以避免以fff开头的怪文件再次产生。
  
  OFF:如何关闭计算机调试管理器 Mdm.exe
  
  found.000文件夹的问题
  问:我的电脑有的时候在C盘或D盘的根目录下有个名为found.000的文件夹,里面有一些后缀名为CHK的文件。在c:\windows下有很多以fff开头的怪文件,而且大小全部为0字节。请问这些是什么文件?能否将它们删除?
  
  答:found.000文件夹里面的一些后缀名为CHK的文件是你在使用“磁盘碎片整理程序”整理硬盘后所产生的“丢失簇的恢复文件”。在c:\windows下有很多以fff开头的文件是由Mdm.exe(Machine Debug Manager)这个程序产生的。Mdm.exe的主要工作是针对应用软件进行排错(Debug),在排错过程中会产生一些暂存文件,这些文件在操作系统进行关机时没有自动被清除,所以这些fff开头的怪文件和found.000文件夹里面的一些后缀名为CHK的文件都是没有用的垃圾文件,可以任意删除而不会对系统产生不良影响。
  
  但只要系统中有Mdm.exe存在,那么以fff开头的怪文件就又有可能产生。你可以按下面的方法让系统停止运行Mdm.exe来彻底删除以fff开头的怪文件:首先按“Ctrl+Alt+Del”组合键,在弹出的“关闭程序”窗口中选中“Mdm”,按“结束任务”按钮来停止Mdm.exe在后台的运行,接着把Mdm.exe(在C:\Windows\System目录下)改名为Mdm.bak。运行msconfig程序,在启动页中取消对“Machine Debug Manager”的选择。这样可以不让Mdm.exe自启动,然后点击“确定”按钮,结束msconfig程序,并重新启动电脑。另外,如果你使用IE 5.X,建议禁用脚本调用(点击“工具→Internet选项→高级→禁用脚本调用”),这样就可以避免以fff开头的怪文件再次产生。

 

12、mmtask.tsk系统进程介绍

  [mmtask.tsk]
  
  进程文件: mmtask or mmtask.tsk
  
  进程名称: 多媒体支持进程
  
  描  述: 这个Windows多媒体后台程序控制多媒体服务,例如MIDI。
  
  介  绍:这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行。

 

13、regsvc.exe系统进程介绍

  [regsvc.exe]
  
  进程文件: regsvc or regsvc.exe
  
  进程名称: 远程注册表服务
  
  描  述: 远程注册表服务用于访问在远程计算机的注册表。可在控制面板,管理工具,服务中禁止相关的服务。

 

14、rpcss.exe系统进程介绍

  [rpcss.exe]
  
  进程文件: rpcss or rpcss.exe
  
  进程名称: RPC Portmapper
  
  描  述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
  
  介  绍:98它不是在装载解释器时或引导时启动,如果使用中有问题,可以直接在在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices添加"字符串值",定向到"C:\WINDOWS\SYSTEM\RPCSS"即可。
  
  Rpcss.exe是做什么用的?
  
  RPC是远程进程调用(Remote Procedure Call)的简称;它可以使两个程序的进程在网络上进行通讯。实际上,在UNIX系统中也有类似的技术。不象UNIX的SUNRPC/PORTMAP,RPC不依附于任何特殊的服务上,应用程序可以单独调用RPC。Windows NT/9x的Win32 API中提供了一系列的RPC程序调用接口,这些接口就是由rpcss.exe来控制的。
  
  那么,我们能不能删除rpcss.exe呢?
  
  不行。在Windows 9x下,应用程序可能需要它来向其它的应用程序或者它本身通讯。当然,如果我们强行删除这个程序,有可能会发生许多未知错误。在Windows NT/2000系统下,删除了这个重要的系统文件会导致系统启动失败(Windows 2000的系统保护功能会自动恢复被删除的文件)

 

15、services.exe系统进程介绍

  [services.exe]
  
  进程文件: services or services.exe
  
  进程名称: Windows Service Controller
  
  描  述: 管理Windows服务。
  
  介  绍:大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务,可以看到有很多服务都是在调用%systemroot%\system32\service.exe
  
  “Worm.NetSky”病毒解决方案
  1、使用安全工具软件杀掉病毒;
  
  2、不要轻易点击陌生人的邮件以及下载和运行其所带附件,在运行可疑附件前最好先用毒霸扫描;
  
  3、手工解决方案:
  
  对于系统是Windows9x,WindowsMe:
  
  步骤一,删除病毒主程序
  
  请使用干净的系统软盘引导系统到纯DOS模式,然后转到系统目录(默认的系统目录为C:\windows),分别输入以下命令,以便删除病毒程序:
  C:\windows\>del services.exe
  完毕后,取出系统软盘,重新引导到Windows系统。
  如果手中没有系统软件盘,可以在引导系统时按“F5”键也可进入纯DOS模式。
  
  步骤二,清除病毒在注册表里添加的项
  
  打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
  
  在左边的面板中, 双击(按箭头顺序查找,找到后双击):
  
  HKEY_LOCAL_MACHINE > Software > Microsoft > Windows >CurrentVersion>Run在右边的面板中, 找到并删除如下项目:
  
  "service" = "%Windir%\services.exe -serv"
  
  关闭注册表编辑器。
  
  对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever:
  
  步骤一,使用进程序管里器结束病毒进程
  
  右键单击任务栏,弹出菜单,选择“任务管理器”,调出“Windows任务管理器”窗口。在任务管理器中,单击“进程”标签,在例表栏内找到病毒进程“services.exe”,单击“结束进程按钮”,点击“是”,结束病毒进程,然后关闭“Windows任务管理器”;
  
  步骤二,查找并删除病毒程序
  
  通过“我的电脑”或“资源管理器”进入系统目录(Winnt或windows),找到文件services.exe”,将它们删除;
  
  步骤三,清除病毒在注册表里添加的项
  
  打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter;
  
  在左边的面板中, 双击(按箭头顺序查找,找到后双击):
  
  HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run在右边的面板中, 找到并删除如下项目:
  
  "service" = "%Windir%\services.exe -serv"
  
  关闭注册表编辑器。
  
  Services.exe 中的 CPU 使用率增至 100%
  症状
  
  在基于 Windows 2000 的计算机上,Services.exe 中的 CPU 使用率可能间歇性地达到 100 %,并且计算机可能停止响应(挂起)。出现此问题时,连接到该计算机(如果它是文件服务器或域控制器)的用户会被断开连接。您可能还需要重新启动计算机。如果 Esent.dll 错误地处理将文件刷新到磁盘的方式,则会出现此症状。
  解决方案
  Service Pack 信息
  
  要解决此问题,请获取最新的 Microsoft Windows 2000 Service Pack。有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
  
  修复程序信息
  Microsoft 提供了受支持的修补程序,但该程序只是为了解决本文所介绍的问题。只有计算机遇到本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其他一些测试。因此,如果这个问题没有对您造成严重的影响,Microsoft 建议您等待包含此修补程序的下一个 Windows 2000 Service Pack。
  
  要立即解决此问题,请与“Microsoft 产品支持服务”联系,以获取此修补程序。有关“Microsoft 产品支持服务”电话号码和支持费用信息的完整列表,请访问下面的 Microsoft Web 站点:
  http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
  
  注意 :特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题,可免收通常情况下收取的电话支持服务费用。对于特定更新程序无法解决的其他支持问题和事项,将正常收取支持费用。
  
  下表列出了此修补程序的全球版本的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的 时区 选项卡。
  
  状态
  Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。 此问题最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。

 

16、smss.exe系统进程介绍

  [smss.exe]
  
  进程文件: smss or smss.exe
  
  进程名称: Session Manager Subsystem
  
  描  述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
  
  简  介:这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。

 

17、snmp.exe系统进程介绍

  [snmp.exe]
  
  进程文件: snmp or snmp.exe
  
  进程名称: Microsoft SNMP Agent
  
  描  述: Windows简单的网络协议代理(SNMP)用于监听和发送请求到适当的网络部分。
  
  简  介:负责接收SNMP请求报文,根据要求发送响应报文并处理与WinsockAPI的接口。包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。

 

18、spool32.exe系统进程介绍

  [spool32.exe]
  
  进程文件: spool32 or spool32.exe
  
  进程名称: Printer Spooler
  
  描  述: Windows打印任务控制程序,用以打印机就绪。

 

19、spoolsv.exe系统进程介绍

  [spoolsv.exe]
  
  进程文件: spoolsv or spoolsv.exe
  
  进程名称: Printer Spooler Service
  
  描  述: Windows打印任务控制程序,用以打印机就绪。
  
  介  绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。
  
  Spoolsv.exe→打印任务控制程序,一般会先加载以供列表机打印前的准备工作
  
  Spoolsv.exe,如果常增高,有可能是病毒感染所致
  
  目前常见的是:
  
  Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)
  
  危害程度:中
  
  受影响的系统: Windows 2000, Windows XP, Windows Server 2003
  
  未受影响的系统: Windows 95, Windows 98, Windows Me, Windows NT, Windows 3.x, Macintosh, Unix, Linux
  
  病毒危害:
  
  1. 生成病毒文件
  
  2. 插入正常系统文件中
  
  3. 修改系统注册表
  
  4. 可被黑客远程控制
  
  5. 躲避反病毒软件的查杀
  
  简单的后门木马,发作会删除自身程序,但将自身程序套入可执行程序内(如:exe),并与计算机的通口(TCP端口138)挂钩,监控计算机的信息、密码,甚至是键盘操作,作为回传的信息,并不时驱动端口,以等候传进的命令,由于该木马不能判别何者是正确的端口,所以负责输出的列表机也是其驱动对象,以致Spoolsv.exe的使用异常频繁……
  
  Backdoor.Win32.Plutor
  
  破坏方法:感染PE文件的后门程序
  
  病毒采用VC编写。
  
  病毒运行后有以下行为:
  
  1、将病毒文件复制到%WINDIR%目录下,文件名为";Spoolsv.exe";,并该病毒文件运行。";Spoolsv.exe";文件运行后释放文件名为";mscheck.exe";的文件到%SYSDIR%目录下,该文件的主要功能是每次激活时运行";Spoolsv.exe";文件。如果所运行的文件是感染了正常文件的病毒文件,病毒将会把该文件恢复并将其运行。
  
  2、修改注册表以下键值:
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
  
  增加数据项:";Microsoft Script Checker"; 数据为:";MSCHECK.EXE /START";
  
  修改该项注册表使";MSCHECK.EXE";文件每次系统激活时都将被运行,而";MSCHECK.EXE";用于运行";Spoolsv.exe";文件,从而达到病毒自激活的目的。
  
  3、创建一个线程用于感染C盘下的PE文件,但是文件路径中包含";winnt";、";Windows";字符串的文件不感染。另外,该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单,将正常文件的前0x16000个字节替换为病毒文件中的数据,并将原来0x16000个字节的数据插入所感染的文件尾部。
  
  4、试图与局域网内名为";admin";的邮槽联系,创建名为";client";的邮槽用于接收其控制端所发送的命令,为其控制端提供以下远程控制服务:
  
  显示或隐藏指定窗口、屏幕截取、控制CDROM、关闭计算器、注销、破坏硬盘数据。

 

20、stisvc.exe系统进程介绍

  [stisvc.exe]
  
  进程文件: stisvc or stisvc.exe
  
  进程名称: Still Image Service
  
  描  述: Still Image Service用于控制扫描仪和数码相机连接在Windows。主要用于控制连接到你电脑上的扫描仪和数码相机。如果停用这个服务,那么大部分扫描仪和数码相机可能无法工作。因为它们的驱动程序往往和这个服务紧密结合。有网友报告HP的扫描仪驱动程序会导致StiSvc进程占用99%的CPU资源,因此,如果你在使用HP扫描仪进行扫描时,系统突然变得非常慢,最好下载、安装其最新的驱动程序。 如果这样还不能解决问题,就得先卸载驱动程序,然后停用这个服务,接着重启电脑,重装驱动程序即可。当然,如果不经常使用扫描仪或数码相机,也可以将其设置为“手动”或“已禁用”。

 

21、svchost.exe系统进程介绍

  [svchost.exe]
  
  进程文件: svchost or svchost.exe
  
  进程名称: Service Host Process
  
  描  述: Service Host Process是一个标准的动态连接库主机处理服务.
  
  介  绍:Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。windows 2k一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,windows 2003 server中则更多。
  
  剖析进程中SVCHOST的作用和原理
  
  全面了解系统中 svchost.exe 文件
  
  Windows系统安全 Svchost进程揭秘
  
  深入揭开Svchost.exe进程之谜
  
  创建SvcHost.exe调用的服务原理与实践
  
  系统进程中Svchost.exe的作用

 

22、taskmon.exe系统进程介绍

  [taskmon.exe]
  
  进程文件: taskmon or taskmon.exe
  
  进程名称: Windows Task Optimizer
  
  描  述: windows任务优化器监视你使用某个程序的频率,并且通过加载那些经常使用的程序来整理优化硬盘。
  
  介  绍:任务管理器,它的功能是监视程序的执行情况并随时报告。能够监测所有在任务栏中以窗口方式运行的程序,可打开和结束程序,还可直接调出关闭系统对话框。
  
  伪装成taskmon.exe进程的诺维格(Worm.Novarg)病毒手工清除方法
  
  1、终止恶意程序:
  
  打开Windows任务管理器.
  
  在Windows95/98/ME系统中, 按CTRL+ALT+DELETE
  
  在Windows NT/2000/XP 系统中,按CTRL+SHIFT+ESC,然后点击进程选项卡。
  
  在运行程序列表中,找到进程: taskmon.exe
  
  选择恶意程序进程,然后点击结束任务或结束进程按钮(取决于Windows的版本)。
  
  为了检查恶意程序是否被终止,关掉任务管理器,然后再打开。
  
  关掉任务管理器。
  
  *注意: 在运行Windows95/98/ME的系统中,任务管理器可能不会显示某一进程。可以使用其他进程查看器来终止恶意程序进程。否则,继续处理下面的步骤,注意附加说明。
  
  2、删除注册表中的自启动项目:
  
  从注册表中删除自动运行项目来阻止恶意程序在启动时执行。
  
  打开注册表编辑器: 点击开始>运行,输入REGEDIT,按Enter
  
  在左边的面板中,双击:
  
  HKEY_CURRENT_USER>Software>Microsft>Windows>CurrentVersion>Run
  HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
  
  在右边的面板中,找到并删除如下项目:
  
  TaskMon = %System%\taskmon.exe
  
  *注意: %System%是Windows的系统文件夹,在Windows 95,98,和ME系统中通常是 C:\Windows\System,在WindowsNT和2000系统中是:WINNT\System32,在Windows XP系统中是C:\Windows\System32。
  
  *注意: 如果不能按照上述步骤终止在内存中运行的恶意进程,请重启系统。
  
  3、删除注册表中的其他恶意项目
  
  如下是删除注册表中其他恶意项目的说明。
  
  仍旧在注册表编辑器中,在菜单条中点击编辑>查找,在文本领域中输入"ComDlg32",点击查找下一个。
  
  当像如下键值出现时,删除键值和数据:
  
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
  \ComDlg32\Version
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
  \ComDlg32\Version
  
  关闭注册表编辑器。

 

23、tcpsvcs.exe系统进程介绍

  [tcpsvcs.exe]
  
  进程文件: tcpsvcs or tcpsvcs.exe
  
  进程名称: TCP/IP Services
  
  描  述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional的能力。

 

24、winlogon.exe系统进程介绍

  [winlogon.exe]
  
  进程文件: winlogon or winlogon.exe
  
  进程名称: Windows Logon Process
  
  描  述: Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。这个进程处理登录和注销任务,事实上,这个进程是必需的,它的大小和你登录的时间有关系,我曾亲眼看见这个进程占用空间的波动情况,一个是登录一个小时左右,内存在1.2MB到8.5MB之间波动;另一个是登录了40多天,内存在1.7MB到17MB之间波动。wowexec.exe当你运行一些老的应用程序(比如一些16位的程序)或者DOS控制台下运行DOS命令行程序,你就会在进程里面发现它。

 

25、winmgmt.exe系统进程介绍

  [winmgmt.exe]
  
  进程文件: winmgmt or winmgmt.exe
  
  进程名称: Windows Management Service
  
  描  述: Windows Management Service透过Windows Management Instrumentation data WMI)技术处理来自应用客户端的请求。
  
  简  介:winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化。WinMgmt.exe(CIM对象管理器)和知识库(Repository)是WMI两个主要构成部分,其中知识库是对象定义的数据库,它是存儲所有可管理静态数据的中心数据库,对象管理器负责处理知识库中对象的收集和操作并从WMI提供程序收集信息。WinMgmt.exe在Windows 2k/NT上作为一个服务运行,而在Windows 95/98上作为一个独立的exe程序运行。Windows 2k系统在某些计算机上出现的WMI错误可以通过安装Windows 2k SP2來修正。

 

26、system系统进程介绍

  [system]
  
  进程文件: system or system
  
  进程名称: Windows System Process
  
  描  述: Microsoft Windows系统进程。
  
  介  绍:在任务管理器中会看到这项进程,属于正常系统进程。