系统手工杀毒

常用Windows系统进程列表http://os 51cto com 2005-12-0809:15 51CTO com整理我要评论(2)

 摘要本文是关于常用Windows系统进程的列表

 标签Windows



限时报名参加“甲骨文全球大会2010北京”及“JavaOne和甲骨文开发者大会2010”

一、最基本的系统进程

也就是说这些进程是系统运行的基本条件有了这些进程系统就能正常运行

1、 smss.exe Ses sion Manager

2、 csrss.exe子系统服务器进程

3、winlogon.exe管理用户登录

4、 se rvice s.exe包含很多系统服务

5、 lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。 (系统服务)产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据

6、 ticket。 (系统服务) ->netlogon

7、 svchost.exe包含很多系统服务! ! !->eventsystem

8、 SPOOLSV.EXE将文件加载到内存中以便迟后打印没有打印机也不必了 。

9、 explore r.exe资源管理器

10、 internat.exe托盘区的拼音图标装了OfficeXP及以上者为ctfmon.exe。

二、附加的系统进程

这些进程不是必要的你可以根据需要通过服务管理器来增加或减少

1、mstask.exe允许程序在指定时间运行。 (系统服务)->schedule

2、 regsvc.exe允许远程注册表操作。 (系统服务)->remoteregister 3、winmgmt.exe提供系统管理信息(系统服务)。

4、 inetinfo.e xe->msftpsvc,w 3svc,iis admn

5、 tlntsvr.exe->tlnrsvr

6、 tftpd.exe实现TFTP Internet标准。该标准不要求用户名和密码是远程安装服务的一部分。 (系统服务)

7、 termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows 2000 Professional桌面会话以及运行在服务器上的基于Window s的程序。 (系统服务)

8、 dns.exe应答对域名系统(DNS)名称的查询和更新请求。 (系统服务)

三、 以下全是系统服务,并且很少会用到如果你暂时用不着,应该关掉(对安全有害)

1、 tcpsvcs.exe提供在PXE可远程启动客户计算机上远程安装Windows 2000Professional的能力。 (系统服务)->simptcp支持以下TCP/IP服务 Character Generator,Daytime,Discard,Echo,以及Quote of the Day。 (系统服务)

2、 is ms e rv.exe允许在Window s Advanc ed Server站点间发送和接收消息。 (系统服务)

3、 ups.exe管理连接到计算机的不间断电源(UPS)。 (系统服务)

4、wins.e xe为注册和解析NetBIOS型名称的TCP/IP客户提供NetBIOS名称服务。(系统服务)

5、 llssrv.exeLicense Logging Service(system service)6、 ntfrs.exe在多个服务器间维护文件目录内容的文件同步。 (系统服务)

7、RsSub.exe控制用来远程储存数据的媒体。 (系统服务)

8、 locator.exe管理RPC名称服务数据库.(rpclocator区RpcSs)

9、 ls e rve r.exe注册客户端许可证。 (系统服务)

10、 dfssvc.exe管理分布于局域网或广域网的逻辑卷。 (系统服务)

11、 clips rv.e xe支持"剪贴簿查看器"以便可以从远程剪贴簿查阅剪贴页面。 (系统服务)

12、msdtc.exe并列事务是分布于两个以上的数据库消息队列文件系统或其它事务保护资源管理器。 (系统服务)

13、 faxsvc.exe帮助您发送和接收传真。 (系统服务)

14、 cisvc.exeIndexing Servic e(system servic e)! ! !

15、 dmadmin.e xe磁盘管理请求的系统管理服务。 (系统服务)

16、mnms rvc.exe允许有权限的用户使用NetMeeting远程访问Window s桌面。 (系统服务)

17、 ne tdde.e xe提供动态数据交换(DDE)的网络传输和安全特性。 (系统服务)

18、 smlogsvc.exe配置性能日志和警报。 (系统服务)

19、 rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。 (系统服务)

20、Rs En g.e xe协调用来储存不常用数据的服务和管理工具。 (系统服务)

21、Rs Fs a.e xe管理远程储存的文件的操作。 (系统服务)

22、 grovel.exe扫描零备份存储(SIS)卷上的重复文件并且将重复文件指向一个数据存储点 以节省磁盘空间。 (系统服务)

23、 SCardSvr.exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。 (系统服务)24、 snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。 (系统服务)

25、 s n mptrap.e xe接收由本地或远程SNMP代理程序产生的陷阱消息然后将消息传递到运行在这台计算机上S NMP管理程序。 (系统服务)

26、UtilMan.exe从一个窗口中启动和配置辅助工具。 (系统服务)

27、msiexec.exe依据.MSI文件中包含的命令来安装、修复以及删除软件。 (系统服务)

其它补充sfmprint.exe>Print Services for Macintosh打印Macintosh服务

Nspmon.exe Windows Media Monitor Servic e(NsMonitor)

Nsum.exe Windows Media Unicast Service(NsUnicast)微软文档Windows 2000中的默认进程

Csrss.exe-您无法从任务管理器中结束此进程。

Win32子系统的用户模式部分Win32.sys是内核模式部分 。Csrss代表client/serverrun-time subsystem客户端/服务器运行时子系统 它是一个基本的子系统必须始终运行。Csrss负责管理控制台窗口创建和/或删除线程并且负责16位虚拟MS-DOS环境的某些部分。

Explorer.exe-您可以从任务管理器中结束此进程。 这是用户外壳程序 即我们熟悉的任务栏、桌面等。该进程对于Window s的正常运行所起的作用并不像我们想像的那么重要并且可以从任务管理器中停止并重新启动它而且通常不会给系统带来任何副作用。

Internat.exe-您可以从任务管理器中结束此进程。 Internat.exe在启动时运行它加载由用户指定的不同的输入法区域设置。为当前用户加载的区域设置来自以下注册表项HKEY_CURRENT_US ERKeybo ard LayoutPreload Internat.exe将"EN"图标加载到任务栏中

这使得用户可以轻松地在区域设置之间切换。当该进程停止时此图标将消失但是仍然可以通过"控制面板"更改区域设置。

注意 "系统"的区域设置是从以下位置加载的 HKE Y_US ERS.DEF AULT KeyboardLayoutPrelo ad这些区域设置由"本地系统"帐户下运行的系统服务使用或者在没有用户登录时例如在出现登录提示时使用Lsass.exe-您无法从任务管理器中结束此进程。

本地安全身份验证服务器它生成的进程将负责验证用户的身份以使用Winlogon服务。该进程通过使用身份验证程序包如默认的Msgina.dll来执行。如果身份验证成功Ls as s将生成用户的访问令牌该令牌用于启动初始外壳程序。该用户启动的其他进程将继承这一令牌。

Mstask.exe-您无法从任务管理器中结束此进程。 任务计划程序服务负责在用户预定的时间运行任务。 Smss.exe-您无法从任务管理器中结束此进程。 这是会话管理器子系统负责启动用户会话。该进程由系统线程启动并负责各种活动其中包括启动Winlogon和Win32(Csrss.exe)进程以及设置系统变量。当它启动这些进程后它将等待Winlogon或Csrss结束。如果这些过程"正常"发生系统将会关闭如果这些过程出现异常 Smss.exe将导致系统停止响应挂起 。

Spoolsv.exe-您无法从任务管理器中结束此进程。 后台打印程序服务负责管理发送到后台的打印/传真作业。

Svchost.exe-您无法从任务管理器中结束此进程。 这是一个通用进程它充当从DLL运行的其他进程的宿主因此该进程会对应有多个项目这是很正常的。要查看哪些进程正在使用Svchost.exe请使用Window s 2000安装光盘中的Tlist.exe语法是在命令提示符处键入tlist-s Services.exe-您无法从任务管理器中结束此进程。 这是服务控制管理器负责启动、停止系统服务以及与系统服务进行交互。

System-您无法从任务管理器中结束此进程。 大多数系统内核模式的线程都作为系统进程运行。

System Idle Process -您无法从任务管理器中结束此进程。该进程是在各个处理器上运行的单个线程它唯一的任务是在系统没有处理其他线程时占用处理器时间。在任务管理器中此进程会占用绝大部分的处理器时间。 Taskmgr.exe-您可以从任务管理器中结束此进程。 这是任务管理器自身的进程

Winlogon.exe-您无法从任务管理器中结束此进程。 该进程负责管理用户登录和注销。此外仅当用户按Ctrl+Alt+De l时Win logon才会被激活此时它会显示安全对话框。

Winmgmt.exe-您无法从任务管理器中结束此进程。

Winmgmt.exe是Window s 2000中客户端管理的核心组件。当第一个客户端应用程序进行连接时该进程将进行初始化或者当管理应用程序请求该进程的服务时该进程会不断地进行初始化许多无法从任务管理器中结束的进程都可以使用资源工具箱实用工具kill.exe来结束。但是该命令可能会导致系统故障或其他不希望出现的副作用。

【推荐】手工查杀病毒

[作者蓝色寒冰|更新日期:2007-10-508:56:26| 阅读次数1452 ]

本文转自雨林木风交流论坛[BBS.YlmF.CoM]蓝色寒冰的帖子虽然是今年一月的帖子但很经典转载给大家学习下也许在别的地方已经看过好多遍了嘿嘿

个人认为病毒无非是病毒文件、注册表、启动项、服务四大块既然如此只要把这四方面都干掉了也就差不多了 本次寒冰通过一次实战经历把查杀病毒会出现的问题尽可能涉及所以以下查杀部分不全部代表该病毒的情况只是为了做一说明而添加必要的假设希望本帖真的可以帮到经常被病毒困扰的朋友们。

本帖一共分四部分,分别为:

第一部分 工具篇(随兵出征)

第二部分查毒篇

第三部分杀毒篇(初战告捷)

第四部分修复篇打完收工

第一部分工具篇

工欲善其事必先利其器手动查杀并不是徒手而来当然要借助些工具好的工具可以帮助你快速找到解决的方案与窍门当然要借助些工具

一、扫描日志工具

当你去到一部中毒的机子,是不是会对如何下手有点茫然呢?那样,不管3721,扫描一份报告看看有何不妥先,而在报告总,系统的启动项目,进程,驱动和服务一目了然,多少可以重装发现一些蛛丝马迹,而寒冰也是习惯从这个步骤开始的.至于寒冰推荐的扫描日志扫描当属hijac kthis和S REng尤其是后者,最近360的报告好像也挺热火的可能是个人使用习惯吧,寒冰感觉他是介乎于两者之间没有S reng那么强大的dll数据也没有hijac kthis般的修复功能虽然有颜色可以一目了然,可是排列却有点乱,有待改善啊,所以如果你还没用过使用

报告,寒冰首推SRENG这款软件现在新的2.3版本已经出来了具体更新的内容可以去寒冰的百度空间查看

二、进程服务工具

没有病毒会选择沉默病毒的特性决定他不会一直闲着而活动必然会在系统留下蛛丝马迹可是系统自带的资源管理器在现在病毒面前却显得如此软弱因此请进助手自然势在必行常用的进程分析当属Icesword和Process Explorer

三、删除工具

相信跟电脑相处多了的人,总会遇见过“文件正在被另一个人或程序使用无法删除”诸如此类的警告而正常文件尚且如此,病毒更是猖狂一个具备完好自我保护体系的病毒单单的资源管理器无法结束其进程更不用说删除他了发现了病毒却不能删除,郁闷也许有人会建议进入安全模式进行查杀没错的确可以可是太麻烦了而且安全模式下又不利于我们发现病毒的同伙最好的状态还是在“病毒进行时”因此一款在正常模式下可以正常删除任意文件的工具就这样应运而生了常用且有效的有 killbox、 Ic esw ord和unloc ker其中Ic esw ord当属得力助手当然有时候他也无能为力只能多试几个好工具更多的查杀工具欢迎到寒冰优盘http://readon99.ys 168.c om去下载 自己尝试在此也不多讲了免得又有人说写得复杂呵呵准备好常用的工具 自然我们可以进行下面的操作了www.newjian.c om

第二部分查毒篇

隐蔽性是病毒的一大特性可是再隐蔽他也总要让他自身运行的而保证的途径必然会使他在系统留下蛛丝马迹因此了解病毒的自启动方式对于进一步发现病毒的蛛丝马迹很有帮助具体常见的宝地有

一、启动项目留迹

1.内置到注册表启动项目中

注册表是病毒最喜欢隐藏的地方既没有人能找到它又能自动运行真是快哉的确

注册表由于比较复杂木马常常喜欢藏在这里快活常见的键值有

HKEY_L OC AL_MAC HINE\S oftw are\Mic ro s oft\Window s\CurrentVers ion下所有以“run”开头的键值

HKEY_C URRENT_US ER\S o ftw are\Mic ro s o ft\Window s\CurrentVers ion下所有以“run”开头的键值

HKEY-US E RS\Defau lt\S o ftw are\Mic ro s oft\Window s\CurrentVers ion下所有以“run”开头的键值。

2、隐形于启动组中

有时木马并不在乎自己的行踪它更注意的是能否自动加载到系统中因为一旦木马加载到系统中任你用什么方法你都无法将它赶跑(哎这木马脸皮也真是太厚)因此按照这个逻辑启动组也是木马可以藏身的好地方 因为这里的确是自动加载运行的好场所。动组对应的文件夹为 C:window sstart menuprogramsstartup

在注册表中的位置 HKEY_CURRENT_US ERSoftw areMicros oftWindow sCurr entVer s ion

ExplorerShellFo lders Startup="C:windowsstart menuprogramsstartup"。要注意经常检查启动组哦

3、捆绑在启动文件中

即应用程序的启动配置文件控制端利用这些文件能启动程序的特点将制作好的带有木马启动命令的同名文件上传到服务端覆盖这同名文件这样就可以达到启动木马的目的了。

4、潜伏在Win.ini中

木马要想达到控制或者监视计算机的目的必须要运行然而没有人会傻到自己在自己的计算机中运行这个该死的木马。当然木马也早有心理准备知道人类是高智商的动物不会帮助它工作的因此它必须找一个既安全又能在系统启动时自动运行的地方于是潜伏在Win.ini中是木马感觉比较惬意的地方。大家不妨打开Win.ini来看看在它的[window s]字段中有启动命令“lo ad=”和“run=”在一般情况下“”后面是空白的如果有后跟程序 比

方说是这个样子 run=c:windowsfile.exe lo ad=c:window sfile.exe

这时你就要小心了这个file.exe很可能是木马哦。

5、在System.ini中藏身

木马真是无处不在呀什么地方有空子它就往哪里钻这不Window s安装目录下的System.ini也是木马喜欢隐蔽的地方。还是小心点打开这个文件看看它与正常文件有什么不同在该文件的[boot]字段中是不是有这样的内容那就是shell=Explorer.exe file.exe如果确实有这样的内容那你就不幸了 因为这里的file.exe就是木马服务端程序另外在System.ini中的[386Enh]字段要注意检查在此段内的“driv er=路径程序名”这里也有可能被木马所利用。再有在System.ini中的[mic]、 [drivers]、 [drivers32]这三个字段这些段也是起到加载驱动程序的作用但也是增添木马程序的好场所现在你该知道也要注意这里喽。

6、隐蔽在Winstart.bat中

按照上面的逻辑理论凡是利于木马能自动加载的地方木马都喜欢呆。这不Winstart.bat也是一个能自动被Window s加载运行的文件它多数情况下为应用程序及Window s自动生成在执行了Win.c om并加载了多数驱动程序之后开始执行(这一点可通过启动时按F8键再选择逐步跟踪启动过程的启动方式可得知)。由于Autoexec.bat的功能可以由Winstart.bat代替完成 因此木马完全可以像在Autoexec.bat中那样被加载运行危险由此而来。

7、集成到程序中

为了不让用户能轻易地把它删除就常常集成到程序里一旦用户激活木马程序那么木马文件和某一应用程序捆绑在一起然后上传到服务端覆盖原文件这样即使木马被删除了只要运行捆绑了木马的应用程序木马又会被安装上去了。绑定到某一应用程序中如绑定到系统文件那么每一次Windows启动均会启动木马。 高招

8、隐藏在配置文件中

木马实在是太狡猾知道菜鸟们平时使用的是图形化界面的操作系统对于那些已经不太重要的配置文件大多数是不闻不问了这正好给木马提供了一个藏身之处。而且利用配置文件的特殊作用木马很容易就能在大家的计算机中运行、发作从而偷窥或者监视大家。不过现在这种方式不是很隐蔽容易被发现所以在Autoexec.bat和Config.sys中加载木马程序的并不多见但也不能因此而掉以轻心哦。 这种方式现在好像没那么流行了明白了系统的藏身之处我们就有思绪把他找出来了当使用sreng查看其启动项目时,自动弹出了相应警告,提示load shell和Userinit等值被修改,所以,首先用Sreng扫描一份报告如下

[HKEY_CURRENT_USER\Softw are\Micros oft\Window s NT\CurrentVers ion\Window s]

<load><C:\windows\system32\wincfgs.exe>[N/A]

[HKEY_LO CAL_MACHINE\Softw are\Micros oft\Window s NT\CurrentVers ion\Winlogon]

<shell><Exp lorer.exe"C:\WINDO WS\eksplorasi.exe">[N/A]

<Userinit><userinit.exe,EXP LORER.EXE>[(Verified)Microsoft Corporation]

从中可以看出病毒为了实现启动分别在load shell和Userinit等进行了窜改其中Userinit的EXPLORER.EXE还假装了(Verified)Microsoft Corporation的标识具备很大诱惑性。

比如之前大名顶顶的熊猫烧香,就是通过userinit.exe加载病毒程序

C:WINDOWS\system32\SVCH0ST.exe实现开机启动,如果发现了这一项目,相信你的硬盘数据就危险了

二、运行系统留迹

病毒要运行 自然会有进程可是庆幸的是某个病毒的进程还算是统一的除非变种了而初级的病毒通过资源管理器可以立马做出判断前提你应该认识系统进程和常用软件进程再通过相应的工具辅组就可以找到他的相对路径也许有人抱怨资源管理器连路径都无法提供太无能了就去找那个lohorn版本的装上其实只需要一个命令就可以找出来进程的文件路径方法如下