关于任务管理器的基本进程代码有哪些？

任务管理器哪些进程可以关闭？~

第一，大家都知道在一台电脑中一定会有一款自带的杀毒软件，而大家一定会下载其他的杀毒软件，这时候大家就可以将系统本身的杀毒软件的进程关闭。微软杀毒软件的映像名称是MsMpEng.exe 。
第二，大家都知道现在的软件有附带有非常多的自启程序，其中qq的自启程序就是非常多的，映像名称为QQLogin.exe以及DNFchina.exe都是腾讯的一些游戏和邮箱的自启程序，这些也是可以关闭的。
第三， 电脑开机 慢有一个非常重要的问题就是它有一个Windows系统的自带的一种内定搜寻功能，如果大家桌面的东西多的话就会使得搜寻时间加长，它的映像名称为searchindexer.exe这个也是可以关闭的。

在Windows 98或更高版本中，使用 Ctrl+Alt+Delete 组合键就可以直接调出。不过如果接连按了两次的话，可能会导致Windows系统重新启动，假如此时还未保存数据的话，恐怕就欲哭无泪了。
在Windows 2000中点击 Ctrl+Alt+Delete 组合键后点“任务管理器”。
在Windows XP中点击 Ctrl+Alt+Delete或是Ctrl+Shift+Esc 组合键后点“任务管理器”。也可以用鼠标右键点击任务栏选择“任务管理器”。也可以在开始→运行里输入taskmgr(或taskmgr.exe）回车，还可以点击“Ctrl+Alt+.“此处的“.”为小键盘区符号。
在Windows Vista中使用Ctrl+Shift+Esc 组合键调出， 也可以用鼠标右键点击任务栏选择“任务管理器”。
在Windows7及Windows8中使用Ctrl+Shift+Esc 组合键调出，也可以用鼠标右键点击任务栏选择“任务管理器”，另外Ctrl+Alt+Delete 组合键也可以出现，只不过还要回到锁定界面就是了。

任务管理器内的非系统进程都是可以关闭的，下面给出分辨系统进程的方法：
所需材料：WIN7系统演示。
一、首先按Ctrl+Shift+ESC快捷键打开任务管理器，拖动边缘把窗口拖宽。

二、拖至能看到进程描述栏即可，观察下方描述，有关于系统的进程都不可关闭，另一些如腾讯QQ等软件的进程都可以关闭。

三、一些进程的描述为英文，可以记下该进程名字。

四、通过搜索百度百科查看该进程是否为系统进程。

进程文件： alg.exe
进程名称： Application Layer Gateway Service
进程类别：其他进程
alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。应用程序网关服务，为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持。该进程属 Windows 系统服务。这个程序对你系统的正常运行是非常重要的。
出品者：Microsoft Corp.
属于：Microsoft Windows Operating System
如果此文件在C:\windows\alg.exe：
这是一个病毒样本eraseme_88446.exe 释放到系统中的。
C:\windows\alg.exe偷偷潜入系统后，下次开机时会遇到1－2次蓝屏重启。

特点：
1、C:\windows\alg.exe注册为系统服务，实现启动加载。
2、C:\windows\alg.exe控制winlogon.exe进程。因此，在WINDOWS下无法终止C:\windows\alg.exe进程。
3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5－6个端口访问网络。
4、C:\windows\alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较，病毒改动后的ftp.exe和tftp.exe文件大小不变，但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b（见附图）。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp，存放到C:\WINDOWS\system32\Microsoft\目录下。

手工杀毒流程：
1、清理注册表：
（1）展开：HKLM\System\CurrentControlSet\Services
删除：Application Layer Gateway Services（指向 C:\windows\alg.exe）

（2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将SFCDisable的建值改为dword:00000000

（3）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除："SFCScan"=dword:00000000

（4）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
删除："v7b5x2s1i4h3"="12/15/2006, 01:26 PM"

2、重启系统。显示隐藏文件。
3、删除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目录下找到backup.ftp，改名为ftp.exe；找到backup.tftp，改名为tftp.exe。然后，将ftp.exe和tftp.exe拖拽到system32文件夹，覆盖被病毒改写过的ftp.exe和tftp.exe。
alg.exe是什么病毒？
正常的alg.exe是windows自带的程序，只是有可能被病毒感染或者被伪装； 字串7
alg - alg.exe - 进程信息
进程文件： alg 或者 alg.exe
进程名称： Application Layer Gateway Service
描述：
alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。

字串5

C:\windows\alg.exe病毒:
这是一个病毒样本eraseme_88446.exe（样本来自“剑盟”）释放到系统中的。瑞星今天的病毒库不报。 字串1
C:\windows\alg.exe偷偷潜入系统后，下次开机时会遇到1－2次蓝屏重启。
字串9

特点：
1、C:\windows\alg.exe注册为系统服务，实现启动加载。
2、C:\windows\alg.exe控制winlogon.exe进程。因此，在WINDOWS下无法终止C:\windows\alg.exe进程。
3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5－6个端口访问网络。
4、C:\windows\alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较，病毒改动后的ftp.exe和tftp.exe文件大小不变，但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b（见附图）。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp，存放到C:\WINDOWS\system32\Microsoft\目录下。
字串5

手工杀毒流程：
1、清理注册表：
（1）展开：HKLM\System\CurrentControlSet\Services
删除：Application Layer Gateway Services（指向 C:\windows\alg.exe）
字串1
（2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将SFCDisable的建值改为dword:00000000 字串8
（3）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除："SFCScan"=dword:00000000
字串6
（4）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
删除："v7b5x2s1i4h3"="12/15/2006, 01:26 PM" 字串8
2、重启系统。显示隐藏文件。
3、删除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目录下找到backup.ftp，改名为ftp.exe；找到backup.tftp，改名为tftp.exe。然后，将ftp.exe和tftp.exe拖拽到system32文件夹，覆盖被病毒改写过的ftp.exe和

CCenter.exe
进程文件:ccenter 或 ccenter.exe
进程名称:ccenter.exe
描述:ccenter.exe是瑞星信息中心，是瑞星杀毒软件的组件。
出品者:瑞星
属于:瑞星
系统进程:否
后台进程:是
使用网络:否
硬件相关:否
常见错误:未知
内存使用:1796k
安全等级:0
间谍软件:否
广告软件:否
病毒:否
木马: 否
进程名称： explorer 或者 explorer.exe

所在路径： (系统安装目录盘)C：\windows\explorer.exe
进程全称： Microsoft Windows Explorer
中文名称： 微软windows资源管理器

描述：
Windows 资源管理器，可以说是 Windows 图形界面外壳程序，它是一个有用的系统进程。 注意它的正常路径是 C:\Windows 目录，否则可能是 W32.Codered 或 W32.mydoom.b@mm 病毒。explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播，当你打开病毒发送的附件时，即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。

出品者： Microsoft Corp.
属于： Microsoft Windows Operating System

系统进程： 是
后台程序： 否
使用网络： 是
硬件相关： 否
常见错误： 未知N/A
内存使用： 未知N/A
安全等级 (0-5): 0
间谍软件： 否
广告软件： 否
病毒： 否
木马： 否

小提示：
结束它，可以节省一定的系统资源，比如配置低的机子或者机子资源不足的情况下，玩大型游戏时，就可以结束它，但是windows的桌面就会消失，变得不可操作了，但是并不影响系统的正常运行！！可以打开任务管理器，在新建任务里通过浏览找到游戏的程序，然后新建任务就可以打开游戏了。有时候结束它然后再启动，可以让系统更稳定些！另外，对于像有些小软件，安装完以后要求你重新启动，只是想刷新注册表，这时候你只需结束这个进程，再新建后，注册表就可以刷新了。

LSASS
进程文件： lsass 或者 lsass.exe
进程名称： Local Security Authority Service

进程名称： lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

出品者： Microsoft Corp.

属于： Microsoft Windows Operating System

如果你的启动菜单（开始-运行-输入“msconfig”）里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，在进程里可以见到有两个相同的进程，分别是lsass.exe和LSASS.EXE，同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行，LSASS.EXE管理exe类执行文件，exert.exe管理程序退出，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联。以下说一下本人对该病毒的杀法，以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS 运行，用scanreg/restore 命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件（本人用金山毒霸2006）全面杀毒，清除余下的病毒！

csrss
Client/Server Runtime Server Subsystem，客户端服务子系统，用以控制Windows图形相关子系统。正常情况下系统中只有一个csrss.exe进程，正常路径在System32文件夹中，若出现两个，则其中一个(位于Windows文件夹中)是新浪利用了系统漏洞传播的一个类似于病毒的小插件。它会产生名为nmgamex.dll、sinaproc327.exe、csrss.exe三个常驻文件，并且在系统启动项中自动加载，在桌面产生一个名为“新浪游戏总动园”的快捷方式，不仅如此，新浪还将NMgamex.dll文件与系统启动文件rundll32.exe进行绑定，并且伪造系统文件csrss.exe，产生一个同名的文件与系统绑定加载到系统启动项内，无法直接关闭系统进程后删除。手工清除方法：先先修改注册表，清除名为启动项：NMGameX.dll、csrss.exe，然后删除System32\NMGameX.dll、System32\sinaproc327.exe和Windows\NMWizardA14.exe三个文件，再修改Windows文件夹中的csrss.exe文件为任意一个文件名，从新启动计算机后删除修改过的csrss.exe文件。

smss

进程文件： smss or smss.exe

进程名称： Session Manager Subsystem

描述:
smss.exe是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能是win32.ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。请注意此进程所在的文件夹，正常的进程应该是在windows的system32和servicepackfiles\i386下面

出品者:microsoft corp.
属于:microsoft windows operating system

系统进程:是

后台进程:是

使用网络:否

硬件相关:否

常见错误:未知

内存使用:未知

安全等级:0

间谍软件:否

广告软件:否

病毒:否

木马:否

注意：smss.exe进程属于系统进程，这里提到的木马smss.exe是木马伪装成系统进程
如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"%WINDIR%\SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe，再删除%WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。

spoolsv
spoolsv.exespoolsv.exe 是Print Spooler的进程，管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。该进程属 Windows 系统服务。

正常spoolsv进程信息
进程文件： spoolsv or spoolsv.exe
进程名称： Microsoft Printer Spooler Service

描述：
spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全级别是建议立即删除。

出品者： Microsoft Corp.
属于：Microsoft Windows 2000 and later

系统进程： 是
后台程序： 是
使用网络： 否
硬件相关： 否
常见错误： 未知N/A
内存使用： 未知N/A
安全等级 (0-5): 0
间谍软件： 否
Adware: 否
病毒： 否
木马: 否

木马spoolsv进程信息:

描述:
这个垃圾软件利用将msicn\msibm.dll插入多个进程的方法对系统进行监控，在system32下创建如下该死的东西：

wmpdrm.dll
1116\
msicn\msibm.dll
msicn\ube.exe
msicn\plugins\
spoolsv\spoolsv.exe(这个还长得像微软打印服务，shit！！）

注册表加入如下垃圾：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
@="%System%\wmpdrm.dll"
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\]
[HKEY_CLASSES_ROOT\Interface\]

然后每隔4秒左右对以上东西进行监控，前后互相照应，让你无从下手

启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer

cfs2…… 相关文件、目录：

%System%\wmpdrm.dll
%System%\1116\
%System%\msicn\msibm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\
%System%\spoolsv\spoolsv.exe
%System%\spoolsv\spoolsv.exe，有一个启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"

运行后会调用%System%\msicn\msibm.dll，创建%System%\1116\目录，备份用。

%System%\1116\目录是备份目录，里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。

%System%\msicn\msibm.dll，会插入多个指定进程，大约每4秒钟监视恢复文件（从%System%\1116\目录）和注册表信息（启动项、BHO）：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"spoolsv"
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
@="%System%\wmpdrm.dll"

注："spoolsv"的数据不会被监视，所以修改它的数据也不会被恢复，只有删除"spoolsv"才会被恢复。

还可能会从远程服务器下载文件：

http://liveupdate.ourxin.com/secp.exe
secp.exe是个安装程序，安装以下文件：

%System%\wmpdrm.dll
%System%\msicn\ube.exe
%System%\msicn\plugins\（目录里4个dll文件）
%System%\wmpdrm.dll是一个BHO，%System%\msicn\ube.exe像是卸载程序。

另外，在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件，比如：

ava.vxd
guid.vxd
plgset.vxd
safep.vxd
%System%\wmpdrm.dll作为BHO被调用后，会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。

注：如果%System%\spoolsv\spoolsv.exe没有被运行或被调用，也就不会备份还原，好像它就是用来备份的。

另外……

在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”，里面有个快捷方式NavAngel.lnk，指向：%System%\spoolsv\spoolsv.exe -ctrlfun:4,3

“添加/删除程序”里有一项“NavAngel”，对应命令是：%System%\spoolsv\spoolsv.exe -ctrlfun:4,2

还有一项“WinDirected 2.0”，对应命令是：%System%\spoolsv\spoolsv.exe -uninst

还可能会有mscache\目录，从名字看像是存放临时缓存文件的。

BHO相关注册表信息：
[HKEY_CLASSES_ROOT\CLSID\]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]
[HKEY_CLASSES_ROOT\TypeLib\]
[HKEY_CLASSES_ROOT\Interface\]

判别自己是否中毒:

1、点开始－运行，输入msconfig，回车，打开实用配置程序，选择“启动”， 感染以后会在启动项里面发现运行Spoolsv.exe的启动项， 每次进入windows会有NTservice的对话框。

2、打开系统盘，假设C盘，看是否存在C:\WINDOWS\system32\spoolsv文件夹，里面有个spoolsv.exe文件，有“傲讯浏览器辅助工具”的字样说明，正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录下。

3，打开任务管理器，会发现spoolsv.exe进程，而且CPU占用率很高。

清除方法：

1、重新启动，开机按F8进入安全模式。

2、点开始－运行，输入cmd，进入dos。

利用rd命令删除以下目录（如果存在）（ 在dos窗口下输入：rd(空格）C:\WINDOWS\system32\spoolsv/s，回车，出现提示，输入y回车，即可删除整个目录。）：

C:\WINDOWS\system32\msibm
C:\WINDOWS\system32\spoolsv
C:\WINDOWS\system32\bakcfs
C:\WINDOWS\system32\msicn

利用del命令删除下面的文件（如果存在）（比如在dos窗口下输入：del(空格）C:\windows\system32\spoolsv.exe，回车，即可删除被感染的spoolsv.exe，这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到
C:\windows\system32文件夹。）：

C:\windows\system32\spoolsv.exe
C:\WINDOWS\system32\wmpdrm.dll

3、重启按F8再次进入安全模式。

（1）桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击
NTservice，选择“属性”，修改启动类型为“禁用”。
、
（2）点开始，运行，输入regedit，回车打开注册表，点菜单上的编辑，选择查找，查找含有spoolsv.exe的注册表项目，删除。可以利用F3继续查找，将含有spoolsv.exe的注册表项目全部删除。

4、若以上操作完成后,仍然有该进程。请桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击print spooler，选择“属性”，先点“停止”然后修改启动类型为手动或“禁用”。随后重复以上步骤。

smagent - smagent.exe - 进程信息
进程文件： smagent 或者 smagent.exe
进程名称： Analog Devices magent

描述：
smagent.exe是Analog SoundMAX声卡产品相关程序。

出品者： Analog Devices, Inc.
属于：Analog Devices SoundMAX Agent

系统进程： 否
后台程序： 是
使用网络： 否
硬件相关： 是
常见错误： 未知N/A
内存使用： 未知N/A
安全等级 (0-5): 0
间谍软件： 否
Adware: 否
病毒： 否
木马: 否

svchost
svchost.exe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。

大家对windows操作系统一定不陌生，但你是否注意到系统中“svchost.exe”这个文件呢？细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。

发现

在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。

如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。

svchost中可以包含多个服务

深入

windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss（remote procedure call）服务为例，进行讲解。

从启动参数中可见服务是靠svchost来启动的。

实例

以windows xp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。

在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项，找到类型为“reg_expand_sz”的键“magepath”，其键值为“%systemroot%system32svchost -k rpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“servicedll”的键，其值为“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。

解惑

因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

winlogon
进程文件： winlogon or winlogon.exe
进程名称： Microsoft Windows Logon Process

描述：
Windows Logon Process，Windows NT 用户登陆程序，管理用户登录和退出。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行，若不是以上路径且不以 SYSTEM 用户运行，则可能是 W32.Netsky.D@mm 蠕虫病毒，该病毒通过 EMail 邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建 SMTP 引擎在受害者的计算机上，群发邮件进行传播。手工清除该病毒时先结束病毒进程 winlogon.exe，然后删除 C:\Windows 目录下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再清除 AOL instant messenger 7.0 服务，位于注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 键。

出品者： Microsoft Corp.
属于： Microsoft Windows Operating System

系统进程： 是
后台程序： 是
使用网络： 否
硬件相关： 否
常见错误： 未知N/A
内存使用： 未知N/A
安全等级 (0-5): 0
间谍软件： 否
Adware: 否
病毒： 否
木马： 否
wuauclt
wuauclt.exe - wuauclt - 进程管理信息
进程文件： wuauclt or wuauclt.exe
进程名称： AutoUpdate for WindowsME
进程类别：其他进程
英文描述：
Wuauclt.exe is a process managing automatic updates for Windows. This process continuously checks for the latest updates by going online. This process should not be removed if you want to get informed about new updates.
中文参考：
Wuauclt.exe是Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使你无法得到最新更新信息。
出品者：Microsoft Corp.
属于：Microsoft Windows
系统进程：Yes
后台程序：Yes
网络相关：No
常见错误：N/A
内存使用：N/A
安全等级 (0-5): 0
间谍软件：No
广告软件：No
病毒：No
木马：No

---

松溪县15924225240： 电脑任务管理器的基本进程有哪些 - ？
戏疤健朗： Csrss.exe:这是子系统服务器进程,负责控制Windows创建或删除线程以及16位的虚拟DOS环境. Lsass.exe:管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序.. Explorer.exe:资源管理器. Smss.exe:这是一个会话管...

松溪县15924225240： 任务管理器里面的进程主要有哪些? - ？
戏疤健朗： 最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行): smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统服务 lsass.exe 管理 IP 安全...

松溪县15924225240： 电脑任务管理器的进程包括了哪些程序?？
戏疤健朗： -- 常见系统进程 进程名 描述 最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行) smss.exe Session Manager csrss.exe 子系统服务器进程 winlogon.exe 管理用户登录 services.exe 包含很多系统...

松溪县15924225240： 电脑所有进程的代码各是什么? - ？
戏疤健朗： 13、faxsvc.exe帮助您发送和接收传真.(系统服务) 14、cisvc.exeIndexing Service(system service)!!! 15、dmadmin.exe磁盘管理请求的系统管理服务.(系统服务) 16、mnmsrvc.exe允许有权限的用户使用NetMeeting 远程访问Windows 桌...

松溪县15924225240： windows任务管理器的进程一般有好多?应该是那些?？
戏疤健朗： 第一个IE浏览器,第二个,QQ防止登录进同一个QQ号的进程(可以关闭)第三个alg.exe进程文件是Windows操作系统自带的必要程序,第四个QQ,第五conime.exe是输入法编辑器相关程序.6.scanfrm.exe 是2009版瑞星的空闲时段查杀进程 ...

松溪县15924225240： xp系统中任务管理器中进程中的最基本的程序有哪些？
戏疤健朗： 机器重启时候按F8进入安全模式,进入系统后再去看进程,那些进程就是基本进程,不能少的.

松溪县15924225240： 关于任务管理器进程？
戏疤健朗： taskmgr.exe :任务管理器 RFWMAIN.EXE :瑞星防火墙 TIMPlatform :腾讯TM ctfmon.exe :系统文件,和输入法有关 RavTask.exe :是瑞星的文件 RUNDLL32.EXE :系统文件 SOUNDMAN.EXE :声卡工具 RavMon.ece :瑞星

松溪县15924225240： Windows任务管理器中的系统进程有哪些 - ？
戏疤健朗： 电脑WIN7系统运行的程序不同,进程也是不同的.一般不是系统进程都是可以将其关闭的,任务管理器中常见的系统进程,一般情况下都是不能关闭的进程:explorer.exe:是Windows程序管理器或者Windows资源管理器,关闭后系统桌面就会...

松溪县15924225240： 任务管理器的进程 - ？
戏疤健朗： 很多用户都对于自己机器的进程不是很明白,有时总误认为是病毒的进程,希望介绍一些系统的小知识,便于大家使用计算机. 最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行): smss.exe ...

松溪县15924225240： 谁能给列出任务管理器中常用进程的功能?？
戏疤健朗：Windows XP系统中常用的进程有:taskmgr.exe:Windows任 务管理器,是Windows任务管理执行者,这是任务管理器的系统进程,在正常情况下是没有的,只有当你使用 Ctrl+Alt+del组合键以后才能激活的系统进程;explorer.exe:Windows ...