Después de iniciar XP, ¿de qué son responsables las cosas en el proceso?
Proceso inactivo del sistema:
Proceso de administración de memoria de la página de Windows, este proceso tiene prioridad de nivel 0. Se ejecuta como un único subproceso en cada procesador y distribuye el tiempo del procesador cuando el sistema no está procesando otros subprocesos. Cuanto mayor sea el uso de la CPU, más recursos de la CPU estarán disponibles para su asignación y cuanto menor sea el número, más limitados serán los recursos de la CPU.
ALG.EXE:
Este es un servicio de puerta de enlace de capa de aplicación para compartir redes. Es un administrador de complementos de comunicación de puerta de enlace que brinda soporte para complementos de protocolos de terceros para el "Servicio premium de conexión a Internet" y el "Servicio de firewall de conexión a Internet".
csrss.exe:
Cliente/Servidor Runtime ServerSubsystem, subsistema de servicio del cliente, utilizado para controlar los subsistemas relacionados con los gráficos de Windows. En circunstancias normales, solo hay un proceso CSRSS.EXE en el sistema Windows NT4/2000/XP/2003, que normalmente se encuentra en la carpeta System32 si hay dos en el sistema anterior (uno de los cuales se encuentra en Windows). carpeta), o en Windows 9X/Me. Si este proceso aparece en el sistema, está infectado con el virus Trojan.Gutta o W32.Netsky.AB@mm. Además, Sina está utilizando actualmente un pequeño complemento similar a un virus para propagarse a través de las vulnerabilidades del sistema. Generará tres archivos residentes llamados nmgamex.dll, sinaproc327.exe y csrss.exe, y se cargarán automáticamente al iniciar el sistema. Se genera un acceso directo llamado "Sina Game Park" en el escritorio. No solo eso, Sina también vincula el archivo Nmgamex.dll al archivo de inicio del sistema rundll32.exe y falsifica el archivo del sistema csrss.exe para generar un archivo. El mismo nombre está vinculado al sistema y cargado en los elementos de inicio del sistema, y no se puede eliminar directamente después de cerrar el proceso del sistema. Método de eliminación manual: primero modifique el registro, borre los elementos de inicio denominados: NMGameX.dll, csrss.exe, luego elimine los tres archivos System32NMGameX.dll, System32sinaproc327.exe y WindowsNMWizardA14.exe, y luego modifique cualquiera en la carpeta de Windows Archivo nombre, elimine el archivo csrss.exe modificado después de reiniciar la computadora.
ddhelp.exe:
DirectDraw Helper es un componente de DirectX, un programa auxiliar de DirectX para servicios gráficos.
dllhost.exe:
El proceso DCOM DLL Host admite DLL basado en objetos COM para ejecutar programas de Windows. Si el proceso falla con frecuencia, es posible que esté infectado con el virus Welchia.
explorer.exe:
El Explorador de Windows se utiliza para controlar el shell gráfico de Windows, incluido el menú de inicio, la barra de tareas, el escritorio y la administración de archivos. Este es el shell de un usuario, que para nosotros parece una barra de tareas, un escritorio, etc. En otras palabras, es el administrador de recursos. No creo que puedas ejecutarlo y echarle un vistazo. Sigue siendo relativamente importante para la estabilidad del sistema Windows, y el código rojo le causará problemas. Cree explorer.exe en las raíces cyd.
inetinfo.exe:
IIS Admin Service Helper, InetInfo es parte de Microsoft Internet Infomation Services (IIS), que se utiliza para la depuración.
En el proceso de servicio IIS, el código azul explota la vulnerabilidad de desbordamiento del búfer de inetinfo.exe.
internat.exe:
Configuraciones regionales de entrada, se utiliza principalmente para controlar el método de entrada cuando su barra de tareas no tiene el ícono "EN" y el sistema tiene internat.exe. proceso, también puede finalizar el proceso y ejecutar el comando internat en el tiempo de ejecución. Este icono de control de entrada se utiliza para cambiar configuraciones como el país, el tipo de teclado y el formato de fecha. internat.exe comienza a ejecutarse al inicio. Carga diferentes puntos de entrada especificados por el usuario. El punto de entrada carga contenido desde la ubicación del registro HKEY_USERS.DEFAULTKeyboard LayoutPreload. internat.exe carga el ícono "EN" en el área de íconos del sistema, lo que permite al usuario cambiar fácilmente entre diferentes puntos de entrada. Cuando se detiene el proceso, el icono desaparece, pero el punto de entrada aún se puede cambiar a través del panel de control.
lsass.exe:
El servicio de Permisos de Seguridad Local controla los mecanismos de seguridad de Windows. Administre las políticas de seguridad de IP y habilite ISAKMP/Oakley (IKE) y controladores de seguridad de IP, etc. Generará un proceso para los usuarios autorizados que utilizan el servicio winlogon. Este proceso se realiza utilizando paquetes autorizados, como el predeterminado msgina.dll. Si la autorización tiene éxito, lsass generará el token de acceso del usuario, que no se utiliza para iniciar el shell inicial. Otros procesos iniciados por el usuario heredarán este token. La vulnerabilidad de desbordamiento de pila remota de Windows Active Directory utiliza la función de solicitud de búsqueda LDAP 3 para carecer de comprobaciones correctas de los límites del búfer en las solicitudes enviadas por los usuarios, construye más de 1000 solicitudes "Y" y las envía al servidor, lo que provoca que se desencadene un desbordamiento de pila. y Lsass El servicio .exe falló y el sistema se reinició en 30 segundos. Recuerde aquí que la ruta normal del proceso es C: WINDOWSsystem32. Algunos virus, como el virus W32.Nimos.Worm, imitarán LSASS.EXE en otras ubicaciones para ejecutarse.
mdm.exe:
Machine Debug Manager, la administración de depuración de depuración se utiliza para depurar aplicaciones y el editor de scripts Microsoft Script Editor en Microsoft Office. El trabajo principal de Mdm.exe es depurar el software de la aplicación. Hablando de eso, hagamos una digresión. Si ve archivos de 0 bytes que comienzan con fff en el sistema, son generados por mdm.exe durante el proceso de depuración. no se borra automáticamente cuando se apaga el sistema operativo, por lo que entre estos archivos extraños que comienzan con fff se encuentran algunos archivos con el sufijo CHK, que son archivos lj inútiles y se pueden eliminar a voluntad sin causar ningún daño al sistema. Para los sistemas 9X, mientras exista Mdm.exe en el sistema, se pueden generar archivos extraños que comiencen con fff. Puede utilizar el siguiente método para evitar que el sistema ejecute Mdm.exe y eliminar por completo los archivos extraños que comienzan con fff: primero presione la combinación de teclas "Ctrl Alt Supr", seleccione "Mdm" en la ventana emergente "Cerrar programa", y presione el botón "Finalizar tarea" para detener la ejecución de Mdm.exe en segundo plano y luego cambie el nombre de Mdm.exe (en el directorio del sistema) a Mdm.bak. Ejecute el programa msconfig y cancele la selección de "Machine Debug Manager" en la página de inicio. Esto evitará que Mdm.exe se inicie automáticamente, luego haga clic en el botón "Aceptar" para finalizar el programa msconfig y reiniciar la computadora.
Además, si utiliza IE 5.
rpcss.exe:
El proceso de mapeo de puertos RPC de Windows maneja llamadas RPC (llamadas a módulos remotos) y las asigna a proveedores de servicios específicos. No se inicia al cargar el intérprete o al arrancar. Si hay problemas durante el uso, puede agregar directamente el "valor de cadena" al registro HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun y HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices y dirigirlo a "C: WINDOWS SYSTEMRPCSS".
services.exe:
Controlador de servicios de Windows, gestiona los servicios de Windows. La mayoría de los procesos del sistema en modo kernel se ejecutan como procesos del sistema. Abra el servicio en la herramienta de administración y podrá ver que muchos servicios llaman a service.exe.
smss.exe:
Subsistema de administrador de sesiones, este proceso se utiliza para inicializar variables del sistema para el subsistema de administración de sesiones, los nombres de los controladores de MS-DOS son similares a LPT1 y COM, llamando al subsistema. Subsistema de shell Win32 y ejecute el proceso de inicio de sesión de Windows. Es un subsistema de gestión de sesiones responsable de iniciar sesiones de usuario. Este proceso es inicializado por el proceso del sistema y refleja muchas actividades, incluidas las que ya están ejecutando subprocesos de Winlogon, Win32 (Csrss.exe) y la configuración de variables del sistema. Después de iniciar estos procesos, espera a que finalice Winlogon o Csrss. Si estos procesos son normales, el sistema se apaga. Si sucede algo inesperado, smss.exe hará que el sistema deje de responder (se cuelgue). Tenga en cuenta: si hay más de un proceso smss.exe en el sistema y la ruta de algún smss.exe es "WINDIRSMSS.EXE", entonces está infectado con el virus TrojanClicker.Nogard.a, que es un virus PE. en Windows Está escrito en VB6 y es un virus troyano que accede automáticamente a un determinado sitio. El virus agregará sus propios elementos de inicio en muchos lugares del registro, modificará el archivo del sistema WIN.INI y agregará "RUN" = "WINDIRSMSS.EXE" al elemento [WINDOWS]. Cuando limpie manualmente, primero finalice el proceso de virus smss.exe, luego elimine el archivo smss.exe en WINDIR y luego borre sus elementos relacionados en el registro y en el archivo WIN.INI.
snmp.exe:
Agente SNMP de Microsoft, el Agente de protocolo de red simple (SNMP) de Windows se utiliza para escuchar y enviar solicitudes a la parte apropiada de la red. Responsable de recibir mensajes de solicitud SNMP, enviar mensajes de respuesta según sea necesario y procesar la interfaz con WinsockAPI.
spool32.exe:
Printer Spooler, el programa de control de tareas de impresión de Windows, se utiliza para preparar la impresora.
stisvc.exe:
El servicio de imágenes fijas se utiliza para controlar escáneres y conexiones de cámaras digitales en Windows.
svchost.exe
: Service Host Process es un servicio de procesamiento de host de biblioteca de enlaces dinámicos estándar.
El archivo Svchost.exe es un nombre de proceso de host común para servicios que se ejecutan desde una biblioteca de vínculos dinámicos (DLL). El archivo Svhost.exe se encuentra en la carpeta Windowssystem32 del sistema. Al inicio, Svchost.exe busca ubicaciones en el registro para crear una lista de servicios que deben cargarse. Esto hará que se ejecuten varios Svchost.exe al mismo tiempo. Windows 2000 generalmente tiene dos procesos Svchost, uno es el proceso de servicio RPCSS (llamada a procedimiento remoto) y el otro es Svchost.exe compartido por muchos servicios en Windows XP. Generalmente hay más de 4 procesos de servicio Svchost.exe; más en el servidor Windows 2003. Svchost.exe es un proceso central del sistema y no es un proceso de virus. Sin embargo, debido a la particularidad del proceso Svchost.exe, los virus también harán todo lo posible para invadir Svchost.exe. Puede confirmar si está envenenado comprobando la ruta de ejecución del proceso Svchost.exe. Si sospecha que su computadora puede estar infectada por un virus y el servicio Svchost.exe es anormal, puede encontrar la anomalía buscando el archivo Svchost.exe. Generalmente, sólo encontrará un programa Svchost.exe en el directorio C:WindowsSystem32. Si encuentra el programa Svchost.exe en otros directorios, probablemente esté envenenado.
taskmon.exe:
Optimizador de tareas de Windows, el Optimizador de tareas de Windows monitorea la frecuencia con la que usa un determinado programa y organiza y optimiza el disco duro cargando esos programas de uso frecuente. Su función es monitorear la ejecución del programa e informar en cualquier momento. Puede monitorear todos los programas que se ejecutan en modo ventana en la barra de tareas, abrir y finalizar programas y abrir directamente el cuadro de diálogo de apagado del sistema.
tcpsvcs.exe:
La aplicación de servicios TCP/IP admite la conexión a LAN e Internet a través de TCP/IP.
winlogon.exe:
Proceso de inicio de sesión de Windows, programa de inicio de sesión de usuarios de Windows NT. Este proceso gestiona el inicio y cierre de sesión del usuario. Además, winlogon se activa cuando el usuario presiona CTRL ALT DEL y muestra el cuadro de diálogo de seguridad. Introducción: procesos del sistema Microsoft Windows. Verá este proceso en el administrador de tareas, que es un proceso normal del sistema.
conime.exe:
Console IME (consola IME), conime.exe es un editor de métodos de entrada que permite a los usuarios ingresar caracteres y símbolos complejos usando un teclado estándar. También es un visitante frecuente de los virus. Si es venenoso depende de si no se puede detener o si se activa automáticamente de manera irregular. Si es así, está infectado por un virus.
iexplore.exe:
El navegador web Microsoft Internet Explorer accede a la World Wide Web WWW a través de HTTP. Si no tiene IE abierto pero aún tiene este proceso, tenga en cuenta que puede estar infectado con el virus Backdoor.Aphexdoor.
TIMPlatform.exe:
Programa de gestión de interfaz de desarrollo de aplicaciones externas QQ TIMPlatform.exe es un programa de gestión de interfaz de desarrollo de aplicaciones externas utilizado por QQ y Tencent Messenger***. QQ 2004 Módulo central subyacente indispensable. Si elimina este programa, QQ perderá la capacidad de llamarse entre sí con módulos de funciones periféricas y aplicaciones externas.
Es posible que este archivo haya sido infectado por el virus QQ Baigujing y el archivo original pasó a llamarse TIMP1atform.exe (l se cambió a 1). Primero finalice este proceso, luego elimine TIMPlatform.exe y luego cambie TIMP1atform.exe a TIMPlatform.exe. El virus QQ Baigujing es un virus troyano escrito en VC que envía colas de QQ y roba información. Envía archivos EXE con nombres de texto tentadores en QQ (como: Super MM, Super FLASH, acepte.EXE) para propagarse. El virus buscará amigos de QQ, enviará automáticamente archivos de virus y robará la contraseña de QQ de la computadora infectada. Si está infectado por este virus, utilice la última versión de KavQQ para eliminar el virus.
wuauclt.exe:
Actualizaciones automáticas actualiza automáticamente Wuauclt.exe es el proceso del sistema encargado de las actualizaciones automáticas de Windows. Las actualizaciones recientes de Windows se pueden detectar en línea. Si no activa la actualización automática, este proceso no se realizará e incluso si lo activa, no estará activado en todo momento. Los recursos ocupados por Wuauclt.exe no son demasiado pequeños. El uso de memoria durante la operación alcanza aproximadamente los 6 MB. Afortunadamente, la actualización automática no está habilitada todo el tiempo. Pero si cierra este programa, se iniciará wscenfy.exe.
wscenfy.exe:
Notificador del Centro de seguridad de Microsoft. Sólo aparece después de que XP recibe SP2. Generalmente ocurre cuando la configuración de seguridad de su sistema está en riesgo.
Los anteriores son nuestros procesos comunes del sistema. En cuanto a los procesos de software, creo que todos deberían estar más o menos familiarizados con ellos.