Windows进程小结

lsass.exe
　　进程名称： Local Security Authority Service
　　进程名称： lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。
　　出品者： Microsoft Corp.
　　属于： Microsoft Windows Operating System
　　因这个进程为系统进程,强行结束将会出现倒计时关机的字样,只能重新启动.
　　如果你的启动菜单（开始-运行-输入“msconfig”）里有个lsass.exe启动项，那就证明你的lsass.exe是木马病毒，中毒后，在进程里可以见到有两个相同的进程，分别是lsass.exe和LSASS.EXE，同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行，LSASS.EXE管理exe类执行文件，exert.exe管理程序退出，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联。以下说一下本人对该病毒的杀法，以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS 运行，用scanreg/restore 命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件（本人用金山毒霸2006）全面杀毒，清除余下的病毒！
　　其实这也只是个治标不治本的方法，对付仿冒LSASS进程的处理相对是比较简单，但是镜像劫持该进程的话，可以用镜像劫持修复工具进行修复，但是如果病毒注入了LSASS进程的话，处理就要复杂多了，建议重新装下系统。

jtagserver.exe
描述：Altera公司的FPGA下载工具

msmdsrv.exe
描述:
　　msmdsrv.exe is a process belonging to Microsoft SQL Server. This program is a system service, and should not be terminated unless suspected to be causing problems.
分析服务在启动时为所有的数据库将所有的维度装载入易失性存储器。在处理过程中，服务器消耗附加存储器以处理维度和多维数据集的更新。可执行在分析服务之后的服务叫做msmdsrv。

MsDtsSrvr.exe
描述：
　　MicrosoftSQLServer的IntegrationServices服务进程。用于存储和执行提供管理支持。
　　属于： SQL Server

inetinfo.exe
描述：
　　inetinfo.exe主要用于支持微软Windows IIS网络服务的除错。这个程序对你系统的正常运行是非常重要的。

ImeUtil.exe
搜狗拼音的一个进程，如果您安装的是3.2之后的版本就会出现这个，占内存大概2M多
直接到搜狗的安装路径里把ImeUtil.exe删除掉了，这样没有任何影响（包括升级词库），也省得劳累ssm进行干预了，呵呵
但是，发现3.5.0.1088之前的版本没有任何问题，而一旦升级到3.6版本，如果再删除掉ImeUtil.exe，那么就会不断报错，然后升级词库也升级不了。（之前我在搜狗吧里发了个帖子询问为什么非要启动ImeUtil.exe这个进程，也许搜狗新版针对此点增强了保护机制………………）
建议：如果你很在乎资源的占用，建议使用3.5.0.1088或之前的版本，然后删除掉ImeUtil.exe，使用正常也可以升级词库

杀毒软件升到最新,多了两个进程：
scanfrm.exe 是2009版瑞星的空闲时段查杀进程，你要不用就在瑞星的设置中将空间时段查杀删除了，然后结束这个进程。
rsnetsvr.exe 这是瑞星软件的网络安全进程，要让它不启动容易啊，在开始菜单的“运行”输入“services.msc”确定后在服务里面找到这个项，右击完把它禁用就可以了。
rssafety.exe是瑞星的账号保险柜进程。

sqlserver.exe
描述：
是微软Microsoft SQL Server服务套装的一部分。该进程用于SQL基础服务。

sqlwriter.exe
进程分析:
MicrosoftSQLServer的SQL编写器服务，允许备份和还原应用程序以便在VolumeShadowCopyService(VSS)框架中进行操作。服务器上的所有SQL实例只有一个SQL编写器服务实例。

mscorsvw.exe
进程分析:
　　MicrosoftVirtulStdio2005Framework预编译工具。
程序用途: 后台预编译.net的assemblies
属于: Microsoft .NET Framework
备注:
　　什么是mscorsvw.exe，为什么它狂占用我的电脑的CPU？什么是“新CLR优化服务”？ mscorsvw.exe是在后台预编译.net的assemblies。一旦它执行完毕，就停止。一般来说，当你安装了.NET的分发程序，它就会先用5到10分钟预编译那些高优先级的assemblies，然后等到你的电脑空闲的时候再去处理那些低优先级的assemblies 。一旦它全部处理完毕，它将会终止，你将不会再看到mscorsvw.exe。很重要的一点是，当你看到CPU被100%地占用，这就是发生在它处于一个低优先级的进程之中，所以它尽可能地不让其他你正运行的进程抢占CPU。一旦所有的assemblies都被编译完毕，assemblies将能跨进程地分享内存页。一般来说，这时的热启动将会快得多，所以我们不再丢弃你的其他进程。如果你真的想要从你的任务管理器中消除mscorsvw.exe，可以这样做： ngen.exe executequeueditems 这就可以让其后所有排队等候的进程开始工作。
Microsoft.NETRuntimeOptimizationService是.NET运行优化服务进程。
.NET Runtime 的其他主要功能的设计目的是为组件开发提供第一手支持。对属性和事件的直接支持使得基于组件的编程变得更简单，而不需要特殊的接口和适配设计模式。自动内存管理处理棘手的对象生存期问题。序列化支持允许以多种格式编写“冻干”组件，包括基于业界标准 XML 的 SOAP（并不只是专利二进制格式），并且以后重新组织它们。有了调用和创建业界标准 Web 服务的能力，您可以向 Internet 上任何地方、使用任何设备的任何人展示组件，也可以使用 Internet 上任何地方的任何设备上的组件。例外提供了处理错误条件的有力、协调的方式。每个模块都具有内置的完整元数据，这意味着诸如动态创建和方法调用之类的功能更容易，也更安全。（.NET 甚至允许您灵活地创建和执行代码。）您可以控制应用程序使用的组件的版本，这使应用程序更可靠。最后，该代码是与处理器无关的和易于验证的中间语言 (IL)，而不是某一种特定的机器语言，这意味着组件不但可以在多种计算机上运行，而且可以确保组件不会覆盖它们不使用的内存，也不会潜在地导致系统崩溃。

.NET Runtime 包含这里提到的每一个关键特征，所以，您可以很容易地编写出有活力的面向对象的组件。

acrord32.exe 进程信息
中文参考：acrord32.exe是Adobe Acrobat Reader阅读器的一部分。该进程用于打开和察看PDF文档，它能够从Adobe.com下载。

reader_sl.exe
进程名称： Adobe Reader Speed Launch
描述：
　　reader_sl.exe是Adobe Reader相关程序。该进程用于减少打开PDF文件的读取时间。
注意：不是reader_s1.exe

wowexec.exe
解释：
　　一直以来大家认为这是WINDOWS的自动更新程序,只要关闭自动更新就不会再出现。
　　其实不是这样的，系统运行时读取和保存文件时，都会在硬盘上产生文件碎片，这不仅
　　影响硬盘的速度，而且对硬盘也会有损伤，而wowexec 或者 wowexec.exe则是当硬盘上
　　的文件碎片过多时，系统自动进行碎片整理，如果你有这个闲情雅致，可以开着任务管理
　　器，一直盯着这个进程，用不了多久，当碎片整理完后，进程就自动关闭了。所以大家完
　　全不用担心这个进程是不是病毒之类的。
　　另外补充一点，系统自动更新的进程是wuauclt.exe，这个进程确实是关闭自动更新后
　　就不会再出现。

conime
描述：
　　conime.exe是输入法编辑器相关程序。注意：conime.exe同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机，窃取密码和个人数据。建议立即删除此进程。
很多人问conime.exe是什么进程，而大部分人会参照国内外网上的进程描述，说是病毒并教他们怎么结束他。
　　大家都知道在运行cmd.exe之后进程中会出现一个conime.exe的进程。

GrooveMonitor.exe
进程分析:
　　Groove是MircosoftOffice2007企业版组件之一，该版本集成来来自微软并购的Groove网络公司的另外一项协作技术，它可以让一个项目小组实时同步一些文档，同时选择在同步之前进行离线操作。
　　Office Groove 2007 是一个协作软件程序，即便工作组成员是为不同的组织服务、远程工作或脱机工作，该程序都能帮助工作组成员随时、随地同任何人动态地进行有效的协同工作。在 Groove 工作区中工作，用户可以节省时间、提高效率，并提高工作组可交付结果的质量。2007 Microsoft Office system 努力帮助工作组和组织更有效进行协作，Office Groove 2007 仅是其中一例。
　　动态协同工作
　　使您的工作组、工具、文件和信息集中于一处。
　　只需点击两下鼠标，就能直接在您的计算机上创建 Groove 工作区。
　　邀请您的同事、合作伙伴和客户一同参加，而不必担心网络或服务器问题。
　　添加工具来支持工作组不断发展的需要：文件共享、讨论、会议、业务表单等等。

FlvDetector.exe
Windows防火墙例外选项中的FlvDetector.exe及高级选项中的FG2等是什么？
悬赏分：0 - 解决时间：2008-10-30 19:45
点“开始”，再点“设置”，再点“网络连接”，再右击“宽带连接”的属性，再点“高级”，再点“防火墙”“例外”，选项中有QQ，有FlvDetector.exe等，我可以删除QQ，但不敢动FlvDetector.exe，不知是什么东西。另外在“例外”右边的“高级”选项中“本地连接”与“宽带连接”的“设置、服务”中有FG1、FG2，我不敢去掉其前的钩，不知是什么。
请高手帮助我。

Windows防火墙例外选项中的FlvDetector.exe及高级选项中的FG2等是什么？

msiexec.exe（11月3日发现）
进程名称： Windows Installer Component
进程名称： msiexec.exe是Windows Installer的一部分。用于安装Windows Installer安装包(MSI)。这个程序对你系统的正常运行是非常重要的。
出现msiexec.exe进程原因：此进程一般在运行Microsoft Update安装更新的时候出现，占用内存比较大！

7lf5.exe
简介：病毒

rundll32.exe
简介：注意与rund1132.exe区别，因为后者是病毒。
描述：test for netguide..----Caiger2008
　　rundll32.exe用于在内存中运行DLL文件，它们会在应用程序中被使用。这个程序对你系统的正常运行是非常重要的。注意：rundl132.exe和rundll32.exe神似.但是rundl132.exe是W32.Miroot.Worm病毒。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。
Rundll32.exe是什么？顾名思义，“执行32位的DLL文件”。它的作用是执行DLL文件中的内部函数，这样在进程当中，只会有 Rundll32.exe，而不会有DLL后门的进程，这样，就实现了进程上的隐藏。如果看到系统中有多个Rundll32.exe，不必惊慌，这证明用 Rundll32.exe启动了多少个的DLL文件。当然，这些Rundll32.exe执行的DLL文件是什么，我们都可以从系统自动加载的地方找到。

wuauclt.exe
简介：Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使你无法得到最新更新信息。

System Idle P...
简介：系统闲置CPU量意思是说,CPU有多少未用.如果他等于0 说明你系统已经瘫痪了。

System
系统里确实有system这个进程，但注意，它并不是system.exe，可能是木马伪装而成的，还是先查查木马吧
　　进程文件:system.exe
　　进程名称:system.exe
　　描述:
　　system.exe是netcontroller木马病毒生成的文件，出现在c:/windows目录下，建议将其删除。但要系统的system进程区分开来。system进程是没有.exe的

RavMonD
进程名称：瑞星杀毒软件
　　描述：
　　RAVMOND.exe是瑞星杀毒软件相关监控程序。注意：RAVMOND.exe也可能是Lovegate.F木马相关程序。该木马允许攻击者访问你的计算机，窃取密码和个人数据。

RSTray.exe
RSTray.exe正确的位置是X:/Rising/AntiSpyware/RSTray.exe(X指的是你安装的盘符)
　　RSTray.exe是瑞星卡卡上网安全助手6.0的实时监控程序。你结束它的进程后，右下角的一个蓝色小球程序就没了。RSTray.exe是负责监控的，基本每种杀毒软件都带着这种类似的监控程序，防止病毒木马侵入，提醒拦截恶意广告用的。

rav.exe
进程名称：瑞星杀毒软件
　　描述：
　　rav.exe是瑞星杀毒软件主程序。

explorer.exe
所在路径： (系统安装目录盘)C：/windows/explorer.exe
　　进程全称： Microsoft Windows Explorer
　　中文名称：微软windows资源管理器
　　描述：
　　Windows 资源管理器，可以说是 Windows 图形界面外壳程序，它是一个有用的系统进程。注意它的正常路径是 C:/Windows 目录，否则可能是 W32.Codered 或 W32.mydoom.b@mm 病毒。explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播，当你打开病毒发送的附件时，即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。

smss.exe
简介：smss.exe(Session Manager Subsystem)，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Windows登录程序(winlogon.exe)，Win32子系统（csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程是正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂机）。

stormliv.exe
进程名称：暴风影音媒体控制中心
　　描述：
　　nvsvc32.exe是暴风影音媒体控制中心。
停止stormliv.exe进程的具体操作：
　　控制面板–> 管理工具–> 服务,找到“Contrl Center of Storm Media”，双击，在服务状态下点“停止”，启动类型中选“已禁用”或者“手动”。

TXPlatform.exe
描述：腾讯即时通讯客户端相关程序,用于阻止同一个QQ号在同一台电脑上登陆2次
　　和支持外部添加功能（如添加到用户自定义面板）。
　　这是2007年下半年腾讯公司更新的qq上的文件，原来的文件名是Timplatform.exe
　　可以删除以减少内存使用（将TXPFProxy.dll与TXPlatform.exe一起删除）。
　　这个进程通常出现于有远程协助开启的时候，对系统资源占用不多
虽然这个进程加载的很快，但是多少也影响点速度，加载了这个进程后也不能同时登陆两个相同的QQ号码，而且是进程就占用系统资源，可以说是百害而无一利，有没有办法让其不加载呢？办法当然是有的。
　　办法很简单，找到QQ目录里的TIMPlatform.exe文件，然后按Shift+Delete将其删除，OK，大功告成，看看QQ启动速度是不是快了？至少也要快1秒！（如果你的电脑是古董级的，登陆速度会明显加快哟！）
　　而且现在也能同时登陆两个相同的QQ号码了，还能倒出一点点CPU和内存来，是不是不错噢。
　　PS：如果提示TIMPlatform.exe正在使用，那你先将TIMPlatform.exe进程结束掉，然后再删；如果你不会结束进程的话就重启电脑，先不要运行QQ，把QQ目里的TIMPlatform.exe删掉就OK了
　　注意：在QQ2007beat2-1以后的该进程变成TxPlatform了，一样的作用，我都不在细讲了
　　另一种阻止方法：可以用HIPS软件阻止该进程创建（如SSM），规则设置为阻止即可（这样就算下次升级QQ，该进程也不能创建）。
　　QQ音乐与TXPlatform.exe这个进程有关联如果把QQ目录下TXPlatform.exe文件删掉那么您QQ音乐上播放的音乐将无法在QQ状态栏中显示。但是你不用QQ音乐这个软件是可以删掉。对系统和QQ没有影响
　　另一说法：
　　TXPlatform.exe的作用是释放QQ使用过程中资源。 TXPlatform虽然占了一定的内存，但是如果不启动TXPlatform你的QQ会占用更大的资源。经测试不开TXPlatform的QQ2小时后内存占用会达30+MB，虚拟内存70+MB，而开着TXPlatform的QQ内存占用始终是10MB以内，虚拟内存40MB以内（如果视频或语音内存会临时增加，结束后内存会立即释放) 。
　　有心人自己试一试。

csrss.exe
描述：
是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。注意：csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播，当你打开附件时，即被感染。该蠕虫会在受害者机器上建立SMTP服务，用以自身传播。该病毒允许攻击者访问你的计算机，窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
注意，正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示，终止进程后会蓝屏。
正常情况下在Windows NT/2000/XP/2003系统中只有一个csrss.exe进程，位于System32文件夹中，若以上系统中出现两个csrss.exe 进程(其中一个位于 Windows 文件夹中)，或在Windows 9X/Me系统中出现该进程，则是感染了病毒。Windows Vista有两个csrss.exe进程。

winlogon.exe
描述：
　　Windows Logon Process，Windows NT 用户登陆程序，管理用户登录和退出。该进程的正常路径应是 C:/Windows/System32 且是以 SYSTEM 用户运行，若不是以上路径且不以 SYSTEM 用户运行，则可能是 W32.Netsky.D@mm 蠕虫病毒，该病毒通过 EMail 邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建 SMTP 引擎在受害者的计算机上，群发邮件进行传播。手工清除该病毒时先结束病毒进程 winlogon.exe，然后删除 C:/Windows 目录下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再清除 AOL instant messenger 7.0 服务，位于注册表 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services] 下的 aol7.0 键。

services.exe
描述
　　services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。正常的services.exe应位于%systemroot%/System32文件夹中,也就是在进程里用户名显示为“system”，不过services也可能是W32.Randex.R(储存在%systemroot%/system32/目录)和Sober.P (储存在%systemroot%/Connection Wizard/Status/目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

lsass.exe
描述：
lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。
　　如果你的启动菜单（开始-运行-输入“msconfig”）里有个lsass.exe启动项，那就证明你的lsass.exe是木马病毒，中毒后，在进程里可以见到有两个相同的进程，分别是lsass.exe和LSASS.EXE，同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行，LSASS.EXE管理exe类执行文件，exert.exe管理程序退出，还会在D盘根目录下产生command.com和 autorun.inf两个文件，同时侵入注册表破坏系统文件关联。以下说一下本人对该病毒的杀法，以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到 D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS 运行，用scanreg/restore 命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件，全面杀毒，清除余下的病毒！

ati2evxx.exe
进程名称： ATI External Event Utility EXE Module
描述：
　　ati2evxx.exe是ATI显示卡增强工具。它用于管理ATI HotKey特性

svchost.exe
进程名称： Generic Service Host Process for Win32 Services
进程类别：系统进程
位置：C:/windows/system32/svchost.exe (如果你的svchost.exe进程不是在这个目录下的话，那么就要当心了)
描述：
svchost.exe是一个属于微软Windows操作系统的系统程序，微软官方对它的解释是：Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对你系统的正常运行是非常重要,而且是不能被结束的。
　　(注意：svchost.exe也有可能是W32.Welchia.Worm病毒，它利用Windows LSASS漏洞，制造缓冲区溢出，导致你计算机关机。更多详细信息参考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx，该进程的安全等级是建议立即删除。)

RTHDCPL.exe
进程名称： Realtek HD Audio Sound Effect Manager
描述：
　　RTHDCPL.exe是Realtek声卡特性设置软件相关程序。
rthdcpl.exe应该是声卡的一个音效或者控制面板的进程,关闭他不会影响声音的.因为我们平时基本不会用这个控制面板调整音效.声音默认值几可以了.我每次装系统后都会禁用这个控制面板.
　　你可以在运行里输入"msconfig"查看启动项,如果有声卡控制面板的启动项删掉他就可以了.
　　记得修改启动项后,要重起电脑才能起作用

MOM.exe
如果是装了新的ATI驱动的话那应该是正常的。
　　如果不是，应该是木马。

CCenter.exe
描述:ccenter.exe是瑞星信息中心，是瑞星杀毒软件的组件。

daemon.exe
进程名称： Daemon Tools
　　描述：
　　daemon.exe是一个后台程序，用于打开例如iso之类的镜像文件，做成虚拟光驱文件。

mDNSResponder.exe
进程名称： Bonjour for Windows Component
　描述：
　　mDNSResponder.exe是一款名为Bonjour的音乐分享软件相关程序。
　　出品者： Apple
这个进程很多时候是安装了ADOBE CS3 之后出现的。不过，苹果公司的一些产品（如 Safari 浏览器）中也捆绑有它，不过在安装前会询问，而且在系统的“添加或者删除程序”中也有卸载入口。
　　它在windows服务里面加了一个服务项。进程为mDNSResponder.exe。
　　解决方法：
　　运行"C:/Program Files/Bonjour/mDNSResponder.exe" -remove
　　打开 C:/Program Files/Bonjour ，重命名 mdnsNSP.dll 为 mdnsNSP.old
　　重启电脑
　　删除 Program Files/Bonjour 文件夹
　　到此清理完毕。
　　有用的清除方法
　　1.开始→控制面板→管理工具→服务,把那个像乱码一样的服务停止并禁用.这样开机就不加载这项服务了,并不能完全杀灭,还需继续进行下一步.
　　2.重启,删除 C:/Program Files目录下的 Bonjour文件夹,如遇无法删除请重复第一步后将此文件夹下的DLL文件改名,将后缀改为.old文件,重启后再删除即可.
　　3.最后清理注册表,开始→运行→regedit,搜索Bonjour,将搜索到的键值删除.次服务到此全部清理完毕.

smnet_c.exe
路径：..、Net Manager/client
描述：是网络管理【被控端】的相关进程。(教师机可以直接控制学生机的电脑)

RavMonD.exe
　　进程文件： RAVMOND 或者 RAVMOND.exe
　　进程名称：瑞星杀毒软件
　　描述：
　　RAVMOND.exe是瑞星杀毒软件相关监控程序。注意：RAVMOND.exe也可能是Lovegate.F木马相关程序。该木马允许攻击者访问你的计算机，窃取密码和个人数据。

进程文件: lkcitdl.exe
进程名称: National Instruments Part of Logos
英文描述: lkcitdl.exe is a process associated with National Instruments Logos from National Instruments, Inc..
进程分析: LabVIEW相关程序。LabVIEW是NationalInstruments,Inc.出品的一种图形化的编程语言，用于快速创建灵活的、可升级的测试、测量和控制应用程序。使用LabVIEW，工程师和科学家们可以采集到实际信号，并对其进行分析得出有用信息，然后将测量结果和应用程序进行分享。无论您是否有编程经验，使用LabVIEW，您都可以方便快捷地开发测量程序。

RAVtask.exe
进程名称: RavTasK.exe(瑞星任务计划程序)
　　完整路径: C:/Program Files/Rising/Rav/RavTask.exe
　　安全级别: 应用程序－安全
“RavTask.exe遇到问题需要关闭.”这种错误的常见原因:
　　一、应用程序没有检查内存分配失败
　　程序需要一块内存用以保存数据时，就需要调用操作系统提供的“功能函数”来申请，如果内存分配成功，函数就会将所新开辟的内存区地址返回给应用程序，应用程序就可以通过这个地址使用这块内存。这就是“动态内存分配”，内存地址也就是编程中的“指针”。
　　内存不是永远都招之即来、用之不尽的，有时候内存分配也会失败。当分配失败时系统函数会返回一个0值，这时返回值“0”已不表示新启用的指针，而是系统向应用程序发出的一个通知，告知出现了错误。作为应用程序，在每一次申请内存后都应该检查返回值是否为0，如果是，则意味着出现了故障，应该采取一些措施挽救，这就增强了程序的“健壮性”。
　　若应用程序没有检查这个错误，它就会按照“思维惯性”认为这个值是给它分配的可用指针，继续在之后的运行中使用这块内存。真正的0地址内存区保存的是计算机系统中最重要的“中断描述符表”，绝对不允许应用程序使用。在没有保护机制的操作系统下(如DOS)，写数据到这个地址会导致立即死机，而在健壮的操作系统中，如Windows等，这个操作会马上被系统的保护机制捕获，其结果就是由操作系统强行关闭出错的应用程序，以防止其错误扩大。这时候，就会出现上述的“写内存”错误，并指出被引用的内存地址为“0x00000000”。
　　内存分配失败故障的原因很多，内存不够、系统函数的版本不匹配等都可能有影响。因此，这种分配失败多见于操作系统使用很长时间后，安装了多种应用程序(包括无意中“安装”的病毒程序)，更改了大量的系统参数和系统文件之后。
　　二、应用程序由于自身BUG引用了不正常的内存指针
　　在使用动态分配的应用程序中，有时会有这样的情况出现：程序试图读写一块“应该可用”的内存，但不知为什么，这个预料中可用的指针已经失效了。有可能是“忘记了”向操作系统要求分配，也可能是程序自己在某个时候已经注销了这块内存而“没有留意”等等。注销了的内存被系统回收，其访问权已经不属于该应用程序，因此读写操作也同样会触发系统的保护机制，企图“违法”的程序唯一的下场就是被操作终止运行，回收全部资源。计算机世界的法律还是要比人类有效和严厉得多啊！像这样的情况都属于程序自身的BUG，你往往可在特定的操作顺序下重现错误。无效指针不一定总是0，因此错误提示中的内存地址也不一定为“0x00000000”，而是其他随机数字。
　　如果系统经常有所提到的错误提示，下面的建议可能会有帮助：
　　1.查看系统中是否有木马或病毒。这类程序为了控制系统往往不负责任地修改系统，从而导致操作系统异常。平常应加强信息安全意识，对来源不明的可执行程序绝不好奇。
　　2.更新操作系统，让操作系统的安装程序重新拷贝正确版本的系统文件、修正系统参数。有时候操作系统本身也会有BUG，要注意安装官方发行的升级程序。
　　3.试用新版本的应用程序。
　　感觉是病毒的可能性非常大，建议重新安装杀毒软件试一下。
　　简单的解决办法是“开始”——“运行”-输入“MSCONFIG”——“启动”，把有RAVTASK。EXE这一项前面的对勾点掉，然后重新启动
　　出现这种情况无非是以下几种原因造成的。
　　1，硬件冲突引起,进行硬件排查，更换硬件。
　　2，软件冲突引起，是否新安装软件引起，卸载新安装的软件。
　　3，病毒引起，升级杀毒软件至最新版，安全模式下杀毒。

taskmgr.exe
进程名称： The Windows Task Manager.
　　描述：taskmgr.exe用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开，这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。
最近电脑突然卡，发现进程了多了很多许多个taskmgr.exe
　　感觉不对，马上用专业的在线杀毒http://www.antidu.cn/board/online/ 查杀
　　瑞星报毒！！
　　样本提供者还提供了一个Gameeeeeee.vbs。监控了一下其运行：Gameeeeeee.vbs运行后，到 C:/Documents and Settings/Administrator/Local Settings/Temp目录下找Gameeeeeee.pif。找到后，即刻加载运行之。看来，这可能是个来自网络的脚本病毒。
　　我事先用工具禁止了任何程序针对%system%/drivers目录的创建/写入操作，然后在影子环境下运行此病毒样本，重启后，系统一切正常（system32目录下以及dllcache目录下的debug.exe、taskmgr.exe等还是系统程序，病毒未能改写之）。
　　这里的关键是：病毒在%system%/drivers目录下释放ntkapi.sys的动作被俺成功阻截了。
　　至于病毒可能释放驱动的其它位置，如：系统根目录、%Program Files%Internet Explorer/PLUGINS目录、当前用户temp目录、%windows%/temp目录.....，用户也应采取恰当防护措施，禁止外来程序在上述目录下创建.sys文件。

spoolsv.exe
进程名称： Microsoft Printer Spooler Service
　　描述：
　　spoolsv.exe 是Print Spooler的进程，管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。该进程属 Windows 系统服务。
spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全级别是建议立即删除。

RavStub.exe
描述：
　　RavStub.exe是瑞星杀毒软件相关程序。

CCC.exe
进程名称: Catalyst Control Centre: Host application
　　描述:
　　ccc.exe 是ATI 公司出品的ATI显卡控制中心的一个程序。这个程序不是必须的程序。如果它给你的计算机系统造成不稳定，可以删除它。

ctfmon.exe
进程名称: Alternative User Input Services
　　描述：
　　ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序，和微软Office XP语言条。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。
　　程序ctfmon.exe是有关输入法的一个可执行程序，系统默认情况下是随电脑开机而自动启动的。如果你设置了ctfmon.exe不随机自动启动，进入系统后你的电脑任务栏中的输入法图标（即语言栏）就不见了。
　　要设置ctfmon.exe随机自动启动，可以单击“开始”——>“运行”——>输入“msconfig”（引号不要输入），回车——>打开“系统配置使用程序”窗口——>选择“启动”页，找到ctfmon项并在其前面打上钩，按“应用”、“确定”，重启机器即可生效。
　　如果在“启动”页，找不到ctfmon项，说明注册表中已将该项删除，可以单击“开始”——>“运行”——>输入“regedit”（引号不要输入），回车——>打开“注册表编辑器”，定位到HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run，在窗口的右侧新建名字为ctfmon.exe的字符串值（REG_SZ），并将其值设置为“C:/WINDOWS/system32/ctfmon.exe”，然后关闭注册表编辑器，再执行前一步的操作即可.

ppsap.exe
描述：
　　ppstream每次启动都会另开一个进程“网络加速器”(ppsap.exe) ，
　　(1) 每次开机都会自动运行,
　　(2) 退出ppstream之后会继续存在，
　　(3) 可手动在任务管理器里结束，
　　(4) 自动访问网络。也就是说，即使你退出ppstream了，你的电脑还在为其他观看者提供网络流量。占用一定带宽。
　　出品者：PPS网络电视
停止ppsap.exe进程的具体操作：
打开ppstream，然后：“工具”-> “选项”->“点播服务 ”-> 勾掉“允许pps加速器”. 不过这样一来观看画面可能不如以前流畅。也可以直接在任务管理器中结束ppsap.exe进程，播放ppstream时会自动加载ppsap.exe ，不影响正常使用。
　　禁止ppsap.exe在开机时自动运行方法：一般杀毒软件（比如卡巴斯基）都带有注册表保护功能，只需在杀毒软件内禁止ppsstream写入信息到注册表即可。以卡巴斯基为例，先确定开启注册表保护功能（默认为开启），ppstream 在安装或点播时都会自动向系统注册表启动项里写入ppsap.exe。此时卡巴斯基会跳出警告窗口，询问阻止或允许，在选择阻止之前，勾选创建规则。这样ppstream每次向注册表启动项添加ppsap.exe 时就会被卡巴斯基禁止。也可以直接在开始——运行菜单输入msconfig，在启动项中把ppsap前面的钩去掉。

gammatray.exe
进程名称： MagicTune 2.5
　　描述：
　　gammatray.exe是三星显示器MagicTune调节软件相关程序。
　　出品者：三星

lkads.exe
　　nidmsrv.exe，nisvcloc.exe ，lkcitdl.exe，lktsrv.exe,lkads.exe是National Instruments安装后，在系统启动后多出的5个进程，涉及到四项服务，应改为手动并关闭。
　　三项以National Instruments开头的：
　　National Instruments Domain Service ---------> nidmsrv.exe
　　National Instruments PSP Server Locator
　　National Instruments Time Synchronization
　　一项为
　　NI Service Locator ---------------------------> nisvcloc.exe
　　可以在服务里改，也可以在dos窗口下输入：
　　lkcitdl -remove
　　lktsrv -remove
　　lkads -remove
　　在需要时输入：
　　lkcitdl -install -manual
　　lktsrv -install -manual
　　lkads -install -manual

MagicTuneEngine.exe
描述：显示器调节工具，与MagicTune.exe一起开动，但不一起关闭，若强行关闭，则在重启电脑前不能再次打开MagicTune.exe

nidmsrv.exe
进程分析:
　　LabVIEW相关程序。LabVIEW是NationalInstruments,Inc.出品的一种图形化的编程语言，用于快速创建灵活的、可升级的测试、测量和控制应用程序。使用LabVIEW，工程师和科学家们可以采集到实际信号，并对其进行分析得出有用信息，然后将测量结果和应用程序进行分享。无论您是否有编程经验，使用LabVIEW，您都可以方便快捷地开发测量程序。

nisvcloc.exe
LabVIEW相关程序。LabVIEW是NationalInstruments,Inc.出品的一种图形化的编程语言，用于快速创建灵活的、可升级的测试、测量和控制应用程序。使用LabVIEW，工程师和科学家们可以采集到实际信号，并对其进行分析得出有用信息，然后将测量结果和应用程序进行分享。无论您是否有编程经验，使用LabVIEW，您都可以方便快捷地开发测量程序。
　　出品者： National Instruments

NOTEPAD.exe
　　notepad - notepad.exe - 进程信息
　　进程文件： notepad 或者 notepad.exe
　　进程名称： Notepad.exe
　　描述： notepad.exe是Windows自带的记事本程序。
　　正常位置：C:/WINDOWS/Notepad.exe 或　C:/WINDOWS/system32/Notepad.exe 或C:/WINDOWS/system32/dllcache/Notepad.exe

RsAgent.exe
进程名称： Rising Agent
　　描述：
　　RsAgent.exe是瑞星杀毒软件精灵程序，RsAgent.exe也可能是红蜘蛛多媒体网络教室软件相关程序。
　　出品者： Rising

PDSched.exe
进程文件： pdsched or pdsched.exe
　　进程名称： PerfectDisk Scheduler
　　描述：
　　pdsched.exe是raxco perfectdisk磁盘碎片整理计划任务程序。注意：pdsched.exe也可能是sdbot.cn蠕虫病毒。
　　出品者：Raxco

agentsvr.exe
进程名称： Microsoft Agent Server
　　描述：
　　agentsvr.exe是一个ActiveX插件，用于多媒体程序。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。
　　所在位置:C:/WINDOWS/msagent/
Office运行时，出现该进程则为Office助手进程
　　若强行终止该进程，则Office助手将自动关闭
　　本进程一般为正常进程，无须担心
　　瑞星杀毒软件的助手进程也是agentsvr.exe
　　只要把助手退出进程就会结束
　　简单说就是启动瑞星杀毒软件的时候，狮子卡卡就蹦出来了，退出瑞星杀毒软件之后，狮子卡卡不会随着消失，而这个进程就是狮子卡卡的进程，完全可以将其结束掉！

alg.exe
进程名称： Application Layer Gateway Service
　　路径:C:/WINDOWS/system32/alg.exe
　　命令行:C:/WINDOWS/System32/alg.exe
　　文件描述:Application Layer Gateway Service
描述：
　　alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。

Windows进程小结相关推荐

PowerShell 2.0 实践（四）管理Windows进程
上一次我们对Windows服务进行了简单的管理,学习了获取本地及远程计算机上服务的方法,以及查找特定服务,开始.结束.暂停.恢复服务等操作.本次我们来关注一下Windows管理中另一个核心内容:进程管 ...
操作系统课设之Windows 进程管理
前言课程设计开始了,实验很有意思,写博客总结学到的知识白嫖容易,创作不易,学到东西才是真本文原创,创作不易,转载请注明!!! 本文链接个人博客:https://ronglin.fun/arch ...
操作系统课设——Windows 进程管理
一.实验目的 (1)学会使用 VC 编写基本的 Win32 Consol Application(控制台应用程序). (2)通过创建进程.观察正在运行的进程和终止进程的程序设计和调试操作,进一步熟悉操 ...
几种Windows进程通信
32位Windows采用虚拟内存技术使每个进程虚拟4G内存,在逻辑上实现了对进程之间数据代码的分离与保护.那么相应的进程之间的通信也就有必要整理掌握一下. Windows进程间通讯的方法有很多:管道. ...
Zabbix安装(十)：监控windows进程
1.监控windows进程的几个KEYS: proc.mem[<name>,<user>,<mode>,<cmdline>] Memory used b ...
zabbix监控windows进程
配置相关信息 server: linux centos 6.8 agent: windows server 2008 r2 ...
Windows进程与线程学习笔记（九）—— 线程优先级/进程挂靠/跨进程读写
Windows进程与线程学习笔记(九)-- 线程优先级/进程挂靠/跨进程读写要点回顾线程优先级调度链表分析 KiFindReadyThread 分析 KiSwapThread 总结进程挂靠 ...
Windows进程与线程学习笔记（八）—— 线程切换与TSS/FS
Windows进程与线程学习笔记(八)-- 线程切换与TSS/FS 要点回顾线程切换与TSS 内核堆栈调用API进0环实验:分析SwapContext 线程切换与FS 段描述符结构分析Swap ...
Windows进程与线程学习笔记（七）—— 时间片管理
Windows进程与线程学习笔记(七)-- 时间片管理要点回顾基本概念 CPU时间片分析 KeUpdateRunTime 分析 KiDispatchInterrupt 备用线程总结要点回顾 ...

Windows进程小结

Windows进程小结相关推荐

最新文章

热门文章