要想輕松判斷系統中(zhōng)毒沒有，就要熟悉系統基本進程。基本的系統進程（也就是說，這些進程是系統運行的基本條件，有了這些進程，系統就能正常運行）:

smss.exe Session Manager

csrss.exe 子系統服務器進程

winlogon.exe 管理用戶登錄

services.exe 包含很多系統服務

lsass.exe 管理 IP 安全策略以及啓動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統服務)

産生(shēng)會話(huà)密鑰以及授予用于交互式客戶/服務器驗證的服務憑據(ticket)。(系統服務)

svchost.exe 包含很多系統服務

SPOOLSV.EXE 将文件加載到内存中(zhōng)以便遲後打印。(系統服務)

explorer.exe 資(zī)源管理器

internat.exe 托盤區的拼音圖标

附加的系統進程（這些進程不是必要的，可以根據需要通過服務管理器來增加或減少）:

mstask.exe 允許程序在指定時間運行。(系統服務)

regsvc.exe 允許遠程注冊表操作。(系統服務)

winmgmt.exe 提供系統管理信息(系統服務)。

inetinfo.exe 通過 Internet 信息服務的管理單元提供 FTP 連接和管理。(系統服務)

tlntsvr.exe 允許遠程用戶登錄到系統并且使用命令行運行控制台程序。(系統服務)

允許通過 Internet 信息服務的管理單元管理 Web 和 FTP 服務。(系統服務)

tftpd.exe 實現 TFTP Internet 标準。該标準不要求用戶名和密碼。遠程安裝服務的一(yī)部分(fēn)。(系統服務)

termsrv.exe 提供多會話(huà)環境允許客戶端設備訪問虛拟的 Windows 2000 Professional 桌面會話(huà)以及運行在服務器上的基于 Windows 的程序。(系統服務)

dns.exe 應答對域名系統(DNS)名稱的查詢和更新請求。(系統服務)

以下(xià)服務很少會用到，上面的服務都對安全有害，如果不是必要的應該關掉tcpsvcs.exe 提供在 PXE 可遠程啓動客戶計算機上遠程安裝 Windows 2000 Professional 的能力。(系統服務)

支持以下(xià) TCP/IP 服務：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系統服務)

ismserv.exe 允許在 Windows Advanced Server 站點間發送和接收消息。(系統服務)

ups.exe 管理連接到計算機的不間斷電源(UPS)。(系統服務)

wins.exe 爲注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS 名稱服務。(系統服務)

llssrv.exe License Logging Service(system service)

ntfrs.exe 在多個服務器間維護文件目錄内容的文件同步。(系統服務)

RsSub.exe 控制用來遠程儲存數據的媒體(tǐ)。(系統服務)

locator.exe 管理 RPC 名稱服務數據庫。(系統服務)

lserver.exe 注冊客戶端許可證。(系統服務)

dfssvc.exe 管理分(fēn)布于局域網或廣域網的邏輯卷。(系統服務)

clipsrv.exe 支持“剪貼簿查看器”，以便可以從遠程剪貼簿查閱剪貼頁面,天龍八部私服。(系統服務)
 

msdtc.exe 并列事務，是分(fēn)布于兩個以上的數據庫，消息隊列，文件系統，或其它事務保護資(zī)源管理器。(系統服務)

faxsvc.exe 幫助您發送和接收傳真。(系統服務)

cisvc.exe Indexing Service(system service)

dmadmin.exe 磁盤管理請求的系統管理服務。(系統服務)

mnmsrvc.exe 允許有權限的用戶使用 NetMeeting 遠程訪問 Windows 桌面。(系統服務)

netdde.exe 提供動态數據交換 (DDE) 的網絡傳輸和安全特性。(系統服務)

smlogsvc.exe 配置性能日志(zhì)和警報。(系統服務)

rsvp.exe 爲依賴質量服務(QoS)的程序和控制應用程序提供網絡信号和本地通信控制安裝功能。(系統服務)

RsEng.exe 協調用來儲存不常用數據的服務和管理工(gōng)具。(系統服務)

RsFsa.exe 管理遠程儲存的文件的操作。(系統服務)

grovel.exe 掃描零備份存儲(SIS)卷上的重複文件，并且将重複文件指向一(yī)個數據存儲點，以節省磁盤空間。(系統服務)

SCardSvr.exe 對插入在計算機智能卡閱讀器中(zhōng)的智能卡進行管理和訪問控制。(系統服務)

snmp.exe 包含代理程序可以監視網絡設備的活動并且向網絡控制台工(gōng)作站彙報。(系統服務)

snmptrap.exe 接收由本地或遠程 SNMP 代理程序産生(shēng)的陷阱消息，然後将消息傳遞到運行在這台計算機上 SNMP 管理程序。(系統服務)

UtilMan.exe 從一(yī)個窗口中(zhōng)啓動和配置輔助工(gōng)具。(系統服務)

msiexec.exe 依據 .MSI 文件中(zhōng)包含的命令來安裝、修複以及删除軟件。(系統服務)

詳細說明：

win2k運行進程

Svchost.exe

Svchost.exe文件對那些從動态連接庫中(zhōng)運行的服務來說是一(yī)個普通的主機進程名。Svhost.exe文件定位在系統的%systemroot%\system32文件夾下(xià)。在啓動的時候，Svchost.exe檢查注冊表中(zhōng)的位置來構建需要加載的服務列表。這就會使多個Svchost.exe在同一(yī)時間運行。每個Svchost.exe的回話(huà)期間都包含一(yī)組服務，以至于單獨的服務必須依靠Svchost.exe怎樣和在那裏啓動。這樣就更加容易控制和查找錯誤。

Svchost.exe 組是用下(xià)面的注冊表值來識别。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost

每個在這個鍵下(xià)的值代表一(yī)個獨立的Svchost組，并且當久遊正在看活動的進程時，它顯示作爲一(yī)個單獨的

例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組内的服務。每個Svchost組都包含一(yī)個

或多個從注冊表值中(zhōng)選取的服務名，這個服務的參數值包含了一(yī)個ServiceDLL值。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

更多的信息

爲了能看到正在運行在Svchost列表中(zhōng)的服務。

開(kāi)始－運行－敲入cmd

然後在敲入 tlist -s （tlist 應該是win2k工(gōng)具箱裏的冬冬）

Tlist 顯示一(yī)個活動進程的列表。開(kāi)關 -s 顯示在每個進程中(zhōng)的活動服務列表。如果想知(zhī)道更多的關于進程的信息，可以敲tlist pid。

Tlist 顯示Svchost.exe運行的兩個例子。

0 System Process

8 System

132 smss.exe

160 csrss.exe Title:

180 winlogon.exe Title: NetDDE Agent

208services.exe

Svcs: AppMgmt,Browser,...,Dhcp,dmserver,Dnscache,Eventlog,

lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,

ProtectedStorage,seclogon,TrkWks,W32Time,Wmi

220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs

404 svchost.exe Svcs: RpcSs

452 spoolsv.exe Svcs: Spooler

544 cisvc.exe Svcs: cisvc

556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv

580 regsvc.exe Svcs: RemoteRegistry

596 mstask.exe Svcs: Schedule

660 snmp.exe Svcs: SNMP

728 winmgmt.exe Svcs: WinMgmt

852 cidaemon.exe Title: OleMainThreadWndName

812 explorer.exe Title: Program Manager

1032 OSA.EXE Title: Reminder

1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s

1080 MAPISP32.EXE Title: WMS Idle

1264 rundll32.exe Title:

1000 mmc.exe Title: Device Manager

1144 tlist.exe

在這個例子中(zhōng)注冊表設置了兩個組。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:

netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman

Remoteaccess SENS Sharedaccess

Tapisrv Ntmssvc

rpcss :Reg_Multi_SZ: RpcSs

smss.exe

csrss.exe

這個是用戶模式Win32子系統的一(yī)部分(fēn)。csrss代表客戶/服務器運行子系統而且是一(yī)個基本的子系統必須一(yī)直運行。csrss 負責控制windows，創建或者删除線程和一(yī)些16位的虛拟MS-DOS環境,天龍八部私服。

explorer.exe

這是一(yī)個用戶的shell（搜狐實在是不知(zhī)道怎麽翻譯shell）,天龍私服，在搜狐們看起來就像任務條，桌面等等。這個進程并不是像天涯論壇想象的那樣是作爲一(yī)個重要的進程運行在windows中(zhōng)，天涯論壇可以從任務管理器中(zhōng)停掉它，或者重新啓動。

通常不會對系統産生(shēng)什麽負面影響。

internat.exe

這個進程是可以從任務管理器中(zhōng)關掉的。

internat.exe在啓動的時候開(kāi)始運行。它加載由用戶指定的不同的輸入點。輸入點是從注冊表的這個位置HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加載内容的。

internat.exe 加載“EN”圖标進入系統的圖标區，允許使用者可以很容易的天龍八部論壇換不同的輸入點。

當進程停掉的時候，圖标就會消失，但是輸入點仍然可以通過控制面闆來改變。

lsass.exe

這個進程是不可以從任務管理器中(zhōng)關掉的。

這是一(yī)個本地的安全授權服務，并且它會爲使用winlogon服務的授權用戶生(shēng)成一(yī)個進程。這個進程是通過使用授權的包，例如默認的msgina.dll來執行的。如果授權是成功的，lsass就會産生(shēng)用戶的進入令牌，令牌别使用啓動初始的shell。其他的由用戶初始化的進程會繼承這個令牌的。

mstask.exe

這個進程是不可以從任務管理器中(zhōng)關掉的。

這是一(yī)個任務調度服務，負責用戶事先決定在某一(yī)時間運行的任務的運行。

smss.exe

這個進程是不可以從任務管理器中(zhōng)關掉的。

這是一(yī)個會話(huà)管理子系統,XP技巧之資(zī)源管理器秘技放(fàng)送，負責啓動用戶會話(huà)。這個進程是通過系統進程初始化的并且對許多活動的,天龍八部sf，包括已經正在運行的Winlogon，Win32（Csrss.exe）線程和設定的系統變量作出反映。在它啓動這些進程後，它等待Winlogon或者Csrss結束。如果這些過程時正常的，系統就關掉了。如果發生(shēng)了什麽不可預料的事情，smss.exe就會讓系統停止響應（就是挂起）。

spoolsv.exe

這個進程是不可以從任務管理器中(zhōng)關掉的。

緩沖（spooler）服務是管理緩沖池中(zhōng)的打印和傳真作業。

service.exe

這個進程是不可以從任務管理器中(zhōng)關掉的。

大(dà)多數的系統核心模式進程是作爲系統進程在運行。

System Idle Process

這個進程是不可以從任務管理器中(zhōng)關掉的。

這個進程是作爲單線程運行在每個處理器上，并在系統不處理其他線程的時候分(fēn)派處理器的時間,天龍私服。

winlogon.exe

這個進程是管理用戶登錄和推出的。而且winlogon在用戶按下(xià)CTRL+ALT+DEL時就激活了，顯示安全對話(huà)框。

winmgmt.exe

winmgmt是win2000客戶端管理的核心組件。當客戶端應用程序連接或當管理程序需要他本身的服務時這個進程初始化

taskmagr.exe

這個進程當然就是任務管理器了，不要忘。

把系統進程熟悉了，以後感覺系統反映慢(màn)的情況下(xià)，可以對比下(xià)，然後進行中(zhōng)止。