XP系统几个重要进程的总结

《XP系统几个重要进程的总结》由会员分享，可在线阅读，更多相关《XP系统几个重要进程的总结（5页珍藏版）》请在装配图网上搜索。

1、smss.exe Session Managercsrss.exe 子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley （IKE） 和 IP 安全驱动程序。（系统服务） 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据（ticket）。（系统服务） svchost.exe 包含很多系统服务SPOOLSV.EXE 将文件加载到内存中以便迟后打印。 （系统服务）explorer.exe 资源管理器internat.exe 托盘区的拼音图标1、alg.exealg.exe

2、进程文件是微软Windows操作系统自带的程序，用于处理微软Windows网络连接共享和网络连接防火墙。应用程序网关服务，为Internet连接共享和Windows防火墙提供 第三方协议插件的支持。alg.exe进程文件是微软Windows操作系统自带的程序，用于处理微软Windows网络连接共 享和网络连接防火墙，应用程序网关服务，为Internet连接共享和Windows防火墙提供第三 方协议插件的支持。alg.exe进程文件内存使用约4000KB左右。在Windows XP中，该进程文件位于C:Windowssystem32係统目录之下，这个程序对你系统的正常运行非常重要的，最好不要结束

3、此进程。如果此文件出现在C:windowsalg.exe系统目录下，则可能是病毒。另外，当alg.exe（或alg）为大写ALG.exe（或ALG）时，将无法上网（多为无线上网）。只需将用户注销后重新登录即可。2、spoolsv.exespoolsv.exe是Print Spooler的进程，管理所有本地和网络打印队列及控制所有打印 工作。如果此服务被停用，本地计算机上的打印将不可用。该进程属Windows系统服务。木马spoolsv进程信息：描述：这个垃圾软件利用将msic nmsibm.dll插入多个进程的方法对系统进行监控，在system32 下创建如下的东西：wmpdrm.dll 11

4、16 msic nmsibm.dllmsic nube.exemsic nplug ins spoolsvspoolsv.exe（这个还长得像微软打印服务，shit!）注册表加入如下垃圾：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndowsCurre ntVersio nRu n spoolsv=%System%spoolsvspoolsv.exe -pri nter HKEY_CLASSES_ROOTCLSID In procServer32 =%System%wmpdrm.dll HKEY_CLASSES_ROOTwmpdrm.cfsbhoHKEY_CLA

5、SSES_ROOTwmpdrm.cfsbho.1 HKEY_CLASSES_ROOTTypeLib HKEY_CLASSES_ROOTInterface 然后每隔4秒左右对以上东西进行监控，前后互相 照应，让你无从下手 启动项 c:/w in dows/system32/spoolsv/spoolsv.exe -pr in ter cfs2 相关文件、目录： %System%wmpdrm.dll %System%1116 %System%msic nmsibm.dll %System%msic nube.exe%System%msic nplug ins %System%spoolsvspoo

6、lsv.exe %System%spoolsvspoolsv.exe，有一个启动项： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndowsCurre ntVersio nRu n spoolsv=%System%spoolsvspoolsv.exe -pr in ter运行后会调 用%System%msicnmsibm.dll,创建%System%1116目录，备份用。%System%1116目录是备份目录，里面是%System%wmpdrm.dll %System%msicn和%System%spoolsvspoolsv.exe 的备份。 %System%m

7、sicnmsibm.dll,会插入多个 指定进程，大约每4秒钟监视恢复文件（从%System%1116目录）和注册表信息（启动项、 BHO）：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWi ndowsCurre ntVersio nRu n spoolsv HKEY_CLASSES_ROOTCLSIDI nprocServer32 =%System%wmpdrm.dll 注：spoolsv的数据不会被监视，所以修改它的数据也不 会被恢复，只有删除spoolsv才会被恢复。还可能会从远程服务器下载文件： http:/liveupdate.ourx in. com/se

8、cp.exe secp.exe 是个安装程序，安装以下文 件:%System%wmpdrm.dll %System%msic nube.exe %System%msic nplugins （目录里 4 个 dll 文件） %System%wmpdrm.dll 是一个BHO，%System%msicnube.exe 像是卸载程序。另外，在%System%和%System%msicn目录里还有有一些从远程下载来的cpz、vxd文件，比如： ava.vxd guid.vxd plgset.vxd safep.vxd%System%wmpdrm.dlI 作为 BHO 被调用后，会尝试调用 %Syste

9、m%spoolsvspoolsv.exe 和%System%msic nmsibm.dll。注：女口果%System%spoolsvspoolsv.exe没有被运行或被调用，也就不会备份还原，好像它就是 用来备份的。另外在“开始菜单”“程序”里可能会有一项“NavAngel”，里面有个快捷方式 NavAngel.lnk,指向：%System%spoolsvspoolsv.exe -ctrlfun:4,3“添加/删除程序里有一项“NavAngel”，对应命令是：%System%spoolsvspoolsv.exe -ctrlfun:4,2 还有一项“WinDirected 2.0”，对应命令是：

10、%System%spoolsvspoolsv.exe -uninst 还可 能会有mscache目录，从名字看像是存放临时缓存文件的。BHO相关注册表信息：HKEY_CLASSES_ROOTCLSID HKEY_CLASSES_ROOTwmpdrm.cfsbho HKEY_CLASSES_ROOTwmpdrm.cfsbho.1 HKEY_CLASSES_ROOTTypeLib HKEY_CLASSES_ROOTI nterface判别自己是否中毒1、点开始一运行，输入msco nfig，回车，打开实用配置程序，选择启动，感染以后会 在启动项里面发现运行Spoolsv.exe的启动项，每次进入w

11、indows会有NTservice的对话 框。 2、打开系统盘，假设C盘，看是否存在C:WINDOWSsystem32spoolsv文件夹， 里面有个spoolsv.exe文件，有傲讯浏览器辅助工具”的字样说明，正常的spoolsv.exe打 印机缓冲池文件应该在C:WINDOWSsystem32目录下。 3,打开任务管理器，会发现 spoolsv.exe进程，而且CPU占用率很高。清除方法1、重新启动，开机按F8进入安全模式。2、点开始一运行，输入cmd，进入dos。 利 用rd命令删除以下目录（如果存在）（在dos窗口下输入：rd（空格） C:WINDOWSsystem32spoolsv/

12、s,回车，出现提示，输入y回车，即可删除整个目录。）： C:WINDOWSsystem32msibm C:WINDOWSsystem32spoolsvC:WINDOWSsystem32bakcfs C:WINDOWSsystem32msicn 利用 del 命令删除下 面的文件（如果存在）（比如在dos窗口下输入：del（空格）C:windowssystem32spoolsv.exe，回车，即可删除被感染的spoolsv.exe，这个文件可以 在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到C:wi ndowssystem32 文件夹。）：C:w in dowssystem

13、32spoolsv.exeC:WINDOWSsystem32wmpdrm.dll3、重启按F8再次进入安全模式。 （1）桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击 NTservice， 选择“属性”，修改启动类型为“禁用”。、（2）点开始，运行，输入regedit，回车打开注册表，点菜单上的编辑，选择查找，查找含有spoolsv.exe的注册表项目，删除。可以 利用F3继续查找，将含有spoolsv.exe的注册表项目全部删除。 4、若以上操作完成后, 仍然有该进程。请桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右 键点击print

14、 spooler，选择属性”，先点停止”然后修改启动类型为手动或“禁用”。随后重复 以上步骤。 另外解决方案直接删除C:WINDOWSsystem32spoolPRINTERS下的文 件即可 我还遇到一种情况：经检查，不是以上所描述的病毒，但经常占CPU 100%，但 是连续关进程几次，便不再出现，奇怪。如上所述，在system32里有spool文件夹。直接把PRINTERS下的文件删除，便解决了这个问题。这可能不是“病毒”问题，而是系统的故障，但出现了还是很麻烦的。杀毒后处理病毒清了后你的SPOOLSV.EXE文件就没有了，且在服务里你的后台打印print spooler 也不能启动了，当然

15、打印机也不能运行了，在运行里输入“services.msc”后，在“print spooler ”服务中的“常规”项里的“可执行文件路径”也变得不可用，如启动会显示“错 误 3:找不到系统路径”的错误，这是因为你的注册表的相关项也删了，（在上面清病毒的 时候）解决方法：1：在安装光盘里1386目录下把SP00LSV.EX_文件复制到SYSTEM32目录下改名为spoolsv.exe,当然也可以在别人的系统时把这个文件拷过来，还可以用NT/XP 的文件保护功能，即在CMD里键入SFC/SCANNOW全面修复,反正你把这个文件恢复就可以了。 2： 修 改 注 册 表 即 可 ：进 入“HKEY_L

16、OCAL_MACHINESYSTEMCurrentControlSetServicesSpooler” 目录下，新建一个 可扩充字符串值，取名：“ImagePath”，其值为：“C:WINDOWSsystem32spoolsv.exe” （不要引号）再进入控制面板中启动打印服务即可。 13、csrss.execsrss.exe 是微软客户端/服务端运行时子系统。该进程管理 Windows 图形相关任务。这个程 序对你系统的正常运行是非常重要的4、iexplore.exeiexplore.exe是Microsoft In ter net Explorer的主程序。这个微软Win dows应用程序

17、让你在 网上冲浪，和访问本地Interanet网络。这不是纯粹的系统程序，但是如果终止它，可能会 导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分，这是一个免费的基 于In ter net Explorer的浏览器。注意iexplore.exe也有可能是Troja n.KillAV.B病毒，该病毒 会终止你的反病毒软件，和一些Windows系统工具，该进程出品者：Microsoft Corp.属于：Microsoft In ter net Explorer 系统进程：Yes 后台程序：No网络相关：Yes 常见错误：N/A 内存使用：N/A 安全等级（0-5）:

18、0 间谍软件：No 广告软件：No 病毒：No 木马：No5、lsass.exe进程文件:lsass or lsass.exe进程名称：本地安全权限服务描述：这个本地安全权限服务控制Windows安全机制。常见错误：N/A是否为系统进程：是6、services.exeservices.exe 是微软 Windows 操作系统的一部分。用于管理启动和停止服务。该进程也会处 理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。正常的services.exe应位于System%文件夹中，也就是在进程里用户名显示为“system不过 services 也可能是 W32.Rande

19、x.R（储存在 systemroot%system32 目录）和 Sober.P （储存 在systemroot%Connection WizardStatus目录）木马。该木马允许攻击者访问你的计算机， 窃取密码和个人数据。该进程的安全等级是建议立即删除。7、SMSS.EXESMSS.EXE:Session Manager Subsystem,该进程为会话管理子系统用以初始化系统变量， MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过 程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且 对许多活动的，包括已经正在运行

20、的Winlogon, Win32 （Csrss.exe）线程和设定的系统变 量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正 常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（挂 起）。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是 %WINDIR%SMSS.EXE,那就是中了 TrojanClicker.Nogard.a 病毒，这是一种 Windows 下的PE病毒，它采用VB6编写，是一个自动访问某站点的木马病毒。该病毒会在注册表 中多处添加自己的启动项，还会修改系统文件WI

21、N.INI，并在WINDOWS项中加入RUN=%WINDIR%SMSS.EXE。手工清除时请先结束病毒进程smss.exe，再删除WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。smss.exe进程文件:smss or smss.exe进程名称:Sessi on Man ager Subsystem描述：该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及 COM,调用Win32壳子系统和运行在Windows登陆过程。简介：这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的 并且对许多活动的，包括已经

22、正在运行的Winlogon. Win32(Csrss.exe)线程和设定的系 统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程 时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响 应(就是挂起)。8、taskmgr.exetaskmgr.exe进程文件用于 Windows任务管理器，它显示你系统中正在运行的进程。在 Windows XP中，该进程文件位于 C:Windowssystem32系统目录之下。该程序使用 Ctrl+Alt+Del打开，这不是纯粹的系统程9、kwmv.exe进程文件：KwMV.exe进程名称：KwMV.exe英文描述：N/A进程分析：酷我(KooW。)相关程序。酷我(KooWo)MP3伴侣是一款音乐识别软件。它应用 KooWo音频指纹技术，根据旋律准确识别歌名、歌手、专辑名等信息。识别后的歌曲无论在 音乐播放软件中，还是在MP3播放器中都会显示正确信息。千千静听配合酷我使用，能大大 提高歌词查找的成功率。进程位置：酷我音乐盒安装目录程序用途：酷我音乐盒传输进程作者:酷我音乐盒属于：酷我音乐盒安全等级(0-5)： N/A (N/A无危险5最危险)间谍软件：否广告软件：否病毒：否木马：否系统进程：否应用程序：否后台程序：是使用访问：否访问互联网：是