XP系統(tǒng)幾個重要進程的總結

smss.exeSessionManagercsrss.exe子系統(tǒng)服務器進程winlogon.exe管理用戶登錄services.exe包含很多系統(tǒng)服務lsass.exe管理IP安全策略以及啟動ISAKMP/Oakley（IKE）和IP安全驅動程序。（系統(tǒng)服務）產生會話密鑰以及授予用于交互式客戶/服務器驗證的服務憑據（ticket）。（系統(tǒng)服務）svchost.exe包含很多系統(tǒng)服務SPOOLSV.EXE將文件加載到內存中以便遲后打印。（系統(tǒng)服務）explorer.exe資源管理器internat.exe托盤區(qū)的拼音圖標1、 alg.exealg.exe進程文件是微軟Windows操作系統(tǒng)自帶的程序，用于處理微軟Windows網絡連接共享和網絡連接防火墻。應用程序網關服務，為Internet連接共享和Windows防火墻提供第三方協(xié)議插件的支持。alg.exe進程文件是微軟Windows操作系統(tǒng)自帶的程序，用于處理微軟Windows網絡連接共享和網絡連接防火墻，應用程序網關服務，為Internet連接共享和Windows防火墻提供第三方協(xié)議插件的支持。alg.exe進程文件內存使用約4000KB左右。在WindowsXP中，該進程文件位于C:\Windows\system32係統(tǒng)目錄之下，這個程序對你系統(tǒng)的正常運行非常重要的，最好不要結束此進程。如果此文件出現在C:\windows\alg.exe系統(tǒng)目錄下，則可能是病毒。另外，當alg.exe（或alg）為大寫ALG.exe（或ALG）時，將無法上網（多為無線上網）。只需將用戶注銷后重新登錄即可。2、 spoolsv.exespoolsv.exe是PrintSpooler的進程，管理所有本地和網絡打印隊列及控制所有打印工作。如果此服務被停用，本地計算機上的打印將不可用。該進程屬Windows系統(tǒng)服務。木馬spoolsv進程信息：描述： 這個垃圾軟件利用將msicn\msibm.dll插入多個進程的方法對系統(tǒng)進行監(jiān)控，在system32下創(chuàng)建如下的東西： wmpdrm.dll1116\msicn\msibm.dllmsicn\ube.exe msicn\plugins\spoolsv\spoolsv.exe（這個還長得像微軟打印服務，shit!!） 注冊表加入如下垃圾：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows'CurrentVersion\Run]"spoolsv"="%System%\spoolsv\spoolsv.exe-printer"[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]@="%System%\wmpdrm.dll"[HKEY_CLASSES_ROOT\wmpdrm.cfsbho][HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1][HKEY_CLASSES_ROOT\TypeLib\][HKEY_CLASSES_ROOT\Interface\]然后每隔4秒左右對以上東西進行監(jiān)控，前后互相照應，讓你無從下手啟動項c:/windows/system32/spoolsv/spoolsv.exe-printercfs2……相關文件、目錄：%System%\wmpdrm.dll%System%\1116\%System%\msicn\msibm.dll%System%\msicn\ube.exe %System%\msicn\plugins\%System%\spoolsv\spoolsv.exe%System%\spoolsv\spoolsv.exe，有一個啟動項：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows'CurrentVersion\Run]"spoolsv"="%System%\spoolsv\spoolsv.exe-printer"運行后會調用%System%\msicn\msibm.dll,創(chuàng)建%System%\1116\目錄，備份用。 %System%\1116\目錄是備份目錄，里面是%System%\wmpdrm.dll>%System%\msicn\和%System%\spoolsv\spoolsv.exe的備份。%System%\msicn\msibm.dll,會插入多個指定進程，大約每4秒鐘監(jiān)視恢復文件（從%System%\1116\目錄）和注冊表信息（啟動項、BHO）：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows'CurrentVersion\Run]"spoolsv"[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]@="%System%\wmpdrm.dll"注："spoolsv"的數據不會被監(jiān)視，所以修改它的數據也不會被恢復，只有刪除"spoolsv"才會被恢復。還可能會從遠程服務器下載文件：/secp.exesecp.exe是個安裝程序，安裝以下文件: %System%\wmpdrm.dll%System%\msicn\ube.exe%System%\msicn'plugins\（目錄里4個dll文件）%System%\wmpdrm.dll是一個BHO，%System%\msicn\ube.exe像是卸載程序。 另外，在%System%\和%System%\msicn\目錄里還有有一些從遠程下載來的cpz、vxd文件，比如：ava.vxdguid.vxdplgset.vxdsafep.vxd %System%\wmpdrm.dlI作為BHO被調用后，會嘗試調用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。 注：女口果%System%\spoolsv\spoolsv.exe沒有被運行或被調用，也就不會備份還原，好像它就是用來備份的。 另外…… 在“開始菜單”>>“程序”里可能會有一項“NavAngel”，里面有個快捷方式NavAngel.lnk,指向：%System%\spoolsv\spoolsv.exe-ctrlfun:4,3 “添加/刪除程序"里有一項“NavAngel”，對應命令是：%System%\spoolsv\spoolsv.exe-ctrlfun:4,2還有一項“WinDirected2.0”，對應命令是：%System%\spoolsv\spoolsv.exe-uninst還可能會有mscache\目錄，從名字看像是存放臨時緩存文件的。 BHO相關注冊表信息：[HKEY_CLASSES_ROOT\CLSID\][HKEY_CLASSES_ROOT\wmpdrm.cfsbho][HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1][HKEY_CLASSES_ROOT\TypeLib\][HKEY_CLASSES_ROOT\Interface\]判別自己是否中毒1、點開始一運行，輸入msconfig，回車，打開實用配置程序，選擇啟動"，感染以后會在啟動項里面發(fā)現運行Spoolsv.exe的啟動項，每次進入windows會有NTservice的對話框。2、打開系統(tǒng)盤，假設C盤，看是否存在C:\WINDOWS\system32\spoolsv文件夾，里面有個spoolsv.exe文件，有"傲訊瀏覽器輔助工具”的字樣說明，正常的spoolsv.exe打印機緩沖池文件應該在C:\WINDOWS\system32目錄下。3,打開任務管理器，會發(fā)現spoolsv.exe進程，而且CPU占用率很高。清除方法1、重新啟動，開機按F8進入安全模式。2、點開始一運行，輸入cmd，進入dos。利用rd命令刪除以下目錄（如果存在）（在dos窗口下輸入：rd（空格）C:\WINDOWS\system32\spoolsv/s,回車，出現提示，輸入y回車，即可刪除整個目錄。）：C:\WINDOWS\system32\msibmC:\WINDOWS\system32\spoolsvC:\WINDOWS\system32\bakcfsC:\WINDOWS\system32\msicn利用del命令刪除下面的文件（如果存在）（比如在dos窗口下輸入：del（空格）C:\windows\system32\spoolsv.exe，回車，即可刪除被感染的spoolsv.exe，這個文件可以在殺毒結束后在別的正常的機器上復制正常的spoolsv.exe粘貼到C:\windows\system32文件夾。）： C:\windows\system32\spoolsv.exeC:\WINDOWS\system32\wmpdrm.dll 3、重啟按F8再次進入安全模式。（1）桌面右鍵點擊我的電腦，選擇“管理”，點擊“服務和應用程序”-“服務”，右鍵點擊NTservice，選擇“屬性”，修改啟動類型為“禁用”。 、 （2）點開始，運行，輸入regedit，回車打開注冊表，點菜單上的編輯，選擇查找，查找含有spoolsv.exe的注冊表項目，刪除?？梢岳肍3繼續(xù)查找，將含有spoolsv.exe的注冊表項目全部刪除。4、若以上操作完成后,仍然有該進程。請桌面右鍵點擊我的電腦，選擇“管理”，點擊“服務和應用程序”-“服務”，右鍵點擊printspooler，選擇屬性”，先點停止”然后修改啟動類型為手動或“禁用”。隨后重復以上步驟。另外解決方案直接刪除C:\WINDOWS\system32\spool\PRINTERS下的文件即可我還遇到一種情況：經檢查，不是以上所描述的病毒，但經常占CPU100%，但是連續(xù)關進程幾次，便不再出現，奇怪。 如上所述，在system32里有spool文件夾。直接把\PRINTERS下的文件刪除，便解決了這個問題。 這可能不是“病毒”問題，而是系統(tǒng)的故障，但出現了還是很麻煩的。殺毒后處理病毒清了后你的SPOOLSV.EXE文件就沒有了，且在服務里你的后臺打印printspooler也不能啟動了，當然打印機也不能運行了，在運行里輸入“services.msc”后，在“printspooler”服務中的“常規(guī)”項里的“可執(zhí)行文件路徑”也變得不可用，如啟動會顯示“錯誤3:找不到系統(tǒng)路徑”的錯誤，這是因為你的注冊表的相關項也刪了，（在上面清病毒的時候） 解決方法： 1：在安裝光盤里1386目錄下把SP00LSV.EX_文件復制到SYSTEM32目錄下改名為spoolsv.exe,當然也可以在別人的系統(tǒng)時把這個文件拷過來，還可以用NT/XP的文件保護功能，即在CMD里鍵入SFC/SCANNOW全面修復,反正你把這個文件恢復就可以了。2：修改注冊表即可： 進入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler”目錄下，新建一個可擴充字符串值，取名：“ImagePath”，其值為：“C:\WINDOWS\system32\spoolsv.exe”（不要引號）再進入控制面板中啟動打印服務即可。[1]3、 csrss.execsrss.exe是微軟客戶端/服務端運行時子系統(tǒng)。該進程管理Windows圖形相關任務。這個程序對你系統(tǒng)的正常運行是非常重要的4、 iexplore.exeiexplore.exe是MicrosoftInternetExplorer的主程序。這個微軟Windows應用程序讓你在網上沖浪，和訪問本地Interanet網絡。這不是純粹的系統(tǒng)程序，但是如果終止它，可能會導致不可知的問題。iexplore.exe同時也是Avant網絡瀏覽器的一部分，這是一個免費的基于InternetExplorer的瀏覽器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒，該病毒會終止你的反病毒軟件，和一些Windows系統(tǒng)工具，該進程出品者：MicrosoftCorp.屬于：MicrosoftInternetExplorer系統(tǒng)進程：Yes后臺程序：No網絡相關：Yes常見錯誤：N/A內存使用：N/A安全等級（0-5）:0間諜軟件：No廣告軟件：No病毒：No木馬：No5、 lsass.exe進程文件:lsassorlsass.exe進程名稱：本地安全權限服務描述：這個本地安全權限服務控制Windows安全機制。常見錯誤：N/A是否為系統(tǒng)進程：是6、 services.exeservices.exe是微軟Windows操作系統(tǒng)的一部分。用于管理啟動和停止服務。該進程也會處理在計算機啟動和關機時運行的服務。這個程序對你系統(tǒng)的正常運行是非常重要的。正常的services.exe應位于％System%文件夾中，也就是在進程里用戶名顯示為“system'不過services也可能是W32.Randex.R（儲存在％systemroot%\system32\目錄）和Sober.P（儲存在％systemroot%\ConnectionWizard\Status\目錄）木馬。該木馬允許攻擊者訪問你的計算機，竊取密碼和個人數據。該進程的安全等級是建議立即刪除。7、SMSS.EXESMSS.EXE:SessionManagerSubsystem,該進程為會話管理子系統(tǒng)用以初始化系統(tǒng)變量，MS-DOS驅動名稱類似LPT1以及COM,調用Win32殼子系統(tǒng)和運行在Windows登陸過程。它是一個會話管理子系統(tǒng)，負責啟動用戶會話。這個進程是通過系統(tǒng)進程初始化的并且對許多活動的，包括已經正在運行的Winlogon,Win32（Csrss.exe）線程和設定的系統(tǒng)變量作出反映。在它啟動這些進程后，它等待Winlogon或者Csrss結束。如果這些過程時正常的，系統(tǒng)就關掉了。如果發(fā)生了什么不可預料的事情，smss.exe就會讓系統(tǒng)停止響應（掛起）。要注意：如果系統(tǒng)中出現了不只一個smss.exe進程，而且有的smss.exe路徑是"%WINDIR%\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒，這是一種Windows下的PE病毒，它采用VB6編寫，是一個自動訪問某站點的木馬病毒。該病毒會在注冊表中多處添加自己的啟動項，還會修改系統(tǒng)文件WIN.INI，并在［WINDOWS］項中加入"RUN"="%WINDIR%\SMSS.EXE"。手工清除時請先結束病毒進程smss.exe，再刪除％WINDIR%下的smss.exe文件，然后清除它在注冊表和WIN.INI文件中的相關項即可。[smss.exe]進程文件:smssorsmss.exe進程名稱:SessionManagerSubsystem描述：該進程為會話管理子系統(tǒng)用以初始化系