XP系统几个重要进程总结.doc

smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) svchost.exe 包含很多系统服务 SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务) explorer.exe 资源管理器 internat.exe 托盘区的拼音图标1、alg.exealg.exe进程文件是微软Windows操作系统自带的程序，用于处理微软Windows网络连接共享和网络连接防火墙。应用程序网关服务，为Internet连接共享和Windows防火墙提供第三方协议插件的支持。alg.exe进程文件是微软Windows操作系统自带的程序，用于处理微软Windows网络连接共享和网络连接防火墙，应用程序网关服务，为Internet连接共享和Windows防火墙提供第三方协议插件的支持。alg.exe进程文件内存使用约4000KB左右。在Windows XP中，该进程文件位于C:Windowssystem32系统目录之下，这个程序对你系统的正常运行非常重要的，最好不要结束此进程。如果此文件出现在C:windowsalg.exe系统目录下，则可能是病毒。另外，当alg.exe(或alg)为大写ALG.exe(或ALG)时，将无法上网(多为无线上网)。只需将用户注销后重新登录即可。2、spoolsv.exespoolsv.exe 是Print Spooler的进程，管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。该进程属 Windows 系统服务。木马spoolsv进程信息: 描述: 这个垃圾软件利用将msicnmsibm.dll插入多个进程的方法对系统进行监控，在system32下创建如下的东西： wmpdrm.dll 1116 msicnmsibm.dll msicnube.exe msicnplugins spoolsvspoolsv.exe(这个还长得像微软打印服务，shit！） 注册表加入如下垃圾： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun spoolsv=%System%spoolsvspoolsv.exe -printer HKEY_CLASSES_ROOTCLSIDInprocServer32 =%System%wmpdrm.dll HKEY_CLASSES_ROOTwmpdrm.cfsbho HKEY_CLASSES_ROOTwmpdrm.cfsbho.1 HKEY_CLASSES_ROOTTypeLib HKEY_CLASSES_ROOTInterface 然后每隔4秒左右对以上东西进行监控，前后互相照应，让你无从下手 启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer cfs2 相关文件、目录： %System%wmpdrm.dll %System%1116 %System%msicnmsibm.dll %System%msicnube.exe %System%msicnplugins %System%spoolsvspoolsv.exe %System%spoolsvspoolsv.exe，有一个启动项： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun spoolsv=%System%spoolsvspoolsv.exe -printer 运行后会调用%System%msicnmsibm.dll，创建%System%1116目录，备份用。 %System%1116目录是备份目录，里面是%System%wmpdrm.dll、%System%msicn和%System%spoolsvspoolsv.exe的备份。 %System%msicnmsibm.dll，会插入多个指定进程，大约每4秒钟监视恢复文件（从%System%1116目录）和注册表信息（启动项、BHO）： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun spoolsv HKEY_CLASSES_ROOTCLSIDInprocServer32 =%System%wmpdrm.dll 注：spoolsv的数据不会被监视，所以修改它的数据也不会被恢复，只有删除spoolsv才会被恢复。 还可能会从远程服务器下载文件： /secp.exe secp.exe是个安装程序，安装以下文件： %System%wmpdrm.dll %System%msicnube.exe %System%msicnplugins（目录里4个dll文件） %System%wmpdrm.dll是一个BHO，%System%msicnube.exe像是卸载程序。 另外，在%System%和%System%msicn目录里还有有一些从远程下载来的cpz、vxd文件，比如： ava.vxd guid.vxd plgset.vxd safep.vxd %System%wmpdrm.dll作为BHO被调用后，会尝试调用%System%spoolsvspoolsv.exe和%System%msicnmsibm.dll。 注：如果%System%spoolsvspoolsv.exe没有被运行或被调用，也就不会备份还原，好像它就是用来备份的。 另外 在“开始菜单”“程序”里 可能 会有一项“NavAngel”，里面有个快捷方式NavAngel.lnk，指向：%System%spoolsvspoolsv.exe -ctrlfun:4,3 “添加/删除程序”里有一项“NavAngel”，对应命令是：%System%spoolsvspoolsv.exe -ctrlfun:4,2 还有一项“WinDirected 2.0”，对应命令是：%System%spoolsvspoolsv.exe -uninst 还可能会有mscache目录，从名字看像是存放临时缓存文件的。 BHO相关注册表信息： HKEY_CLASSES_ROOTCLSID HKEY_CLASSES_ROOTwmpdrm.cfsbho HKEY_CLASSES_ROOTwmpdrm.cfsbho.1 HKEY_CLASSES_ROOTTypeLib HKEY_CLASSES_ROOTInterface判别自己是否中毒 1、点开始运行，输入msconfig，回车，打开实用配置程序，选择“启动”， 感染以后会在启动项里面发现运行Spoolsv.exe的启动项， 每次进入windows会有NTservice的对话框。 2、打开系统盘，假设C盘，看是否存在C:WINDOWSsystem32spoolsv文件夹，里面有个spoolsv.exe文件，有“傲讯浏览器辅助工具”的字样说明，正常的spoolsv.exe打印机缓冲池文件应该在C:WINDOWSsystem32目录下。 3，打开任务管理器，会发现spoolsv.exe进程，而且CPU占用率很高。清除方法 1、重新启动，开机按F8进入安全模式。 2、点开始运行，输入cmd，进入dos。 利用rd命令删除以下目录（如果存在）（ 在dos窗口下输入：rd(空格）C:WINDOWSsystem32spoolsv/s，回车，出现提示，输入y回车，即可删除整个目录。）： C:WINDOWSsystem32msibm C:WINDOWSsystem32spoolsv C:WINDOWSsystem32bakcfs C:WINDOWSsystem32msicn 利用del命令删除下面的文件（如果存在）（比如在dos窗口下输入：del(空格）C:windowssystem32spoolsv.exe，回车，即可删除被感染的spoolsv.exe，这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到 C:windowssystem32文件夹。）： C:windowssystem32spoolsv.exe C:WINDOWSsystem32wmpdrm.dll 3、重启按F8再次进入安全模式。 （1）桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击 NTservice，选择“属性”，修改启动类型为“禁用”。 、 （2）点开始，运行，输入regedit，回车打开注册表，点菜单上的编辑，选择查找，查找含有spoolsv.exe的注册表项目，删除。可以利用F3继续查找，将含有spoolsv.exe的注册表项目全部删除。 4、若以上操作完成后,仍然有该进程。请桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击print spooler，选择“属性”，先点“停止”然后修改启动类型为手动或“禁用”。随后重复以上步骤。 另外解决方案 直接删除C:WINDOWSsystem32spoolPRINTERS 下的文件即可 我还遇到一种情况：经检查，不是以上所描述的病毒，但经常占CPU 100，但是连续关进程几次，便不再出现，奇怪。 如上所述，在system32里有 spool文件夹。直接把 PRINTERS 下的文件删除，便解决了这个问题。 这可能不是“病毒”问题，而是系统的故障，但出现了还是很麻烦的。杀毒后处理 病毒清了后你的SPOOLSV.EXE文件就没有了，且在服务里你的后台打印print spooler也不能启动了，当然打印机也不能运行了，在运行里输入“services.msc”后，在“print spooler”服务中的“常规”项里的“可执行文件路径”也变得不可用，如启动会显示“错误3:找不到系统路径”的错误，这是因为你的注册表的相关项也删了，（在上面清病毒的时候） 解决方法： 1:在安装光盘里I386目录下把SPOOLSV.EX_文件复制到SYSTEM32目录下改名为spoolsv.exe,当然也可以在别人的系统时把这个文件拷过来，还可以用NT/XP的文件保护功能，即在CMD里键入SFC/SCANNOW全面修复，反正你把这个文件恢复就可以了。 2:修改注册表即可：进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSpooler”目录下，新建一个可扩充字符串值，取名：“ImagePath”，其值为：“C:WINDOWSsystem32spoolsv.exe”（不要引号）再进入控制面板中启动打印服务即可。13、csrss.execsrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的4、iexplore.exeiexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪，和访问本地Interanet网络。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分，这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒，该病毒会终止你的反病毒软件，和一些Windows系统工具，该进程 出品者：Microsoft Corp. 属于：Microsoft Internet Explorer 系统进程：Yes 后台程序：No 网络相关：Yes 常见错误：N/A 内存使用：N/A 安全等级 (0-5): 0 间谍软件：No 广告软件：No 病毒：No 木马：No 5、lsass.exe 进程文件: lsass or lsass.exe 进程名称: 本地安全权限服务 描述: 这个本地安全权限服务控制Windows安全机制。 常见错误: N/A 是否为系统进程: 是6、services.exeservices.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。 正常的services.exe应位于%System%文件夹中,也就是在进程里用户名显示为“system”，不过services也可能是W32.Randex.R(储存在%systemroot%system32目录)和Sober.P(储存在%systemroot%ConnectionWizardStatus目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。7、SMSS.EXESMSS.EXE:Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是%WINDIR%SMSS.EXE，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在WINDOWS项中加入RUN = %WINDIR%SMSS.EXE。手工清除时请先结束病毒进程smss.exe，再删除%WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。 smss.exe 进程文件: smss or smss.exe 进程名称: Session Manager Subsystem 描 述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称