Windows XP系统进程详解

ALG.EXE进程文件：alg 或者alg.exe进程名称：Application Layer Gateway Service路径:C:\WINDOWS\system32\alg.exe命令行:C:\WINDOWS\System32\alg.exe文件描述:Application Layer Gateway Service出品公司:Microsoft Corporation文件大小:43 KB文件版本:5.1.2600.2180MD5 值:a9de20df2c89b6b2ffda0e6cd52a8599描述：alg.exe是微软Windows操作系统自带的程序。

它用于处理微软Windows网络连接共享和网络连接防火墙。

这个程序对你系统的正常运行是非常重要的。

应用进程用英文描述：alg.exe is a Microsoft Windows operating system built-in procedures. It is used to deal with the Microsoft Windows Network Connection Sharing and Internet Connection Firewall. This procedure is the normal operation of your system is very important.属于：Microsoft Windows Operating System（windows系统）系统进程：是后台程序：是使用网络：是硬件相关：否常见错误：未知N/A内存使用：未知N/A间谍软件：否广告软件：否病毒：否木马：否病毒alg 或alg.exe1. alg.exe是什么病毒？1) 如果此文件在C:\windows\alg.exe (标准地址为C:\windows\system32\alg.exe 这里前面的写的是一种病毒)这是一个病毒样本eraseme_88446.exe 释放到系统中的。

smss.exe Session Managercsrss.exe 子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 管理IP 安全策略以及启动ISAKMP/Oakley (IKE) 和IP 安全驱动程序。

(系统服务)产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。

(系统服务)svchost.exe 包含很多系统服务SPOOLSV.EXE 将文件加载到内存中以便迟后打印。

(系统服务)explorer.exe 资源管理器internat.exe 托盘区的拼音图标1、alg.exealg.exe进程文件是微软Windows操作系统自带的程序，用于处理微软Windows网络连接共享和网络连接防火墙。

应用程序网关服务，为Internet连接共享和Windows防火墙提供第三方协议插件的支持。

alg.exe进程文件是微软Windows操作系统自带的程序，用于处理微软Windows网络连接共享和网络连接防火墙，应用程序网关服务，为Internet连接共享和Windows防火墙提供第三方协议插件的支持。

alg.exe进程文件内存使用约4000KB左右。

在Windows XP中，该进程文件位于C:\Windows\system32\系统目录之下，这个程序对你系统的正常运行非常重要的，最好不要结束此进程。

如果此文件出现在C:\windows\alg.exe系统目录下，则可能是病毒。

另外，当alg.exe(或alg)为大写ALG.exe(或ALG)时，将无法上网(多为无线上网)。

只需将用户注销后重新登录即可。

2、spoolsv.exespoolsv.exe 是Print Spooler的进程，管理所有本地和网络打印队列及控制所有打印工作。

如果此服务被停用，本地计算机上的打印将不可用。

该进程属Windows 系统服务。

木马spoolsv进程信息:描述: 这个垃圾软件利用将msicn\msibm.dll插入多个进程的方法对系统进行监控，在system32下创建如下的东西：wmpdrm.dll 1116\ msicn\msibm.dllmsicn\ube.exe msicn\plugins\ spoolsv\spoolsv.exe(这个还长得像微软打印服务，shit！！）注册表加入如下垃圾：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "spoolsv"="%System%\spoolsv\spoolsv.exe -printer"[HKEY_CLASSES_ROOT\CLSID\\InprocServer32] @="%System%\wmpdrm.dll" [HKEY_CLASSES_ROOT\wmpdrm.cfsbho][HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1] [HKEY_CLASSES_ROOT\TypeLib\] [HKEY_CLASSES_ROOT\Interface\] 然后每隔4秒左右对以上东西进行监控，前后互相照应，让你无从下手启动项c:/windows/system32/spoolsv/spoolsv.exe -printercfs2…… 相关文件、目录：%System%\wmpdrm.dll %System%\1116\ %System%\msicn\msibm.dll%System%\msicn\ube.exe %System%\msicn\plugins\ %System%\spoolsv\spoolsv. exe %System%\spoolsv\spoolsv.exe，有一个启动项：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "spoolsv"="%System%\spoolsv\spoolsv.exe -printer" 运行后会调用%System%\msicn\msibm.dll，创建%System%\1116\目录，备份用。

Windows XP常见进程1、基本系统进程进程名进程说明可否关闭Smss.exe 会话管理子系统，负责启动用户会话。

此进程对许多活动的线程和设定的系统变量作出反映否Service.exe 包含Alerter、Event Log、Plug And Play等系统服务否Svchost.exe 系统的核心进程，通常可看到多个Svchost.exe进程，它们加载多个系统服务否Csrss.exe 子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境否Winlogon.exe 管理用户登录和退出否Lsass.exe 用来存储本地用户账户的安全信息，管理域登录，支持网络计算机登录身份验证事件否Explorer.exe 资源管理器，包括任务条，桌面等可Taskmagr.exe 任务管理器可System Idle Process 这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分配处理器的时间否Internat.exe 输入控制图标，用于更改类似国家设置、键盘类型和日期格式，它加载由用户指定的不同的输入点可2、附加系统进程进程名称对应服务对应服务说明服务操作建议Clipsrv.exe Clipbook 剪贴簿。

启用“剪贴簿查看器”储存信息并实现远程计算机共享停止Netdde.exe Network DDE 网络动态数据交换服务。

为在同一台计算机或不同计算机上运行的程序提供动态数据交换（DDE）的网路传输和安全如无须Clipbook服务，停止Network DdeDsdm网络动态数据交换网络共享服务。

管理动态数据交换（DDE）网络共享如无须Network DDE服务，停止Dllhost.exe COM+ SystemApplicationCOM+系统应用服务。

管理基于COM+组件的配置和跟踪启动MS SoftwareShadow CopyProvider管理磁盘区卷复制服务。

开机时Windows XP系统常见进程列表我们在开机之前经常会发现一些Windows XP系统常见进程列表问题，而这些问题一个怎么解决？下面我们将一一为你解答！(1) notepad.exe是windows自带的记事本程序。

是windows默认用来打开和编辑文本文件的程序。

(2)realplay.exe是Real Networks公司相关程序，Real Player用于播放视频文件，例如MPEG和AVI。

(3)services.exe是微软windows操作系统的一部分。

用于管理启动和停止服务。

该进程也会处理在计算机启动和关机时运行的服务。

这个程序对你系统的正常运行是非常重要的。

注意：services也可能是w32.randex.r(储存在％systemroot％\system32\目录)和sober.p (储存在％systemroot％\connection wizard\status\目录)木马。

该木马允许攻击者访问你的计算机，窃取密码和个人数据。

该进程的安全等级是建议立即删除.(4)smss.exe是微软windows操作系统的一部分。

该进程调用对话管理子系统和负责操作你系统的对话。

这个程序对你系统的正常运行是非常重要的。

注意：smss.exe也可能是dex.a木马。

该木马允许攻击者访问你的计算机，窃取密码和个人数据。

请注意此进程所在的文件夹，正常的进程应该是在windows的system32和servicepackfiles\i386下面.(5)spoolsv.exe用于将windows打印机任务发送给本地打印机。

注意:spoolsv.exe也有可能是backdoor.ciadoor.b木马。

该木马允许攻击者访问你的计算机，窃取密码和个人数据。

请注意此进程所在的文件夹，正常的进程应该是在windows的system32和servicepackfiles\i386下面。

如果出现在spoolsv目录下，则可能一些ie插件的文件，建议使用反间谍进行扫描。

任何病毒和木马存在于系统中，都无法彻底和进程脱离关系，即使采用了隐藏技术，也还是能够从进程中找到蛛丝马迹，因此，查看系统中活动的进程成为我们检测病毒木马最直接的方法。

但是系统中同时运行的进程那么多，哪些是正常的系统进程，哪些是木马的进程，而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢？请看本文........当我们确认系统中存在病毒，但是通过“任务管理器”查看系统中的进程时又找不出异样的进程，这说明病毒采用了一些隐藏措施，总结出来有三法：1.以假乱真系统中的正常进程有：svchost.exe、explorer.exe、iexplore.exe、winlogon.exe等，可能你发现过系统中存在这样的进程：svch0st.exe、explore.exe、iexplorer.exe、winlogin.exe。

对比一下，发现区别了么?这是病毒经常使用的伎俩，目的就是迷惑用户的眼睛。

通常它们会将系统中正常进程名的o改为0，l改为i，i改为j，然后成为自己的进程名，仅仅一字之差，意义却完全不同。

又或者多一个字母或少一个字母，例如explorer.exe 和iexplore.exe本来就容易搞混，再出现个iexplorer.exe就更加混乱了。

如果用户不仔细，一般就忽略了，病毒的进程就逃过了一劫。

2.偷梁换柱如果用户比较心细，那么上面这招就没用了，病毒会被就地正法。

于是乎，病毒也学聪明了，懂得了偷梁换柱这一招。

如果一个进程的名字为svchost.exe，和正常的系统进程名分毫不差。

那么这个进程是不是就安全了呢?非也，其实它只是利用了“任务管理器”无法查看进程对应可执行文件这一缺陷。

我们知道svchost.exe进程对应的可执行文件位于“C:\WINDOWS\system32”目录下(Windows2000则是C:\WINNT\ system32目录)，如果病毒将自身复制到“C:\WINDOWS\”中，并改名为svchost.exe，运行后，我们在“任务管理器”中看到的也是svchost.exe，和正常的系统进程无异。

TXPlatform.exe是腾讯即时通讯客户端相关程序,用于阻止同一个QQ号在同一台电脑上登陆2次和支持外部添加功能。

(不建议关闭）svchost.exe是系统进程，在XP系统中进程数量较多，正常，不能关闭！zhudongfangyu.exe，是主动防御的拼写，360进程。

360rp/360rps是360杀毒进程。

360tray，360进程。

safeboxtray.exe，360保险箱进程。

nvsvc32，显卡驱动进程。

以上进程不建议关闭。

taskmgr.exe，任务管理器进程，可以结束进程。

computerZ_cn是鲁大师进程，关闭程序时进程自动结束。

QQDL可以关闭，是QQ多用户一键登录，可以实现一键自动登录你所有QQ 用户。

sogouCloud.exe是搜狗输入法的进程。

（关闭后会被再次自动启动）iexplore.exe是IE浏览器进程，打开页面多了自然会重复。

（若结束进程，则会导致IE页面被关闭）其他均为系统进程，不建议关闭。

望满意！！！关于任务管理器里的进程一般有几个运行的程序的资料你参考下：1.System windows系统进程，一个重要的进程，权限比计算机管理员还大，要是你想结束它那你就高估你自己了，如果强行结束它，结果60秒倒记时重新启动，没有任何机会后悔。

2.System Idle Process 系统进程，它的作用是显示系统有多少闲置的cpu资源。

System Idle Process进程的作用是在系统空闲的时候分派CPU的时间，如果它显示的超过百分之多少以上的CPU资源并不是指的它占用了这么多CPU资源，恰恰相反，而是表示有百分之多少以上的CPU资源空闲了出来，这里的数字越大表示CPU资源越多，数字越小则表示CPU资源紧张。

该进程是系统运行必需的，不能禁止。

3.svchost Service Host Process是一个标准的动态连接库主机处理服务。

Svchost用来启动服务。

smss.‎e xe ‎ se‎s sion‎ mana‎g er‎c srss‎.exe ‎ 子‎系统服务器‎进程wi‎n logo‎n.exe‎ 管理‎用户登录‎s ervi‎c es.e‎x e ‎包含很多系‎统服务l‎s ass.‎e xe ‎ 管理‎ip 安‎全策略以及‎启动 is‎a kmp/‎o akle‎y (ik‎e) 和‎i p 安全‎驱动程序。

‎svch‎o st.e‎x e ‎wind‎o ws 2‎000/x‎p的文件‎保护系统‎s pool‎s v.ex‎e ‎将文件加载‎到内存中以‎便迟后打印‎。

)ex‎p lore‎r.exe‎ 资源‎管理器i‎n tern‎a t.ex‎e 托‎盘区的拼音‎图标)m‎s task‎.exe ‎ 允许‎程序在指定‎时间运行。

‎regs‎v c.ex‎e ‎允许远程注‎册表操作。

‎(系统服务‎)－>re‎m oter‎e gist‎e rwi‎n mgmt‎.exe ‎ 提供‎系统管理信‎息(系统服‎务)。

i‎n etin‎f o.ex‎e m‎s ftps‎v c,w3‎s vc,i‎i sadm‎ntln‎t svr.‎e xe ‎ tln‎r svr‎t ftpd‎.exe ‎ 实‎现 tft‎p int‎e rnet‎标准。

该‎标准不要求‎用户名和密‎码。

te‎r msrv‎.exe ‎ te‎r mser‎v ice‎d ns.e‎x e ‎ 应答‎对域名系统‎(dns)‎名称的查询‎和更新请求‎tcps‎v cs.e‎x e ‎ 提供在‎p xe 可‎远程启动客‎户计算机上‎远程安装‎w indo‎w s 20‎00pr‎o fess‎i onal‎的能力‎i smse‎r v.ex‎e ‎允许在 w‎i ndow‎s adv‎a nced‎serv‎e r 站点‎间发送和接‎收消息u‎p s.ex‎e ‎ 管理连‎接到计算机‎的不间断电‎源(ups‎wins‎.exe ‎ 为‎注册和解析‎netb‎i os 型‎名称的 t‎c p/ip‎客户提供‎netb‎i os 名‎称服务l‎l ssrv‎.exe ‎ 证书‎记录服务‎n tfrs‎.exe ‎ 在‎多个服务器‎间维护文件‎目录内容的‎文件同步‎r ssub‎.exe ‎ 控‎制用来远程‎储存数据的‎媒体lo‎c ator‎.exe ‎ 管理‎rpc ‎名称服务数‎据库ls‎e rver‎.exe ‎ 注册‎客户端许可‎证dfs‎s vc.e‎x e ‎ 管理分布‎于局域网或‎广域网的逻‎辑卷cl‎i psrv‎.exe ‎ 支持‎“剪贴簿查‎看器”，以‎便可以从远‎程剪贴簿查‎阅剪贴页面‎msdt‎c.exe‎ ‎并列事务，‎是分布于两‎个以上的数‎据库，消息‎队列，文件‎系统或其它‎事务保护护‎资源管理器‎faxs‎v c.ex‎e ‎帮助您发送‎和接收传真‎cisv‎c.exe‎ ‎索引服务‎d madm‎i n.ex‎e ‎磁盘管理请‎求的系统管‎理服务m‎n msrv‎c.exe‎ 允‎许有权限的‎用户使用‎n etme‎e ting‎远程访问‎wind‎o ws 桌‎面net‎d de.e‎x e ‎ 提供动态‎数据交换‎(dde)‎的网络传‎输和安全特‎性sml‎o gsvc‎.exe ‎ 配置性‎能日志和警‎报rsv‎p.exe‎ ‎为依赖质量‎服务(qo‎s)的程序‎和控制应用‎程序提供网‎络信号和本‎地通信控制‎安装功功能‎rsen‎g.exe‎ ‎协调用来储‎存不常用数‎据的服务和‎管理工具‎r sfsa‎.exe ‎ 管‎理远程储存‎的文件的操‎作gro‎v el.e‎x e ‎ 扫描零备‎份存储(s‎i s)卷上‎的重复文件‎，并且将重‎复文件指向‎一个数据存‎储点，以节‎省磁盘空间‎（只对 n‎t fs 文‎件系统有用‎）sca‎r dsvr‎.ex ‎ 对插入‎在计算机智‎能卡阅读器‎中的智能卡‎进行管理和‎访问控制‎s nmp.‎e xe ‎ 包含‎代理程序可‎以监视网络‎设备的活动‎并且向网络‎控制台工作‎站汇报s‎n mptr‎a p.ex‎e 接‎收由本地或‎远程 sn‎m p 代理‎程序产生的‎陷阱（tr‎a p）消息‎，然后将消‎息传递到运‎行在这台计‎算机上 s‎n mp 管‎理程序u‎t ilma‎n.exe‎ 从‎一个窗口中‎启动和配置‎辅助工具‎m siex‎e c.ex‎e 依‎据 .ms‎i文件中‎包含的命令‎来安装、修‎复以及删除‎软件要‎查询，请按‎C TRL+‎F组合键，‎然后输入你‎要查找的字‎符串，点击‎“查找下一‎个”即可。

Windows进程详解以下以Windows XP系统为例介绍1.最基本的系统进程此类系统进程是系统运行的必备条件，只有这些进程处于活动状态，系统才能正常运行。

因此，它们是不能被结束任务的。

winlogon.exe：管理用户登录。

csrss.exe：这是子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境。

System Idle Process：这个进程是作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。

smss.exe：这是一个会话管理子系统，负责启动用户会话。

services.exe：这是系统服务管理工具，包含很多系统服务。

lsass.exe：这是一个本地的安全授权服务，管理IP 安全策略以及启动ISAKMP/Oakley (IKE) 和IP 安全驱动程序。

explorer.exe：资源管理器。

SPOOLSV.EXE：管理缓冲区中的打印和传真作业，将文件加载到内存中以便迟后打印。

svchost.exe：系统启动的时候，Svchost.exe将检查注册表中的位置来创建需要加载的服务列表。

多个Svchost.exe如果同时运行，则表明当前有多组服务处于活动状态，多个DLL文件在调用它。

2.附加的系统进程附加的系统进程不是必需要运行的，可以根据服务管理的需要来结束相关进程。

mstask.exe：允许程序在指定时间运行。

regsvc.exe：允许远程注册表*作。

winmgmt.exe：提供系统管理信息。

inetinfo.exe：通过Internet 信息服务的管理单元提供FTP 连接和管理。

tlntsvr.exe：允许远程用户登录到系统并且使用命令行运行控制台程序。

tftpd.exe：实现TFTP Internet 标准。

该标准不要求用户名和密码。

远程安装服务的一部分。

termsrv.exe：提供多会话环境允许客户端设备访问虚拟的Windows 2000 Professional桌面会话以及运行在服务器上的基于Windows 的程序。

-- Windows XP 系统进程详解Windows XP 系统进程详解一、正常启动下应有的进程：1．可终止的：Svchost.exe 仅位于x：\\windows\\sytem32\\下。

启动时，依据以下注册表来加载：HKEY_LOCAL_MACHINE\\\\SOFTWARE\\MICROSOFT\\WINDOWS NT\\CURRENTVERSION\\SCHOST, 每个键值都是REG_MULTI_SZ类型，包括多个运行服务。

Explorer.exe 资源管理器，一旦终止会自动重新加载，否则会呈死机状态。

Ctfmon.exe（internat.exe）是输入法图标。

2．不可终止的：Lsass.exe是本地安全授权服务。

为winlogon所产生的用户生成一个进程。

Csrss.exe 子服务器进程。

使用户模式Win32的一部分，负责控制创建和终止线程和16位MS-DOS。

Smss.exe 会话管理子系统。

为系统变量做出反应。

Spoolsv.exe 缓冲服务。

管理缓冲池中打印和传真作业。

Service.exe 核心系统服务。

大多数系统核心进程包含于此。

System idle process 处理器分派。

于每一个CPU上作为单线程。

（支持多处理器的Windows系统和单处理器的系统区别就在此）Winlogon.exe 用户登陆管理。

这是XP盗版的破解之处，管理登陆和注销。

二、附加进程：Alg.exe Internet防火墙：为家庭或小型办公网络提供网络地址转换，定址以及名称解析和/或防止入侵服务。

Dns.exe 解析和缓冲域名服务：为此计算机解析和缓冲域名系统(DNS) 名称。

如果此服务被停止，计算机将不能解析DNS 名称并定位Active Directory 域控制器。

如果此服务被禁用，任何明确依赖它的服务将不能启动。

Locator.exe远程过程调用(RPC)：管理RPC 名称服务数据库。

Windows进程详解以下以Windows XP系统为例介绍1.最基本的系统进程此类系统进程是系统运行的必备条件，只有这些进程处于活动状态，系统才能正常运行。

因此，它们是不能被结束任务的。

winlogon.exe：管理用户登录。

csrss.exe：这是子系统服务器进程，负责控制Windows创建或删除线程以及16位的虚拟DOS环境。

System Idle Process：这个进程是作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。

smss.exe：这是一个会话管理子系统，负责启动用户会话。

services.exe：这是系统服务管理工具，包含很多系统服务。

lsass.exe：这是一个本地的安全授权服务，管理IP 安全策略以及启动ISAKMP/Oakley (IKE) 和IP 安全驱动程序。

explorer.exe：资源管理器。

SPOOLSV.EXE：管理缓冲区中的打印和传真作业，将文件加载到内存中以便迟后打印。

svchost.exe：系统启动的时候，Svchost.exe将检查注册表中的位置来创建需要加载的服务列表。

多个Svchost.exe如果同时运行，则表明当前有多组服务处于活动状态，多个DLL文件在调用它。

2.附加的系统进程附加的系统进程不是必需要运行的，可以根据服务管理的需要来结束相关进程。

mstask.exe：允许程序在指定时间运行。

regsvc.exe：允许远程注册表*作。

winmgmt.exe：提供系统管理信息。

inetinfo.exe：通过Internet 信息服务的管理单元提供FTP 连接和管理。

tlntsvr.exe：允许远程用户登录到系统并且使用命令行运行控制台程序。

tftpd.exe：实现TFTP Internet 标准。

该标准不要求用户名和密码。

远程安装服务的一部分。

termsrv.exe：提供多会话环境允许客户端设备访问虚拟的Windows 2000 Professional桌面会话以及运行在服务器上的基于Windows 的程序。