计算机的各进程含义

2023年12月7日发(作者：)

1、

- nvsvc32 - 进程管理信息 进程文件： nvsvc32 or

进程名称： NVIDIA Driver Helper Service

进程类别：应用进程

英文描述：

is a process that belongs to the NVIDIA graphics card drivers.

This process should not be removed to ensure that your graphics card drivers is

working properly.

中文参考：

是NVIDIA显示卡相关程序。

出品者：NVIDIA Corporation

属于：NVIDIA Driver

系统进程：No

后台程序：Yes

网络相关：No

常见错误：N/A

内存使用：N/A

安全等级 (0-5): 0

间谍软件：No

广告软件：No

病毒：No

木马：No

2、

- csrss - 进程管理信息 进程文件： csrss or

进程名称： Microsoft Client/Server Runtime Server Subsystem

进程类别：其他进程

英文描述：

is the main executable for the Microsoft Client/Server Runtime

Server Subsystem. This process manages most graphical commands in Windows.

This program is important for the stable and secure running of your computer and

should not be terminated

中文参考：

是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 注意：也有可能是@mm、 Trojan、.a等病毒创建的。该病毒通过Email邮件进行传播，当你打开附件时，即被感染。该蠕虫会在受害者机器上建立SMTP服务，用以自身传播。该病毒允许攻击者访问你的计算机，窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。

出品者：Microsoft Corp 属于：Microsoft Windows Operating System

系统进程：Yes

后台程序：Yes

网络相关：No

常见错误：N/A

内存使用：N/A

安全等级 (0-5): 0

间谍软件：No

广告软件：No

病毒：No

木马：No

进程文件: csrss or

进程名称: Client/Server Runtime Server Subsystem

介绍:Client/Server Runtime Server Subsystem，客户端服务子系统，用以控制

Windows 图形相关子系统。正常情况下在Windows NT/2000/XP/2003系统中只有一个进程，位于System32文件夹中，若以上系统中出现两个 进程(其中一个位于 Windows 文件夹中)，或在Windows 9X/Me系统中出现该进程，则是感染了病毒。Windows Vista有两个进程。

注意，正常的双击后会出现“不能在Win32模式下运行”的提示，终止进程后会蓝屏。

纯手工查杀木马

注意：进程属于系统进程，这里提到的木马是木马伪装成系统进程

前两天突然发现在C:Program Files下多了一个文件。这个程序记得是关于登录和开关机的，不应该在这里，而且它的图标是98下的老记事本图标，在我的2003系统下面很扎眼。但是当时我没有在意。因为平时没有感到系统不稳定，也没有发现内存和CPU大量占用，网络流量也正常。

这两天又发现任务管理器里多了这个和一个的进程。它和系统进程不一样的地方是用户为Administrator，就是我登录的用户名，而非system，另外它们的名字是小写的，而由SYSTEM启动的进程都是大写的和，觉得不对劲。

然后按F3用资源管理器的搜索功能找，果然在C:Windows下，大小52736字节，生成时间为12月9日12:37。而真正的只有4k，生成时间是2003年3月27日12:00，位于C:WindowsSyetem32下。

于是用超级无敌的UltraEdit打开它，发现里面有，mailmonitor一类的字符，这些都是金山毒霸的进程名。在该字符前面几行有SelfProtect的字符。自我保护和反病毒软件有关的程序，不是病毒就是木马了。灭！

试图用任务管理器结束进程失败，称是系统关键进程。先进注册表删除[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun]和v[Runservice]下相应值，注销重登录，该进程消失，可见它没有象3721那样加载为驱动程序。

然后要查找和它有关的文件。仍然用系统搜索功能，查找12月9日生成的所有文件，然后看到12:37分生成的有、和，但的图标也是98下的记事本图标，它和的大小都是33792字节。

此后在12:38分生成了一个文件，内容是

@echo off

OCALS~

OCALS~

C:

好像是用debug汇编了一段什么程序，这年头常用debug的少见，估计不是什么善茬，因为商业程序员都用Delphi、PB等大程序写软件。

汇编大约进行了1分钟，在12:39生成了、、和一个0字节的文件。大小117786字节，另两个大小也是52736字节。前两个位于C:WindowsSystem32下，后两个在当前用户的Temp文件夹里。

这样我就知道为什么我的系统没有感染的表现了。并没有一直在运行，因为我在任务管理器中没有见过它。把这些文件都删除，我的办法是用winrar压缩并选中完成后删除源文件，然后在rar文件注释中做说明，放一个文件夹里，留待以后研究。这个监狱里都是我的战利品，不过还很少。

现在木马已经清除了。使用搜索引擎查找关于的内容，发现结果不少，有QQ病毒，传奇盗号木马，新浪游戏病毒，但是文件大小和我中的这个都不一样。搜索只有一个日文网站结果，也是一个木马。

这个病毒是怎么进入我的电脑的呢？搜索时发现在12月9日12:36分生成了一个快捷方式，名为，它是我那天从某网站下载的DOS7.11版启动光盘，但是当时下载失败了。现在看来根本就不是失败，是因为这个网站的链接本来就是一段网页注入程序，点击后直接把病毒下载来了。

补充：

del

C:DOCUME~1ADMINI~1LOCALS~ >C:DOCUME~1ADMINI~1L del

C:DOCUME~1ADMINI~1LOCALS~ >C:DOCUME~1ADMINI~1L

debug

copy

C:DOCUME~1ADMINI~1LOCALS~

C:DOCUME~1ADMINI~1LOCALS~

C:DOCUME~1ADMINI~1LOCALS~

C:>C:DOCUME~1ADMINI~1LOCALS~1Temp Windows XP SP3 系统下关于该文件的信息如下：

- csrss - 进程管理信息 进程文件： csrss or

系统进程：Yes

后台程序：Yes

网络相关：No

大小：6KB

所在位置：C:Boot FilesC_WINDOWSSYSTEM32

再次提醒：正常的双击后会出现“不能在Win32模式下运行”的提示。

3、

最近电脑突然卡，发现进程了多了很多许多个

感觉不对，马上用专业的在线杀毒/board/online/ 查杀

瑞星报毒！！

样本提供者还提供了一个。监控了一下其运行：运行后，到 C:Documents and SettingsAdministratorLocal

SettingsTemp目录下找。找到后，即刻加载运行之。看来，这可能是个来自网络的脚本病毒。

我事先用工具禁止了任何程序针对%system%drivers目录的创建/写入操作，然后在影子环境下运行此病毒样本，重启后，系统一切正常（system32目录下以及dllcache目录下的、等还是系统程序，病毒未能改写之）。

这里的关键是：病毒在%system%drivers目录下释放的动作被俺成功阻截了。

至于病毒可能释放驱动的其它位置，如：系统根目录、%Program Files%Internet

ExplorerPLUGINS目录、当前用户temp目录、%windows%temp目录.....，用户也应采取恰当防护措施，禁止外来程序在上述目录下创建.sys文件。

下面是我找到的“”的资料

进程文件： taskmgr 或者

进程名称： The Windows Task Manager.

描述：用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开，这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

出品者：Microsoft Corp.

属于：Windows

系统进程：是

后台程序：是

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级 (0-5): 0 间谍软件：否

Adware: 否

病毒： 否

木马： 否

流氓软件：否

二、QQ“缘”病毒

病毒特征：

该病毒用VB语言编写，采用ASPack压缩，利用QQ消息传播。运行后会将IE默认首页改变为：HTTP://WWW.**/，如果你发现自己的IE首页被修改成以上网址，就是被该病毒感染了。

病毒会利用QQ发送例如“今天在网上下了本电子书，书名叫《缘》，写得不错，而且书的作者的名字很巧…………点击下面这个地址可以下载这本书”；“1937年12月13日，300000南京人民被侵华日军集体大屠杀！！！所有的中国人都不应忘记这个日子，从始至终日本人都没有改变它们的野心!中华儿女要团结自强牢记历史，我们要时刻警惕日本人的野心，钓鱼岛是中国的领土!!!台湾是中国不可分割的一部份!!!请你将此消息发给你QQ上的好友!”等消息，消息里的链接是病毒网址。

清除方法：

使用了下面的办法将其彻底删除。

找到下列文件:

C:

C:

C:

C:

删除掉:其中 要先打开"window 任务管理器",选中进程"",杀掉

注意:有两个名字叫""进程,一个是QQ病毒,一个是你刚才打开的"Window 认为管理器"

然后到注册表中找到"HKey_Local_MachinesoftwareMicrosoftwindowsCurrentVersionRun"

找到"Taskmgr" 删除

如果你还不明白那请你先找到那几个文件，然后再按下面步骤操作:

1.在任务栏上点击鼠标右键，选择任务管理器

2.选择进程里的，但我后来又测试也进行名称不一定是大写的，也有可能是小写，一般排在上面的一个是。

3.点击开始-运行，输入Regedit进入注册表

4.在注册表中找到

"HKey_Local_MachinesoftwareMicrosoftwindowsCurrentVersionRun，将Taskmgr"项删除"。 删除后重启计算机，《缘》QQ病毒宣布彻底删除。

三、任务管理器软件丢失

1.开始>>运行 输入 找到

“用户设置管理模板系统Ctrl+Alt+Del选项

双击页面右侧的“移除任务管理器”（Remove Task Mangaer），打开“移除任务管理器”属性设置页面。选中"未配置" 应用并确定即可

2.如果那样不行可能是你的文件丢失了。在电脑上拷贝一个放在C:/windows/system32下试一试看。

或者从网上下载一个