windows后台常用程序详细介绍.docVIP

conime.exe：conime.exe是输入法编辑器相关程序。允许用户使用标准键盘就能输入复杂的字符与符号，需要注意它同时可能是一个bfghost1.0远程控制后门程序。此程序允许攻击者访问你的计算机，窃取密码和个人数据。建议立即删除此进程。 System：系统的system进程区分开来。system进程是没有exe的。system.exe是netcontroller木马病毒生成的文件，出现在c:\windows目录下，建议将其删除。 nvsvc32.exe：nvsvc32.exe 是一个进程，属于NVIDIA显卡驱动程序。这个进程不应该被删除，以确保您的图形卡驱动程序是否工作正常。nvsvc32.exe - nvsvc32 - 进程管理信息- 进程文件： nvsvc32 or nvsvc32.exe。 svchost.exe：svchost.exe是一个属于微软Windows操作系统的系统程序，微软官方对它的解释是：Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要，而且是不能被结束的。svchost.exe可以几个同时存在，windows 2000一般有2个svchost进程，一个是RPCSS（Remote Procedure Call）服务进程，另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中，则一般有4个以上的svchost.exe服务进程，在XP之后的系统中则更多（WIN7一般是6个，但所有系统中数目都不是绝对的，有时候多一点少一点也是正常现象，是不是病毒也不能杞人忧天，需要用合理的方法来判断），可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。 smss.exe：smss.exe (Session Manager Subsystem)，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Windows登录程序(winlogon.exe)，Win32子系统（csrss.exe）线程和设定的系统变量作出反映。 winlogon.exe ：Windows Logon Process，Windows NT 用户登陆程序，管理用户登录和退出。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行，若不是以上路径且不以 SYSTEM 用户运行，则可能是 W32.Netsky.D@mm 蠕虫病毒，该病毒通过 EMail 邮件传播，当你打开病毒发送的附件时，即会被感染。正常的winlogon系统进程，其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名，且程序名为大写的WINLOGON.exe。 csrss.exe：Client/Server Runtime Server Subsystem，客户端服务子系统，用以控制 Windows 图形相关子系统。正常情况下在Windows NT/2000/XP/2003系统中只有一个csrss.exe进程，位于System32文件夹中，若以上系统中出现两个csrss.exe 进程(其中一个位于 Windows 文件夹中)，或在Windows 9X/Me系统中出现该进程，则是感染了病毒。Windows Vista有两个csrss.exe进程。 services.exe：services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。正常的services.exe应位于%systemroot%\System32文件夹中，也就是在进程里用户名显示为“system”，不过services也可能是W32.Randex.R（储存在%systemroot%\system32\目录）和Sober.P （储存在%systemroot%\Connection Wizard\Status\目录）木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。 lsass.exe：lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，