系统各进程详解

  下面列出的都是操作系统的进程，而不是程序的进程，记住这些进程并了解他们的工作原理，用途，能让我们对系统进程的理解提升一个级别。
system Idle Process系统进程介绍
alg.exe系统进程介绍

csrss.exe系统进程介绍
ddhelp.exe系统进程介绍

dllhost.exe系统进程介绍
Explorer.exe系统进程介绍

inetinfo.exe系统进程介绍
internat.exe系统进程介绍

kernel32.dll系统进程介绍
lsass.exe系统进程介绍

mdm.exe系统进程介绍
mmtask.tsk系统进程介绍

regsvc.exe系统进程介绍
rpcss.exe系统进程介绍

services.exe系统进程介绍
smss.exe系统进程介绍

snmp.exe系统进程介绍
spool32.exe系统进程介绍

spoolsv.exe系统进程介绍
stisvc.exe系统进程介绍

svchost.exe系统进程介绍
taskmon.exe系统进程介绍

tcpsvcs.exe系统进程介绍
winlogon.exe系统进程介绍

winmgmt.exe系统进程介绍
system系统进程介绍




1、System Idle Process系统进程介绍
　　[system Idle Process]
　　
　　进程文件: [system process] or [system process]
　　
　　进程名称: Windows内存处理系统进程
　　
　　描　　述: Windows页面内存管理进程，拥有0级优先。
　　
　　介　　绍：该进程作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU资源紧张。
　　
　　System Idle Process为何物
　　
　　问：在使用Windows XP的过程中，按“Ctrl+Alt+Del”键调出任务管理器，在进程中我发现一个名为“System Idle Process”的进程，它往往占用了大部分CPU资源，经常是80%以上，请问为什么它占用了那么多资源？
　　
　　答：你误解了“System Idle Process”进程的意思了，这里的80%并不是你所想的占用CPU的资源，恰恰相反的是这里的80%以上是CPU资源空闲了出来的。这里的数字越大表示CPU可用资源越多，数字越小则表示CPU资源越紧张。该进程是系统必须的，不能禁止哦。



2、alg.exe系统进程介绍
　　[alg.exe]
　　
　　进程文件: alg or alg.exe
　　
　　进程名称: 应用层网关服务
　　
　　描　　述: 这是一个应用层网关服务用于网络共享。
　　
　　介　　绍：一个网关通信插件的管理器，为 “Internet连接共享服务”和 “Internet连接防火墙服务”提供第三方协议插件的支持。
　　
　　Internet 连接共享 (ICS)/Windows 防火墙服务（ICF）的这个子组件对允许网络协议通过防火墙并在 Internet 连接共享后面工作的插件提供支持。应用程序层网关 (ALG) 插件可以打开端口和更改嵌入在数据包内的数据（如端口和 IP 地址）。文件传输协议 (FTP) 是唯一具有 Windows Server 2003 标准版和 Windows Server 2003 企业版附带的一个插件的网络协议。ALG FTP 插件旨在通过这些组件使用的网络地址转换 (NAT) 引擎来支持活动的 FTP 会话。ALG FTP 插件通过重定向所有通过 NAT 的流量和发送到通向环回适配器上 3000 到 5000 范围内的专用侦听端口的端口 21 的流量来支持这些会话。ALG FTP 插件随后监视并更新 FTP 控制通道流量，以便 FTP 插件能够通过 FTP 数据通道的 NAT 转发端口映射。FTP 插件还更新 FTP 控制通道流中的端口。


[size=1][i][color=silver]用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)[/color][/i][/size]

问：
　　我是ADSL宽带用户，平时常常下载电影，这几星期里我用网际快车下载电影的时候（下载的中段时候），老是出错：“ALG.EXE文件挂起”。我用的是XP系统，具体询问的问题如下：1.ALG.EXE是什么文件？为什么老是会挂起？2.为什么挂起后就不可以下载了？反映连接不上，但是其它上网都很正常如QQ、MSN、看网站，是一点问题也没有（就是不可以下载了，连FTP也不可以下载）。3.重启以后就好了，但是不到五分钟又是ALG.EXE文件挂起，又不可以下载电影了。我等着，一笑哥给我想想办法吧。
　　答：
　　ALG嘛，Application Layer Gateway Service是也，是Windows XP的一个应用层网关服务，通过“控制面板|管理工具|服务”，你可以看到其具体解释是“为应用程序级协议插件提供支持并启用网络/协议连接”，在其上点击右键，选择“属性|依存关系”，还可以发现“Internet Connection Firewall(ICF)/Internet Connection Sharing(ICS)”需要依赖此服务，而ICF和ICS也就是我们平时所说的XP中自带的防火墙和Internet连接共享。由于ALG的特殊性，因此很多病毒都将自己伪装成ALG.EXE文件，以欺骗系统和使用电脑的朋友，因此经常挂起很可能与你中了病毒有关，建议你使用最新版的杀毒软件进行查杀，看系统是否有问题。而在ALG.EXE挂起时，忘记快车不能够下载，是由于你启用了系统Internet连接的连接共享或者防火墙功能，ALG.EXE挂起导致这些功能失效，因此出现不能下载的情况。你可以关闭Internet连接共享以及防火墙功能，看是否有类似问题再次出现。



3、csrss.exe系统进程介绍
[csrss.exe]

进程文件: csrss or csrss.exe
　　
　　进程名称: Client/Server Runtime Server Subsystem
　　
　　描　　述: 客户端服务子系统，用以控制Windows图形相关子系统。
　　
　　介　　绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制，创建或者删除线程和一些16位的虚拟MS-DOS环境。
　　
　　纯手工查杀木马csrss.exe
　　
　　注意：csrss.exe进程属于系统进程，这里提到的木马csrss.exe是木马伪装成系统进程
　　
　　前两天突然发现在C:\Program Files\下多了一个rundll32.exe文件。这个程序记得是关于登录和开关机的，不应该在这里，而且它的图标是98下notepad.exe的老记事本图标，在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定，也没有发现内存和CPU大量占用，网络流量也正常。
　　
　　这两天又发现任务管理器里多了这个rundll32.exe和一个csrss.exe的进程。它和系统进程不一样的地方是用户为Administrator，就是我登录的用户名，而非system，另外它们的名字是小写的，而由SYSTEM启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE，觉得不对劲。
　　
　　然后按F3用资源管理器的搜索功能找csrss.exe，果然在C:\Windows下，大小52736字节，生成时间为12月9日12:37。而真正的csrss.exe只有4k，生成时间是2003年3月27日12:00，位于C:\Windows\Syetem32下。
　　
　　于是用超级无敌的UltraEdit打开它，发现里面有kavscr.exe，mailmonitor一类的字符，这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序，不是病毒就是木马了。灭！
　　
　　试图用任务管理器结束csrss.exe进程失败，称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相应值，注销重登录，该进程消失，可见它没有象3721那样加载为驱动程序。
　　
　　然后要查找和它有关的文件。仍然用系统搜索功能，查找12月9日生成的所有文件，然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe，但kavsrc.exe的图标也是98下的记事本图标，它和rundll32.exe的大小都是33792字节。
　　
　　此后在12:38分生成了一个tmp.dat文件，内容是
　　
　　@echo off
　　debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
　　copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
　　del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
　　del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
　　C:\WINDOWS\system32\netstart.exe
　　
　　好像是用debug汇编了一段什么程序，这年头常用debug的少见，估计不是什么善茬，因为商业程序员都用Delphi、PB等大程序写软件。
　　
　　汇编大约进行了1分钟，在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。netstart.exe大小117786字节，另两个大小也是52736字节。前两个位于C:\Windows\System32下，后两个在当前用户的Temp文件夹里。
　　
　　这样我就知道为什么我的系统没有感染的表现了。netstart.exe并没有一直在运行，因为我在任务管理器中没有见过它。把这些文件都删除，我的办法是用winrar压缩并选中完成后删除源文件，然后在rar文件注释中做说明，放一个文件夹里，留待以后研究。这个监狱里都是我的战利品，不过还很少。
　　
　　现在木马已经清除了。使用搜索引擎查找关于csrss.exe的内容，发现结果不少，有QQ病毒，传奇盗号木马，新浪游戏病毒，但是文件大小和我中的这个都不一样。搜索netstart.exe只有一个日文网站结果，也是一个木马。
　　
　　这个病毒是怎么进入我的电脑的呢？搜索时发现在12月9日12:36分生成了一个快捷方式，名为dos71cd.zip，它是我那天从某网站下载的DOS7.11版启动光盘，但是当时下载失败了。现在看来根本就不是失败，是因为这个网站的链接本来就是一段网页注入程序，点击后直接把病毒下载来了。

4、ddhelp.exe系统进程介绍
　　[ddhelp.exe]
　　
　　进程文件: ddhelp or ddhelp.exe
　　
　　进程名称: DirectDraw Helper
　　
　　描　　述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
　　
　　简　　介：Directx 帮助程序
　　
　　错误信息：Ddhelp.exe 导致模块 Mgaxdd32.dll 中出现无效页错误
　　
　　症状
　　
　　当使用 Windows Media Player 播放文件或运行 DxDiag.exe 工具时，您可能会看到以下错误信息：
　　Ddhelp.exe caused an invalid page fault in module Mgaxdd32.dll at 015F:BAAL521F（Ddhelp.exe 在 015F:BAAL521F 处导致 Mgaxdd32.dll 模块中出现无效页错误）
　　
　　原因
　　
　　如果您的计算机中装有以下任何项目，就可能会出现此问题： ? Matrox Millennium II 视频适配器
　　
　　Microsoft DirectX 6.1
　　
　　不兼容的视频适配器
　　
　　解决方案
　　
　　要解决此问题，请与视频适配器的生产厂商联系，以获得更新的视频驱动程序。（重装新版的显卡驱动）

5、dllhost.exe系统进程介绍
　　[dllhost.exe]
　　
　　进程文件: dllhost or dllhost.exe
　　
　　进程名称: DCOM DLL Host进程
　　
　　描　　述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
　　
　　介　　绍：com代理，系统附加的dll组件越多，则dllhost占用的cpu资源和内存资源就越多，而8月的“冲击波杀手”大概让大家对它比较熟悉吧。
　　
　　解决Web服务器出现的dllhost.exe错误
　　
　　我的Web服务器出了问题。一个弹出话框显示“dllhost.exe出现错误”。当我查看应用事件日志时发现有很多Active Server Pages Event 5这样的错误。它们在错误信息中显示为“line 0内存溢出”。这种错误以前每隔几天就发生一次，但现在是每隔几小时就发生一次。重启后也只能维持一阵子。你对此有什么看法吗？
　　
　　我还没碰到过这种问题，但我在微软的参考信息中看到Exchange Outlook Web Access使用过程中描述过这样的错误。（http://support.microsoft.com/?kbid=224327）
　　
　　该链接建议你安装最新的Exchange升级版。如果你在使用Exchange，不妨尝试一下。如果没有，我就要给你一些建议，它们同那些存在ASP 3.0方面问题的人的建议一样：
　　
　　确保你有所有最新升级版和服务包。
　　
　　在每个Web应用中允许进程隔离。
　　
　　将应用程序升级到ASP.NET。
　　
　　将Web 服务器升级到Windows Server 2003。
　　
　　了解真相 dllhost.exe是病毒吗？
　　
　　dllhost.exe 解释
　　
　　dllhost.exe是什么？
　　
　　dllhost.exe是运行COM+的组件，即COM代理，运行Windows中的Web和FTP服务器必须有这个东西。
　　
　　什么时候会出现dllhost.exe？
　　
　　运行COM+组件程序的时候就会出现。例如江民KV2004
　　
　　冲击波杀手又是怎么一回事？
　　
　　冲击波杀手借用了dllhost.exe作为进程名，但是由于Windows不允许同一个目录下有同名文件的存在，因此，冲击波杀手把病毒体：dllhost.exe放到了C:\Windows\System32\Wins目录里面（Windows 2000是C:\WINNT\System32\Wins，全部假设系统安装在C盘），但是真正的dllhost.exe应该放 在C:\Windows\System32（Windows 2000是C:\WINNT\System32）
　　
　　换句话说就是：冲击波（Worm.WelChia）为了迷惑用户，避免病毒的执行体被进程管理器终止，采用了dllhost.e xe这个和Windows组件一样的名字，但是并不是说进程里面出现dllhost.exe就等于感染了worm.welchi a
　　
　　再看看这里的FAQ吧
　　
　　第一个误区————进程出现Dllhost.exe就等于中了病毒
　　Dllhost.exe是系统文件，但是进程里面出现Dllhost.exe进程不等于中了病毒
　　
　　第二个误区————一见Dllhost.exe进程就杀死
　　其实这样做是不好的。很多程序都需要Dllhost.exe，例如KV2004实时监控运行的时候或IIS在解析一些ASP文件 的时候，进程中都会出现Dllhost.exe
　　
　　之所以大家恐惧Dllhost.exe进程，恐怕是由于冲击波（杀手）的问题。
　　其实冲击波（杀手）只不过采取了一个偷梁换柱的方法。因为任务管理器里面无法看出进程中exe文件的路径，所以让大家在分析问题 的时候出现一些偏差。
　　
　　感染冲击波（杀手）的典型特征不是进程中出现Dllhost.exe，而是RPC服务出现问题（冲击波）和System32\w ins目录里面出现svchost.exe和dllhost.exe文件（冲击波杀手）。注意路径！！
　　
　　那么，Dllhost.exe是什么呢？Dllhost.exe是 COM+ 的主进程。正常下应该位于system32目录里面和system32\dllcache目录里面。而system32\win s目录里面是不会有dllhost.exe文件的。

6、Explorer.exe系统进程介绍
　　[explorer.exe]
　　
　　进程文件: explorer or explorer.exe
　　
　　进程名称: 程序管理
　　
　　描　　述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell，包括开始菜单、任务栏，桌面和文件管理。
　　
　　介　　绍：这是一个用户的shell，在我们看起来就像任务条，桌面等等。或者说它就是资源管理器，不相信你在运行里执行它看看。它对windows系统的稳定性还是比较重要的，而红码也就是找它的麻烦，在c和d根下创建explorer.exe。
　　
　　Explorer.exe程序在系统中的作用
　　
　　教您手工清除“诺维格”及其变种！一个伪装成Explorer.exe系统进程的病毒
　　
　　如何解决Explorer.exe意外退出的问题？
　　
　　我的系统经常出现这个问题，先提示“Explorer.exe has encountered a problem and needs to close.We are sorry for the inconvenience.”然后Explorer.exe就自动退出，请问是什么原因呢？我用的是Windows XP系统。谢谢。
　　
　　你可能是因为Windows XP SP2的问题，因为不清楚你的具体情况，所以并不能用最合适的方式解决这个问题，但是你可以在微软的相关文章找到和你的系统一致的状况，并找到最好的解决方案。以下是相关链接http://support.microsoft.com/default.aspx?scid=kb;zh-cn;883791。
　　
　　试图启动 Windows 时出现“Error Loading Explorer.exe”（加载 Explorer.exe 时出错）错误信息
　　
　　错误信息：Error Loading Explorer.exe You Must Reinstall Windows（加载 Explorer.exe 时出现错误，必须重新安装 Windows）

7、inetinfo.exe系统进程介绍
　　[inetinfo.exe]
　　
　　进程文件: inetinfo or inetinfo.exe
　　
　　进程名称: IIS Admin Service Helper
　　
　　描　　述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug调试除错。
　　
　　介　　绍：IIS服务进程，蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。
　　
　　inetinfo.exe占用了100％的cpu解决方案
　　
　　当我们在使用iis时，如果这时错误关机（停电等），重启机器后，再次使用iis，经常发现inetinfo.exe占用了100％的cpu，重装iis后，还是没用
　　
　　这个问题很多人的解决方案就是重装机器，之前我也是那么做的，只是我是从ghost恢复，但老这样做，似乎很麻烦。终无我忍无可忍（这样的情况太多了，而且我的同时也经常碰到这样的问题）
　　
　　我就想，既然国内资料没法找到解决方案，国外的也可以试试吧。经过两个多小时的努力，找到了解决方法：其实很简单，使用windows update更新一下电脑一下就行
　　
　　原文在：http://www.eggheadcafe.com/ng/microsoft.public.inetserver.misc/post210106.asp
　　
　　inetinfo.exe进程占用高达100%
　　
　　进程文件: inetinfo or inetinfo.exe
　　
　　进程名称: IIS Admin Service Helper
　　
　　InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug调试除错。
　　
　　可能原因很多:
　　
　　1、IIS溢出入侵
　　
　　默认情况下，IIS 5.0服务器存在一个后缀为"printer"的应用程序映射，这个映射使用位于WINNTSystem32下的名为 msw3prt.dll 的动态库文件。这个功能是用于基于Web控制的网络打印的，是Windows2000为Internet Printing Protocol(IPP)协议而设置的应用程序功能。不幸的是，这个映射存在一个缓冲区溢出错误，可以导致inetinfo.exe出错
　　
　　解决方法：删除printer的应用程序映射
　　
　　2、shtml.dll
　　
　　在Frontpage Extention Server/Windows2000 Server上输入一个不存在的文件将可以得到web目录的本地路径信息：
　　
　　http://www.victim.com/_vti_bin/shtml.dll/something.html
　　
　　这样将返回以下信息：
　　
　　Cannot open "d:inetpubwwwrootpostinfo1.html": no such file or folder.
　　
　　但是如果我们请求并非HTML、SHTML或者ASP后缀的文件，我们将会得到不同的信息：
　　
　　http://207.69.190.42/_vti_bin/shtml.dll/something.exe
　　
　　shtml.dll对较长的带html后缀的文件名都会进行识别和处理，利用这一点，可以对IIS服务器执行DOS攻击，使目标服务器的CPU占用率达到 100%
　　
　　解决方法：禁用Frontpage扩展。
　　
　　Inetinfo.exe 进程停止响应
　　http://support.microsoft.com/default.aspx?scid=kb;zh-cn;311517



8、internat.exe系统进程介绍
　　[internat.exe]
　　
　　进程文件: internat or internat.exe
　　
　　进程名称: Input Locales
　　
　　描　　述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。
　　
　　介　　绍：这里的internat很多人会误以为是网络什么有关的,其实不然,因为他和英特网internet差一字哦,这里这个internat是输入法图标的工具,一般本机只有一个输入法的都不需要运行这个.(任务栏里面的En图标) ,它主要是用来控制输入法的，当你的任务栏没有“EN”图标，而系统有internat.exe进程，不妨结束掉该进程，在运行里执行internat命令即可。
　　
　　在具有多个输入法区域设置的计算机上运行 Riprep.exe 时出现 Internat.exe 错误信息
　　http://support.microsoft.com/default.aspx?scid=kb;zh-cn;245264
　　
　　QQ密码侦探1.1版木马程序会伪装成internat.exe进程
　　
　　监听原理：将监听程序伪装成windows的启动文件internat.exe，将原system目录内的同名文件拷入 windows目录，将本目录文件更名为SMAXINTE.EXE 从而实现启动隐身后台运行。windows目录中的sqwin.ini是其运行记录文件。注册表中新建3个主键
　　
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK
　　
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
　　
　　HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK
　　
　　发送的邮箱、密码个数等信息放在
　　
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
　　
　　\Software\Services\Security\Common\SoftWare\ControlsFolder\Reconciliation
　　
　　\Policies\Retriction\Adspopware\Connection Wizard Explorer\ShellServiceO
　　
　　bjectDelayLoad\Windows Messaging Subsystem\ProtectedStorage 中
　　
　　启 动：随系统启动，驻留后台运行
　　
　　外在表现：windows目录下存在internat.exe和sqwin.ini文件，system目录下internat.exe长度为196K，同时出现smaxinte.exe文件，长度大约37K。
　　
　　对 策：删除WINDOWS目录中的internat.exe和sqwin.ini文件，因system中的监听程序正在运行，所以无法直接删除，可用下列方式进行删除：
　　
　　1、用内存管理程序移掉内存中的INTERNAT，然后删除system中的INTERNAT.EXE，将smaxinte.exe改名为internat.exe
　　
　　2、将INTERNAT.EXE的系统属性改为普通，退到纯DOS下，再删除system中的INTERNAT.EXE，将 smaxinte.exe改名为internat.exe了解注册表的再删除
　　
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\SysTASK
　　
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\SysTASK
　　
　　HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\SysTASK 3个相关键
　　
　　综 述：隐蔽性极强，伪装做的很不错，基本没有明显漏洞，属专业级盗窃程序

9、kernel32.dll系统进程介绍
　　[kernel32.dll]
　　
　　进程文件: kernel32 or kernel32.dll
　　
　　进程名称: Windows壳进程
　　
　　描　　述: Windows壳进程用于管理多线程、内存和资源。
　　
　　介　　绍：kernel32.dll是Windows 9x/Me中非常重要的32位动态链接库文件，属于内核级文件。它控制着系统的内存管理、数据的输入输出操作和中断处理，当Windows启动时，kernel32.dll就驻留在内存中特定的写保护区域，使别的程序无法占用这个内存区域。
　　
　　kernel32.dll出错解决方案
　　http://www.chinaitlab.com/www/news/article_show.asp?id=2380



10、lsass.exe系统进程介绍
　　[lsass.exe]
　　
　　进程文件: lsass or lsass.exe
　　
　　进程名称: 本地安全权限服务
　　
　　描　　述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。
　　
　　介　　绍：这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞，正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过1000个"AND"的请求，并发送给服务器，导致触发堆栈溢出，使Lsass.exe服务崩溃，系统在30秒内重新启动。
　　
　　今天一种名为avserver.exe的病毒开始在互联网上流传，传播方式类似于blast病毒，该病毒利用微软windows漏洞传播，请各位及时搭好windows补丁
　　
　　中病毒后症状
　　
　　和RPC的那种差不多 连着网一开机过一会就出现一个对话框（和XP里面强行关掉某个程序后出现的那种对话框差不多）说 LSA Shell(Export Version)出现问题，叫我选择调试/发送错误报告/不发送错误报告
　　不管选哪个一会就出现一个类似RPC一分钟关机的对话框：说C:\Windows\System32\lsass.exe引起错误需要关机，状态码是-1073741819 ，然后重启的时候如果仍然连着网线，登陆XP时还说我密码错误！！断网就可以登陆了~~
　　
　　进程里面有xxxxx_up.exe ，lsass.exe ，avserver.exe 不停的往外建立tcp连接，使得打开ftp的时候说
　　no buffer space available
　　病毒会在windows\system32\下建立一个名为XXXXX_UP.exe文件，在windows目录下建立avserver.exe
　　
　　中毒后暂时的解决办法：
　　
　　1.解除关机倒计时窗口：调整系统时间为5.1之前的时间，如4.1号；在运行(run)里边运行shutdown -a
　　
　　2.在系统进程中关闭有xxxx_up.exe avserver.exe进程，拔掉网线，安装网络防火墙或者打开windows自带的防火墙，关闭445端口的通信
　　
　　3.重启到安全模式，手动删除windows\system32\下的一个名为XXXXX_UP.exe文件，在windows目录下的avserver.exe，以及启动项中的键值
　　
　　4.安装系统补丁 ，还可以使用Windows自动更新
　　
　　lsass.exe出乎意料终止，几分钟关机
　　http://www.chinaitlab.com/www/news/article_show.asp?id=32293
　　
　　基于 Windows 2000 Server 的域控制器上的 Lsass.exe 进程的内存使用量
　　http://support.microsoft.com/default.aspx?scid=kb;zh-cn;308356



11、mdm.exe系统进程介绍
　　[mdm.exe]
　　
　　进程文件: mdm or mdm.exe
　　
　　进程名称: Machine Debug Manager
　　
　　描　　述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。
　　
　　介　　绍：Mdm.exe的主要工作是针对应用软件进行排错(Debug)，说到这里，扯点题外话，如果你在系统见到fff开头的0字节文件，它们就是mdm.exe在排错过程中产生一些暂存文件，这些文件在操作系统进行关机时没有自动被清除，所以这些fff开头的怪文件里是一些后缀名为CHK的文件都是没有用的垃圾文件，可匀我馍境换岫韵低巢涣加跋臁６?X系统，只要系统中有Mdm.exe存在，就有可能产生以fff开头的怪文件。可以按下面的方法让系统停止运行Mdm.exe来彻底删除以fff开头的怪文件：首先按“Ctrl+Alt+Del”组合键，在弹出的“关闭程序”窗口中选中“Mdm”，按“结束任务”按钮来停止Mdm.exe在后台的运行，接着把Mdm.exe(在C:\Windows\System目录下)改名为Mdm.bak。运行msconfig程序，在启动页中取消对“Machine Debug Manager”的选择。这样可以不让Mdm.exe自启动，然后点击“确定”按钮，结束msconfig程序，并重新启动电脑。另外，如果你使用IE 5.X以上版本浏览器，建议禁用脚本调用(点击“工具→Internet选项→高级→禁用脚本调用”)，这样就可以避免以fff开头的怪文件再次产生。
　　
　　OFF：如何关闭计算机调试管理器 Mdm.exe
　　
　　found.000文件夹的问题
　　问：我的电脑有的时候在C盘或D盘的根目录下有个名为found.000的文件夹，里面有一些后缀名为CHK的文件。在c:\windows下有很多以fff开头的怪文件，而且大小全部为0字节。请问这些是什么文件？能否将它们删除？
　　
　　答：found.000文件夹里面的一些后缀名为CHK的文件是你在使用“磁盘碎片整理程序”整理硬盘后所产生的“丢失簇的恢复文件”。在c:\windows下有很多以fff开头的文件是由Mdm.exe(Machine Debug Manager)这个程序产生的。Mdm.exe的主要工作是针对应用软件进行排错(Debug)，在排错过程中会产生一些暂存文件，这些文件在操作系统进行关机时没有自动被清除，所以这些fff开头的怪文件和found.000文件夹里面的一些后缀名为CHK的文件都是没有用的垃圾文件，可以任意删除而不会对系统产生不良影响。
　　
　　但只要系统中有Mdm.exe存在，那么以fff开头的怪文件就又有可能产生。你可以按下面的方法让系统停止运行Mdm.exe来彻底删除以fff开头的怪文件：首先按“Ctrl+Alt+Del”组合键，在弹出的“关闭程序”窗口中选中“Mdm”，按“结束任务”按钮来停止Mdm.exe在后台的运行，接着把Mdm.exe(在C:\Windows\System目录下)改名为Mdm.bak。运行msconfig程序，在启动页中取消对“Machine Debug Manager”的选择。这样可以不让Mdm.exe自启动，然后点击“确定”按钮，结束msconfig程序，并重新启动电脑。另外，如果你使用IE 5.X，建议禁用脚本调用(点击“工具→Internet选项→高级→禁用脚本调用”)，这样就可以避免以fff开头的怪文件再次产生。



12、mmtask.tsk系统进程介绍
　　[mmtask.tsk]
　　
　　进程文件: mmtask or mmtask.tsk
　　
　　进程名称: 多媒体支持进程
　　
　　描　　述: 这个Windows多媒体后台程序控制多媒体服务，例如MIDI。
　　
　　介　　绍：这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行。

3、regsvc.exe系统进程介绍
　　[regsvc.exe]
　　
　　进程文件: regsvc or regsvc.exe
　　
　　进程名称: 远程注册表服务
　　
　　描　　述: 远程注册表服务用于访问在远程计算机的注册表。可在控制面板，管理工具，服务中禁止相关的服务。



14、rpcss.exe系统进程介绍
　　[rpcss.exe]
　　
　　进程文件: rpcss or rpcss.exe
　　
　　进程名称: RPC Portmapper
　　
　　描　　述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
　　
　　介　　绍：98它不是在装载解释器时或引导时启动，如果使用中有问题，可以直接在在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices添加"字符串值"，定向到"C:\WINDOWS\SYSTEM\RPCSS"即可。
　　
　　Rpcss.exe是做什么用的？
　　
　　RPC是远程进程调用(Remote Procedure Call)的简称；它可以使两个程序的进程在网络上进行通讯。实际上，在UNIX系统中也有类似的技术。不象UNIX的SUNRPC/PORTMAP，RPC不依附于任何特殊的服务上，应用程序可以单独调用RPC。Windows NT/9x的Win32 API中提供了一系列的RPC程序调用接口，这些接口就是由rpcss.exe来控制的。
　　
　　那么，我们能不能删除rpcss.exe呢？
　　
　　不行。在Windows 9x下，应用程序可能需要它来向其它的应用程序或者它本身通讯。当然，如果我们强行删除这个程序，有可能会发生许多未知错误。在Windows NT/2000系统下，删除了这个重要的系统文件会导致系统启动失败（Windows 2000的系统保护功能会自动恢复被删除的文件）

15、services.exe系统进程介绍
　　[services.exe]
　　
　　进程文件: services or services.exe
　　
　　进程名称: Windows Service Controller
　　
　　描　　述: 管理Windows服务。
　　
　　介　　绍：大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务，可以看到有很多服务都是在调用%systemroot%\system32\service.exe
　　
　　“Worm.NetSky”病毒解决方案
　　1、使用安全工具软件杀掉病毒；
　　
　　2、不要轻易点击陌生人的邮件以及下载和运行其所带附件，在运行可疑附件前最好先用毒霸扫描；
　　
　　3、手工解决方案：
　　
　　对于系统是Windows9x,WindowsMe：
　　
　　步骤一，删除病毒主程序
　　
　　请使用干净的系统软盘引导系统到纯DOS模式，然后转到系统目录（默认的系统目录为C:\windows），分别输入以下命令，以便删除病毒程序：
　　C:\windows\>del services.exe
　　完毕后，取出系统软盘，重新引导到Windows系统。
　　如果手中没有系统软件盘，可以在引导系统时按“F5”键也可进入纯DOS模式。
　　
　　步骤二，清除病毒在注册表里添加的项
　　
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　
　　HKEY_LOCAL_MACHINE > Software > Microsoft > Windows >CurrentVersion>Run在右边的面板中, 找到并删除如下项目：
　　
　　"service" = "%Windir%\services.exe -serv"
　　
　　关闭注册表编辑器。
　　
　　对于系统是Windows NT,Windows2000,Windows XP,Windows 2003 sever：
　　
　　步骤一，使用进程序管里器结束病毒进程
　　
　　右键单击任务栏，弹出菜单，选择“任务管理器”，调出“Windows任务管理器”窗口。在任务管理器中，单击“进程”标签，在例表栏内找到病毒进程“services.exe”，单击“结束进程按钮”，点击“是”，结束病毒进程，然后关闭“Windows任务管理器”；
　　
　　步骤二，查找并删除病毒程序
　　
　　通过“我的电脑”或“资源管理器”进入系统目录（Winnt或windows)，找到文件services.exe”，将它们删除；
　　
　　步骤三，清除病毒在注册表里添加的项
　　
　　打开注册表编辑器: 点击开始>运行, 输入REGEDIT, 按Enter；
　　
　　在左边的面板中, 双击（按箭头顺序查找，找到后双击）：
　　
　　HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run在右边的面板中, 找到并删除如下项目：
　　
　　"service" = "%Windir%\services.exe -serv"
　　
　　关闭注册表编辑器。
　　
　　Services.exe 中的 CPU 使用率增至 100%
　　症状
　　
　　在基于 Windows 2000 的计算机上，Services.exe 中的 CPU 使用率可能间歇性地达到 100 %，并且计算机可能停止响应（挂起）。出现此问题时，连接到该计算机（如果它是文件服务器或域控制器）的用户会被断开连接。您可能还需要重新启动计算机。如果 Esent.dll 错误地处理将文件刷新到磁盘的方式，则会出现此症状。
　　解决方案
　　Service Pack 信息
　　
　　要解决此问题，请获取最新的 Microsoft Windows 2000 Service Pack。有关其他信息，请单击下面的文章编号，以查看 Microsoft 知识库中相应的文章：
　　
　　修复程序信息
　　Microsoft 提供了受支持的修补程序，但该程序只是为了解决本文所介绍的问题。只有计算机遇到本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其他一些测试。因此，如果这个问题没有对您造成严重的影响，Microsoft 建议您等待包含此修补程序的下一个 Windows 2000 Service Pack。
　　
　　要立即解决此问题，请与“Microsoft 产品支持服务”联系，以获取此修补程序。有关“Microsoft 产品支持服务”电话号码和支持费用信息的完整列表，请访问下面的 Microsoft Web 站点：
　　http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
　　
　　注意 ：特殊情况下，如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题，可免收通常情况下收取的电话支持服务费用。对于特定更新程序无法解决的其他支持问题和事项，将正常收取支持费用。
　　
　　下表列出了此修补程序的全球版本的文件属性（或更新的属性）。这些文件的日期和时间按协调通用时间 (UTC) 列出。查看文件信息时，它将转换为本地时间。要了解 UTC 与本地时间之间的时差，请使用“控制面板”中的“日期和时间”工具中的 时区 选项卡。
　　
　　状态
　　Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。 此问题最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。