3、regsvc.exe系统进程介绍
　　[regsvc.exe]
　　
　　进程文件: regsvc or regsvc.exe
　　
　　进程名称: 远程注册表服务
　　
　　描　　述: 远程注册表服务用于访问在远程计算机的注册表。可在控制面板，管理工具，服务中禁止相关的服务。



14、rpcss.exe系统进程介绍
　　[rpcss.exe]
　　
　　进程文件: rpcss or rpcss.exe
　　
　　进程名称: RPC Portmapper
　　
　　描　　述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
　　
　　介　　绍：98它不是在装载解释器时或引导时启动，如果使用中有问题，可以直接在在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices添加"字符串值"，定向到"C:\WINDOWS\SYSTEM\RPCSS"即可。
　　
　　Rpcss.exe是做什么用的？
　　
　　RPC是远程进程调用(Remote Procedure Call)的简称；它可以使两个程序的进程在网络上进行通讯。实际上，在UNIX系统中也有类似的技术。不象UNIX的SUNRPC/PORTMAP，RPC不依附于任何特殊的服务上，应用程序可以单独调用RPC。Windows NT/9x的Win32 API中提供了一系列的RPC程序调用接口，这些接口就是由rpcss.exe来控制的。
　　
　　那么，我们能不能删除rpcss.exe呢？
　　
　　不行。在Windows 9x下，应用程序可能需要它来向其它的应用程序或者它本身通讯。当然，如果我们强行删除这个程序，有可能会发生许多未知错误。在Windows NT/2000系统下，删除了这个重要的系统文件会导致系统启动失败（Windows 2000的系统保护功能会自动恢复被删除的文件）

15、services.exe系统进程介绍
　　[services.exe]
　　
　　进程文件: services or services.exe
　　
　　进程名称: Windows Service Controller
　　
　　描　　述: 管理Windows服务。
　　
　　介　　绍：大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务，可以看到有很多服务都是在调用%systemroot%\system32\service.exe
　　
　　“Worm.NetSky”病毒解决方案
　　1、使用安全工具软件杀掉病毒；
　　
　　2、不要轻易点击陌生人的邮件以及下载和运行其所带附件，在运行可疑附件前最好先用毒霸扫描；
　　
　　3、手工解决方案：
　　
　　对于系统是Windows9x,WindowsMe：
　　
　　步骤一，删除病毒主程序
　　
　　请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为C:\windows），分别输入以下命令，以便删除病毒程序：
　　C:\windows\>del services.exe
　　完毕后，取出系统软盘，重新引导到Windows系统。
　　如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。
　　
　　步骤二，清除病毒在注册表里添加的项
　　
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　
　　HKEY_LOCAL_MACHINE > Software > Microsoft > Windows >CurrentVersion>Run在右边的面板中, 找到并删除如下项目：
　　
　　"service" = "%Windir%\services.exe -serv"
　　
　　关闭注册表编辑器。
　　
　　对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever：
　　
　　步骤一，使用进程序管里器结束病毒进程
　　
　　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“services.exe”，单击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；
　　
　　步骤二，查找并删除病毒程序
　　
　　通过“我的电脑”或“资源管理器”进入系统目录（Winnt或windows)，找到文件services.exe”，将它们删除；
　　
　　步骤三，清除病毒在注册表里添加的项
　　
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　
　　HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run在右边的面板中, 找到并删除如下项目：
　　
　　"service" = "%Windir%\services.exe -serv"
　　
　　关闭注册表编辑器。
　　
　　Services.exe 中的 CPU 使用率增至 100%
　　症状
　　
　　在基于 Windows 2000 的计算机上，Services.exe 中的 CPU 使用率可能间歇性地达到 100 %，并且计算机可能停止响应（挂起）。出现此问题时，连接到该计算机（如果它是文件服务器或域控制器）的用户会被断开连接。您可能还需要重新启动计算机。如果 Esent.dll 错误地处理将文件刷新到磁盘的方式，则会出现此症状。
　　解决方案
　　Service Pack 信息
　　
　　要解决此问题，请获取最新的 Microsoft Windows 2000 Service Pack。有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：
　　
　　修复程序信息
　　Microsoft 提供了受支持的修补程序，但该程序只是为了解决本文所介绍的问题。只有计算机遇到本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其他一些测试。因此，如果这个问题没有对您造成严重的影响，Microsoft 建议您等待包含此修补程序的下一个 Windows 2000 Service Pack。
　　
　　要立即解决此问题，请与“Microsoft 产品支持服务”联系，以获取此修补程序。有关“Microsoft 产品支持服务”电话号码和支持费用信息的完整列表，请访问下面的 Microsoft Web 站点：
　　http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
　　
　　注意 ：特殊情况下，如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题，可免收通常情况下收取的电话支持服务费用。对于特定更新程序无法解决的其他支持问题和事项，将正常收取支持费用。
　　
　　下表列出了此修补程序的全球版本的文件属性（或更新的属性）。这些文件的日期和时间按协调通用时间 (UTC) 列出。查看文件信息时，它将转换为本地时间。要了解 UTC 与本地时间之间的时差，请使用“控制面板”中的“日期和时间”工具中的 时区 选项卡。
　　
　　状态
　　Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。 此问题最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。

16、smss.exe系统进程介绍
　　[smss.exe]
　　
　　进程文件: smss or smss.exe
　　
　　进程名称: Session Manager Subsystem
　　
　　描　　述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。
　　
　　简　　介：这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。



17、snmp.exe系统进程介绍
　　[snmp.exe]
　　
　　进程文件: snmp or snmp.exe
　　
　　进程名称: Microsoft SNMP Agent
　　
　　描　　述: Windows简单的网络协议代理（SNMP）用于监听和发送请求到适当的网络部分。
　　
　　简　　介：负责接收SNMP请求报文，根据要求发送响应报文并处理与WinsockAPI的接口。包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。



18、spool32.exe系统进程介绍
　　[spool32.exe]
　　
　　进程文件: spool32 or spool32.exe
　　
　　进程名称: Printer Spooler
　　
　　描　　述: Windows打印任务控制程序，用以打印机就绪。



19、spoolsv.exe系统进程介绍
　　[spoolsv.exe]
　　
　　进程文件: spoolsv or spoolsv.exe
　　
　　进程名称: Printer Spooler Service
　　
　　描　　述: Windows打印任务控制程序，用以打印机就绪。
　　
　　介　　绍：缓冲（spooler）服务是管理缓冲池中的打印和传真作业。
　　
　　Spoolsv.exe→打印任务控制程序，一般会先加载以供列表机打印前的准备工作
　　
　　Spoolsv.exe，如果常增高，有可能是病毒感染所致
　　
　　目前常见的是:
　　
　　Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)
　　
　　危害程度:中
　　
　　受影响的系统: Windows 2000， Windows XP， Windows Server 2003
　　
　　未受影响的系统: Windows 95， Windows 98， Windows Me， Windows NT， Windows 3.x， Macintosh， Unix， Linux
　　
　　病毒危害:
　　
　　1. 生成病毒文件
　　
　　2. 插入正常系统文件中
　　
　　3. 修改系统注册表
　　
　　4. 可被黑客远程控制
　　
　　5. 躲避反病毒软件的查杀
　　
　　简单的后门木马，发作会删除自身程序，但将自身程序套入可执行程序内(如:exe)，并与计算机的通口(TCP端口138)挂钩，监控计算机的信息、密码，甚至是键盘操作，作为回传的信息，并不时驱动端口，以等候传进的命令，由于该木马不能判别何者是正确的端口，所以负责输出的列表机也是其驱动对象，以致Spoolsv.exe的使用异常频繁......
　　
　　Backdoor.Win32.Plutor
　　
　　破坏方法:感染PE文件的后门程序
　　
　　病毒采用VC编写。
　　
　　病毒运行后有以下行为:
　　
　　1、将病毒文件复制到%WINDIR%目录下，文件名为"；Spoolsv.exe"；，并该病毒文件运行。"；Spoolsv.exe"；文件运行后释放文件名为"；mscheck.exe"；的文件到%SYSDIR%目录下，该文件的主要功能是每次激活时运行"；Spoolsv.exe"；文件。如果所运行的文件是感染了正常文件的病毒文件，病毒将会把该文件恢复并将其运行。
　　
　　2、修改注册表以下键值:
　　
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
　　
　　增加数据项:"；Microsoft Script Checker"； 数据为:"；MSCHECK.EXE /START"；
　　
　　修改该项注册表使"；MSCHECK.EXE"；文件每次系统激活时都将被运行，而"；MSCHECK.EXE"；用于运行"；Spoolsv.exe"；文件，从而达到病毒自激活的目的。
　　
　　3、创建一个线程用于感染C盘下的PE文件，但是文件路径中包含"；winnt"；、"；Windows"；字符串的文件不感染。另外，该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单，将正常文件的前0x16000个字节替换为病毒文件中的数据，并将原来0x16000个字节的数据插入所感染的文件尾部。
　　
　　4、试图与局域网内名为"；admin"；的邮槽联系，创建名为"；client"；的邮槽用于接收其控制端所发送的命令，为其控制端提供以下远程控制服务:
　　
　　显示或隐藏指定窗口、屏幕截取、控制CDROM、关闭计算器、注销、破坏硬盘数据。

20、stisvc.exe系统进程介绍
　　[stisvc.exe]
　　
　　进程文件: stisvc or stisvc.exe
　　
　　进程名称: Still Image Service
　　
　　描　　述: Still Image Service用于控制扫描仪和数码相机连接在Windows。主要用于控制连接到你电脑上的扫描仪和数码相机。如果停用这个服务，那么大部分扫描仪和数码相机可能无法工作。因为它们的驱动程序往往和这个服务紧密结合。有网友报告HP的扫描仪驱动程序会导致StiSvc进程占用99％的CPU资源，因此，如果你在使用HP扫描仪进行扫描时，系统突然变得非常慢，最好下载、安装其最新的驱动程序。 如果这样还不能解决问题，就得先卸载驱动程序，然后停用这个服务，接着重启电脑，重装驱动程序即可。当然，如果不经常使用扫描仪或数码相机，也可以将其设置为“手动”或“已禁用”。



21、svchost.exe系统进程介绍
　　[svchost.exe]
　　
　　进程文件: svchost or svchost.exe
　　
　　进程名称: Service Host Process
　　
　　描　　述: Service Host Process是一个标准的动态连接库主机处理服务.
　　
　　介　　绍：Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。windows 2k一般有2个svchost进程，一个是RPCSS（Remote Procedure Call）服务进程，另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中，则一般有4个以上的svchost.exe服务进程，windows 2003 server中则更多。
　　
　　剖析进程中SVCHOST的作用和原理
　　
　　全面了解系统中 svchost.exe 文件
　　
　　Windows系统安全 Svchost进程揭秘
　　
　　深入揭开Svchost.exe进程之谜
　　
　　创建SvcHost.exe调用的服务原理与实践
　　
　　系统进程中Svchost.exe的作用

22、taskmon.exe系统进程介绍
　　[taskmon.exe]
　　
　　进程文件: taskmon or taskmon.exe
　　
　　进程名称: Windows Task Optimizer
　　
　　描　　述: windows任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘。
　　
　　介　　绍：任务管理器，它的功能是监视程序的执行情况并随时报告。能够监测所有在任务栏中以窗口方式运行的程序，可打开和结束程序，还可直接调出关闭系统对话框。
　　
　　伪装成taskmon.exe进程的诺维格（Worm.Novarg）病毒手工清除方法
　　
　　1、终止恶意程序:
　　
　　打开Windows任务管理器.
　　
　　在Windows95/98/ME系统中， 按CTRL+ALT+DELETE
　　
　　在Windows NT/2000/XP 系统中，按CTRL+SHIFT+ESC，然后点击进程选项卡。
　　
　　在运行程序列表中，找到进程: taskmon.exe
　　
　　选择恶意程序进程，然后点击结束任务或结束进程按钮（取决于Windows的版本)。
　　
　　为了检查恶意程序是否被终止，关掉任务管理器，然后再打开。
　　
　　关掉任务管理器。
　　
　　*注意: 在运行Windows95/98/ME的系统中，任务管理器可能不会显示某一进程。可以使用其他进程查看器来终止恶意程序进程。否则，继续处理下面的步骤，注意附加说明。
　　
　　2、删除注册表中的自启动项目:
　　
　　从注册表中删除自动运行项目来阻止恶意程序在启动时执行。
　　
　　打开注册表编辑器: 点击开始>运行，输入REGEDIT，按Enter
　　
　　在左边的面板中，双击:
　　
　　HKEY_CURRENT_USER>Software>Microsft>Windows>CurrentVersion>Run
　　HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
　　
　　在右边的面板中，找到并删除如下项目:
　　
　　TaskMon = %System%\taskmon.exe
　　
　　*注意: %System%是Windows的系统文件夹，在Windows 95，98，和ME系统中通常是 C:\Windows\System，在WindowsNT和2000系统中是:WINNT\System32，在Windows XP系统中是C:\Windows\System32。
　　
　　*注意: 如果不能按照上述步骤终止在内存中运行的恶意进程，请重启系统。
　　
　　3、删除注册表中的其他恶意项目
　　
　　如下是删除注册表中其他恶意项目的说明。
　　
　　仍旧在注册表编辑器中，在菜单条中点击编辑>查找，在文本领域中输入"ComDlg32"，点击查找下一个。
　　
　　当像如下键值出现时，删除键值和数据:
　　
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer
　　\ComDlg32\Version
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
　　\ComDlg32\Version
　　
　　关闭注册表编辑器。

23、tcpsvcs.exe系统进程介绍
　　[tcpsvcs.exe]
　　
　　进程文件: tcpsvcs or tcpsvcs.exe
　　
　　进程名称: TCP/IP Services
　　
　　描　　述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional的能力。



24、winlogon.exe系统进程介绍
　　[winlogon.exe]
　　
　　进程文件: winlogon or winlogon.exe
　　
　　进程名称: Windows Logon Process
　　
　　描　　述: Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。这个进程处理登录和注销任务，事实上，这个进程是必需的，它的大小和你登录的时间有关系，我曾亲眼看见这个进程占用空间的波动情况，一个是登录一个小时左右，内存在1.2MB到8.5MB之间波动；另一个是登录了40多天，内存在1.7MB到17MB之间波动。wowexec.exe当你运行一些老的应用程序（比如一些16位的程序）或者DOS控制台下运行DOS命令行程序，你就会在进程里面发现它。



25、winmgmt.exe系统进程介绍
　　[winmgmt.exe]
　　
　　进程文件: winmgmt or winmgmt.exe
　　
　　进程名称: Windows Management Service
　　
　　描　　述: Windows Management Service透过Windows Management Instrumentation data WMI)技术处理来自应用客户端的请求。
　　
　　简　　介：winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化。WinMgmt.exe（CIM对象管理器）和知识库（Repository）是WMI两个主要构成部分，其中知识库是对象定义的数据库，它是存儲所有可管理静态数据的中心数据库，对象管理器负责处理知识库中对象的收集和操作并从WMI提供程序收集信息。WinMgmt.exe在Windows 2k/NT上作为一个服务运行，而在Windows 95/98上作为一个独立的exe程序运行。Windows 2k系统在某些计算机上出现的WMI错误可以通过安装Windows 2k SP2來修正。



26、system系统进程介绍
　　[system]
　　
　　进程文件: system or system
　　
　　进程名称: Windows System Process
　　
　　描　　述: Microsoft Windows系统进程。
　　
　　介　　绍：在任务管理器中会看到这项进程，属于正常系统进程。

没人看完？？

附件: 系统各进程详解1.rar (2008-8-11 16:01:59, 24.25 K)
该附件被下载次数 162