XP系统几个重要进程的总结

2023年12月7日发(作者：)

Session Manager

子系统服务器进程

管理用户登录

包含很多系统服务

管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)

产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)

包含很多系统服务

将文件加载到内存中以便迟后打印。(系统服务)

资源管理器

托盘区的拼音图标

1、

进程文件是微软Windows操作系统自带的程序，用于处理微软Windows网络连接共享和网络连接防火墙。应用程序网关服务，为Internet连接共享和Windows防火墙提供第三方协议插件的支持。

进程文件是微软Windows操作系统自带的程序，用于处理微软Windows网络连接共享和网络连接防火墙，应用程序网关服务，为Internet连接共享和Windows防火墙提供第三方协议插件的支持。

进程文件内存使用约4000KB左右。在Windows XP中，该进程文件位于C:Windowssystem32系统目录之下，这个程序对你系统的正常运行非常重要的，最好不要结束此进程。如果此文件出现在C:系统目录下，则可能是病毒。

另外，当(或alg)为大写(或ALG)时，将无法上网(多为无线上网)。只需将用户注销后重新登录即可。

2、

是Print Spooler的进程，管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。该进程属 Windows 系统服务。

木马spoolsv进程信息:

描述: 这个垃圾软件利用将插入多个进程的方法对系统进行监控，在system32下创建如下的东西： 1116 msicnplugins (这个还长得像微软打印服务，shit！！） 注册表加入如下垃圾：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"spoolsv"="%System% -printer"

[HKEY_CLASSES_ROOTCLSIDInprocServer32] @="%System%"

[HKEY_CLASSES_]

[HKEY_CLASSES_.1] [HKEY_CLASSES_ROOTTypeLib]

[HKEY_CLASSES_ROOTInterface] 然后每隔4秒左右对以上东西进行监控，前后互相照应，让你无从下手 启动项 c:/windows/system32/spoolsv/ -printer

cfs2…… 相关文件、目录： %System% %System%1116 %System%

%System% %System%msicnplugins %System% %System%，有一个启动项：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"spoolsv"="%System% -printer" 运行后会调用%System%，创建%System%1116目录，备份用。 %System%1116目录是备份目录，里面是%System%、%System%msicn和%System%的备份。 %System%，会插入多个指定进程，大约每4秒钟监视恢复文件（从%System%1116目录）和注册表信息（启动项、BHO）：

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]

"spoolsv" [HKEY_CLASSES_ROOTCLSIDInprocServer32]

@="%System%" 注："spoolsv"的数据不会被监视，所以修改它的数据也不会被恢复，只有删除"spoolsv"才会被恢复。 还可能会从远程服务器下载文件：

/ 是个安装程序，安装以下文件： %System% %System% %System%msicnplugins（目录里4个dll文件） %System%是一个BHO，%System%像是卸载程序。 另外，在%System%和%System%msicn目录里还有有一些从远程下载来的cpz、vxd文件，比如：

%System%作为BHO被调用后，会尝试调用%System%和%System%。 注：如果%System%没有被运行或被调用，也就不会备份还原，好像它就是用来备份的。 另外…… 在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”，里面有个快捷方式，指向：%System% -ctrlfun:4,3 “添加/删除程序”里有一项“NavAngel”，对应命令是：%System% -ctrlfun:4,2

还有一项“WinDirected 2.0”，对应命令是：%System% -uninst 还可能会有mscache目录，从名字看像是存放临时缓存文件的。 BHO相关注册表信息：

[HKEY_CLASSES_ROOTCLSID] [HKEY_CLASSES_]

[HKEY_CLASSES_.1] [HKEY_CLASSES_ROOTTypeLib]

[HKEY_CLASSES_ROOTInterface]

判别自己是否中毒 1、点开始－运行，输入msconfig，回车，打开实用配置程序，选择“启动”， 感染以后会在启动项里面发现运行的启动项， 每次进入windows会有NTservice的对话框。 2、打开系统盘，假设C盘，看是否存在C:WINDOWSsystem32spoolsv文件夹，里面有个文件，有“傲讯浏览器辅助工具”的字样说明，正常的打印机缓冲池文件应该在C:WINDOWSsystem32目录下。 3，打开任务管理器，会发现进程，而且CPU占用率很高。

清除方法

1、重新启动，开机按F8进入安全模式。 2、点开始－运行，输入cmd，进入dos。 利用rd命令删除以下目录（如果存在）（ 在dos窗口下输入：rd(空格）C:WINDOWSsystem32spoolsv/s，回车，出现提示，输入y回车，即可删除整个目录。）：

C:WINDOWSsystem32msibm C:WINDOWSsystem32spoolsv

C:WINDOWSsystem32bakcfs C:WINDOWSsystem32msicn 利用del命令删除下面的文件（如果存在）（比如在dos窗口下输入：del(空格）C:，回车，即可删除被感染的，这个文件可以在杀毒结束后在别的正常的机器上复制正常的粘贴到

C:windowssystem32文件夹。）： C:

C: 3、重启按F8再次进入安全模式。 （1）桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击 NTservice，选择“属性”，修改启动类型为“禁用”。 、 （2）点开始，运行，输入regedit，回车打开注册表，点菜单上的编辑，选择查找，查找含有的注册表项目，删除。可以利用F3继续查找，将含有的注册表项目全部删除。 4、若以上操作完成后,仍然有该进程。请桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击print spooler，选择“属性”，先点“停止”然后修改启动类型为手动或“禁用”。随后重复以上步骤。 另外解决方案 直接删除C:WINDOWSsystem32spoolPRINTERS 下的文件即可 我还遇到一种情况：经检查，不是以上所描述的病毒，但经常占CPU 100％，但是连续关进程几次，便不再出现，奇怪。 如上所述，在system32里有 spool文件夹。直接把 PRINTERS 下的文件删除，便解决了这个问题。 这可能不是“病毒”问题，而是系统的故障，但出现了还是很麻烦的。

杀毒后处理

病毒清了后你的文件就没有了，且在服务里你的后台打印print spooler也不能启动了，当然打印机也不能运行了，在运行里输入“”后，在“print

spooler”服务中的“常规”项里的“可执行文件路径”也变得不可用，如启动会显示“错误3:找不到系统路径”的错误，这是因为你的注册表的相关项也删了，（在上面清病毒的时候） 解决方法： 1:在安装光盘里I386目录下把_文件复制到SYSTEM32目录下改名为,当然也可以在别人的系统时把这个文件拷过来，还可以用NT/XP的文件保护功能，即在CMD里键入SFC/SCANNOW全面修复，反正你把这个文件恢复就可以了。

2:修改注册表即可：进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSpooler”目录下，新建一个可扩充字符串值，取名：“ImagePath”，其值为：“C:”（不要引号）再进入控制面板中启动打印服务即可。[1]

3、

是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的 4、

是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪，和访问本地Interanet网络。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。同时也是Avant网络浏览器的一部分，这是一个免费的基于Internet Explorer的浏览器。注意也有可能是.B病毒，该病毒会终止你的反病毒软件，和一些Windows系统工具，该进程

出品者：Microsoft Corp.

属于：Microsoft Internet Explorer

系统进程：Yes

后台程序：No

网络相关：Yes

常见错误：N/A

内存使用：N/A

安全等级 (0-5): 0

间谍软件：No

广告软件：No

病毒：No

木马：No

5、

进程文件: lsass or

进程名称: 本地安全权限服务

描述: 这个本地安全权限服务控制Windows安全机制。

常见错误: N/A

是否为系统进程: 是

6、

是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。

正常的应位于%System%文件夹中,也就是在进程里用户名显示为“system”，不过services也可能是.R(储存在%systemroot%system32目录)和Sober.P (储存在%systemroot%Connection WizardStatus目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

7、

:Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个进程，而且有的路径是"%WINDIR%"，那就是中了.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件，并在[WINDOWS]项中加入"RUN" = "%WINDIR%"。手工清除时请先结束病毒进程，再删除%WINDIR%下的文件，然后清除它在注册表和文件中的相关项即可。

[]

进程文件: smss or

进程名称: Session Manager Subsystem

描 述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。

简 介：这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，就会让系统停止响应（就是挂起）。

8、

进程文件用于Windows任务管理器，它显示你系统中正在运行的进程。在Windows XP中，该进程文件位于C:Windowssystem32系统目录之下。该程序使用Ctrl+Alt+Del打开，这不是纯粹的系统程

9、

进程文件:

进程名称:

英文描述: N/A

进程分析: 酷我(KooWo)相关程序。酷我(KooWo)MP3伴侣是一款音乐识别软件。它应用KooWo音频指纹技术，根据旋律准确识别歌名、歌手、专辑名等信息。识别后的歌曲无论在音乐播放软件中，还是在MP3播放器中都会显示正确信息。千千静听配合酷我使用，能大大提高歌词查找的成功率。

进程位置:

酷我音乐盒安装目录

程序用途: 酷我音乐盒传输进程

作者:酷我音乐盒

属于: 酷我音乐盒

安全等级 (0-5): N/A (N/A无危险 5最危险)

间谍软件: 否

广告软件: 否

病毒: 否

木马: 否

系统进程: 否

应用程序: 否

后台程序: 是

使用访问: 否

访问互联网: 是