描述:
Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开。
进程名称: explorer.exe
所在路径: C:\windows(系统安装目录盘)\explorer.exe
进程全称: Microsoft Windows Explorer
中文名称: 微软windows资源管理器
描述:
Windows 资源管理器,可以说是 Windows 图形界面外壳程序,它是一个有用的系统进程。 注意它的正常路径是 C:\Windows 目录,否则可能是 W32.Codered 或 W32.mydoom.b@mm 病毒。explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许***者访问你的计算机、窃取密码和个人数据。
进程文件: dfssvc.exe
进程名称: Distributed File System (DFS)
描述:
dfssvc.exe是分布式文件系统服务。只在微软服务器版Windows上出现,该进程是重要的DFS分布式文件系统服务。微软Windows服务器版基础服务。
进程文件: ctfmon.exe
进程名称: Alternative User Input Services
描述:
ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
程序ctfmon.exe是有关输入法的一个可执行程序,系统默认情况下是随电脑开机而自动启动的。如果你设置了ctfmon.exe不随机自动启动,进入系统后你的电脑任务栏中的输入法图标(即语言栏)就不见了。
要设置ctfmon.exe随机自动启动,可以单击“开始”——>“运行”——>输入“msconfig”(引号不要输入),回车——>打开“系统配置使用程序”窗口——>选择“启动”页,找到ctfmon项并在其前面打上钩,按“应用”、“确定”,重启机器即可生效。
如果在“启动”页,找不到ctfmon项,说明注册表中已将该项删除,可以单击“开始”——>“运行”——>输入“regedit”(引号不要输入),回车——>打开“注册表编辑器”,定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,在窗口
的右侧新建名字为ctfmon.exe的字符串值(REG_SZ),并将其值设置为“C:\WINDOWS\system32\ctfmon.exe”,然后关闭注册表编辑器,再执行前一步的操作即可
进程文件: svchost or svchost.exe
进程名称: Microsoft Service Host Process
中文参考:
svchost.exe是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。这个程序对你系统的正常运行是非常重要的。
注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSA漏洞,制造缓冲区溢出,导致你计算机关机。
进程文件: msdtc.exe
进程名称: Distributed Transaction Coordinator
描述:
msdtc.exe是微软分布式传输协调程序。该进程调用系统Microsoft Personal Web Server和Microsoft SQL Server。该服务用于管理多个服务器。
进程文件: spoolsv or spoolsv.exe
进程名称: Microsoft Printer Spooler Service
描述:
spoolsv.exe 是Print Spooler的进程,管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。该进程属 Windows 系统服务。
用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B***。该***允许***者访问你的计算机,窃取密码和个人数据。该进程的安全级别是建议立即删除。
进程文件: lsass.exe
进程名称: Local Security Authority Service
进程名称: lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
如果你的启动菜单(开始-运行-输入“msconfig”)里有个lsass.exe启动项,那就证明你的lsass.exe是***病毒,中毒后,在进程里可以见到有两个相同的进程,分别是lsass.exe和LSASS.EXE,同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行,LSASS.EXE管理exe类执行文件,exert.exe管理程序退出,还会在D盘根目录下产生command.com和 autorun.inf两个文件,同时侵入注册表破坏系统文件关联。以下说一下本人对该病毒的杀法,以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程,然后到windows目录下删除这两个文件,这两个文件是隐藏的,再到 D:删除command.com和autorun.inf两个文件,最后重启电脑到DOS 运行,用scanreg/restore 命令来恢复注册表,(如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表),重启后进到WINDOWS桌面用杀毒软件,全面杀毒,清除余下的病毒!
进程文件: services.exe
进程名称: Windows Service Controller
描述:
services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。
正常的services.exe应位于%System%文件夹中,也就是在进程里用户名显示为“system”,不过services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)***。该***允许***者访问你的
计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描述: 客户端服务子系统,用以控制Windows图形相关子系统。
介 绍:Client/Server Runtime Server Subsystem,客户端服务子系统,用以控制 Windows 图形相关子系统。正常情况下在 Windows NT/2000/XP/2003 系统中只有一个 csrss.exe 进程,正常位于 System32 文件夹中,若以上系统中出现两个 csrss.exe 进程(其中一个位于 Windows 文件夹中),或在 Windows 9X/Me 系统中出现该进程,则是感染了病毒。
进程文件: wmiprvse or wmiprvse.exe
进程名称: Microsoft Windows Management Instrumentation
描述:
wmiprvse.exe是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。这个程序对你系统的正常运行是非常重要的。
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
描述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
简介:这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后,它等待Winlogon或者Csrss结束。如果这些过程是正常的,系统就关掉了。如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂机)。
进程:System
描述:
系统里确实有system这个进程,但注意,它并不是system.exe,否则可能是***伪装而成的
进程: system idle process
进程名称: Windows内存处理系统进程
描 述: Windows页面内存管理进程,拥有0级优先;该程序使用Ctrl+Alt+Del打开,该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。该进程是系统必须的,不能禁止。
修改本地2003的telnet端口方法:
c:\>tlntadmn config port=23(可以把23改为其它未使用的端口)