很多朋友总是抱怨用XP操作系统速度慢,总是死机。排除硬件上面的原因,就要找系统流程的故障。但是流程那么多,英文字符都不详细介绍了。谁知道哪个跟着哪个?一不小心删错了,系统就不稳定。不急,今天就让你明明白白。
进程是当前计算机运行的程序,包括前台和后台。在XP中,进程主要分为关键进程、应用进程、服务进程和后台进程。关键进程,也叫系统进程,是指操作系统本身要执行的程序,一般情况下不允许用户完成。不用说,应用程序进程指的是当前运行的应用程序。服务是系统进程的扩展,包括网络服务和本地服务,主要为用户提供便捷的操作。后台进程是指隐藏运行的软件,如监控软件、扫描软件、木马、病毒等。简单了解后,列出基本流程,供你研究参考。
系统空闲进程:
Windows页面内存管理进程,优先级为0。它在每个处理器上作为一个单独的线程运行,并在系统不处理其他线程时调度处理器的时间。它的cpu利用率越大意味着可以分配更多的CPU资源,数字越小意味着CPU资源紧张。
ALG。EXE:
这是用于网络共享的应用层网关服务。它是网关通信插件的管理器,为互联网连接共享服务和互联网连接防火墙服务提供第三方协议插件的支持。
csrss.exe:
客户机/服务器运行时服务器子系统是一个客户机服务子系统,用于控制Windows图形相关子系统。正常情况下,WindowsNT4/2000/XP/2003系统中只有一个CSRSS.EXE进程,通常位于System32文件夹中。如果上述系统中有两个进程(其中一个位于Windows文件夹中),或者这个进程出现在Windows 9X/Me系统中,就感染了木马。古塔或W32。Netsky.AB@mm病毒。另外,目前新浪利用系统漏洞传播的一个类似病毒的插件,会生成名为nmgamex.dll、sinaproc327.exe、csrss.exe的三个驻留文件,自动加载到系统的启动项中,导致桌面出现一个名为“新浪游戏总园”的快捷方式。不仅如此,新浪还将Nmgamex.dll文件绑定到系统启动文件rundll32.exe,伪造系统文件csrss.exe,导致同名文件绑定到系统并加载到系统启动项,直接关闭系统进程后无法删除。手动清理方法:先修改注册表,清除启动项:NMGameX.dll、csrss.exe,然后删除System32NMGameX.dll、System32sinaproc327.exe、WindowsNMWizardA14.exe三个文件,再修改Windows文件夹中的任意文件名,重启电脑后删除修改后的csrss.exe文件。
ddhelp.exe:
Drawhelper是directx的一个组件,用于图形服务,它是一个DirectDraw帮助器。
dllhost.exe:
DCOM DLL宿主进程支持基于COM的对象,以支持DLL来运行Windows程序。如果这个过程经常出错,就有可能感染了韦尔奇亚病毒。
explorer.exe:
Windows资源管理器用于控制Windows图形外壳,包括开始菜单、任务栏、桌面和文件管理。这是一个用户外壳,在我们看来就像任务栏、桌面等等。或者是资源管理器。我不相信你能在跑步中执行它。对于Windows系统的稳定性还是很重要的,红码就是用它来找麻烦,在C和D根下创建explorer.exe。
inetinfo.exe:
Admin service helper,InetInfo是微软互联网信息服务(IIS)的一部分,用于调试和调试。IIS服务进程,蓝色代码是inetinfo.exe的缓冲区溢出漏洞。
internat.exe:
输入法区域设置,主要用于控制输入法。当任务栏中没有“EN”图标,而系统中有一个internat.exe进程时,您也可以结束该进程,并在运行中执行internat命令。该输入控制图标用于更改类似的国家设置、键盘类型和日期格式。Internat.exe在启动时开始运行。它加载用户指定的不同输入点。输入点从这个位置加载内容HKEY _用户。注册表中的默认键盘布局预加载。将internat.exe的“EN”图标加载到系统的图标区,让用户轻松切换不同的输入点。过程停止时,图标会消失,但仍可通过控制面板更改输入点。
lsass.exe:
本地安全权限服务控制Windows安全机制。管理IP安全策略,启动ISAKMP/奥克利(IKE)和IP安全驱动程序等。它为使用winlogon服务的授权用户生成一个进程。这个过程通过使用授权的包来执行,例如默认的msgina.dll。如果授权成功,lsass会生成用户的入口令牌,不要使用初始shell启动令牌。用户启动的其他进程将继承此令牌。而windows Active Directory的远程堆栈溢出漏洞是,使用LDAP 3搜索请求函数为用户提交的请求检查正确缓冲区的边界,构造1000多个'和'请求并发送到服务器,触发堆栈溢出,使Lsass.exe服务崩溃,30秒内重启系统。这里请记住,这个过程的正常路径是C:WINDOWSsystem32,还有一些病毒,比如W32。蠕虫病毒,会模仿LSASS.EXE在其他地方运行。
mdm.exe:
机器调试管理器,Debug调试管理用于调试应用程序和Microsoft office中的Microsoft Script Editor脚本编辑器。Mdm.exe的主要工作是调试应用软件。说到这里,题外话,如果你在系统中看到fff开头的0字节文件,那是mdm.exe在调试过程中生成的一些临时文件。这些文件在操作系统关闭时不会自动清除,所以一些以CHK为后缀的fff开头的奇怪文件就是无用的垃圾文件,可以任意删除,不会对系统造成不良影响。对于9X系统,只要系统中有Mdm.exe,就有可能产生以fff开头的奇怪文件。可以通过以下方式停止系统运行Mdm.bak,彻底删除以fff开头的奇怪文件:首先按Ctrl Alt Del组合键,在弹出的关闭程序窗口中选择Mdm,按结束任务按钮停止Mdm.bak在后台运行,然后将Mdm.bak(在系统目录下)重命名为Mdm.bak运行msconfig程序,在启动页面中取消选择“机器调试管理器”。这将阻止Mdm.exe启动自己,然后单击确定结束msconfig程序,并重新启动计算机。另外,如果你用的是IE 5。x或以上浏览器,建议禁用脚本调用(点击“工具互联网选项高级禁用脚本调用”),避免再次生成以fff开头的奇怪文件。
[分页符]
rpcss.exe:
Windows的RPC端口映射进程处理RPC调用(远程模块调用),然后将它们映射到指定的服务提供者。加载或引导解释器时,它不会启动。如果使用中出现问题,可以直接在注册表HKEY _ local _ machinesoftwaresoftwindowcurrentversionrun和HKEY _ local _ machinesoftwaresoftwindowcurrentversionrunservices中添加一个‘字符串值’,并将其定向到‘C:windowssysterprcss’。
services.exe:
管理Windows服务的windows服务控制器。大多数系统内核模式进程作为系统进程运行。打开管理工具中的服务,您可以看到许多服务正在调用service.exe。
smss.exe:
会话子系统,由会话管理子系统用来初始化系统变量。MS-DOS驱动的名字类似于LPT1和COM。它调用Win32外壳子系统并在Windows登录进程中运行。它是一个会话管理子系统,负责启动用户会话。该进程由系统进程初始化并反映许多活动,包括已经运行的Winlogon、Win32(Csrss.exe)线程和set系统变量。启动这些进程后,它会等待Winlogon或Csrss完成。如果这些过程正常,系统将被关闭。如果发生意外,smss.exe会让系统停止响应(挂断)。注意:如果系统中有多个smss.exe进程,并且某些smss.exe路径是“%WINDIR%SMSS”。' EXE '就是TrojanClicker。Nogard.a病毒,Windows下的PE病毒,用VB6写的,自动访问站点的木马病毒。该病毒会在注册表的几个地方添加自己的启动条目,修改WIN系统文件。并添加“RUN”=“% WINDIR % SMSS”。请在[WINDOWS]条目中添加“EXE”。手动清理时,请结束smss.exe病毒进程,然后删除%WINDIR%下的smss.exe文件,再清理注册表中与其相关的条目并获胜。INI文件。
snmp.exe:
Microsoft SNMP代理(Windows简单网络协议代理(SNMP ))用于监控并向适当的网络部分发送请求。负责接收SNMP请求消息,根据需要发送响应消息,处理与WinsockAPI的接口。
spool32.exe:
打印机假脱机程序,Windows打印作业控制程序,用于准备打印机。
stisvc.exe:
静止图像服务用于控制Windows中扫描仪和数码相机的连接。
svchost.exe
服务主机进程是一个标准的动态连接库主机处理服务。Svchost.exe是从动态链接库(dll)运行的服务的通用主机进程名称。Svhost.exe文件位于系统的Windowssystem32文件夹中。启动时,Svchost.exe检查注册表中的位置,以构建要加载的服务列表。这将导致多个Svchost.exe同时运行。Windows 2000一般有两个Svchost进程,一个是RPCSS(远程过程调用)服务进程,一个是很多服务共享的Svchost.exe。在windows XP中,通常有四个以上的Svchost.exe服务进程。在windows 2003 server中甚至更多。Svchost.exe是系统的核心进程,而不是病毒进程。但是,由于Svchost.exe过程的特殊性,病毒会想尽办法入侵Svchost.exe。通过查看Svchost.exe流程的执行路径,您可以