任务管理器进程全解
解析任务管理器中两个EXPLORER.EXE进程
在任务管理器只有一个EXPLORER.EXE进程,用于管理Windows图形壳,今天笔者在任务管理器有两个EXPLORER.EXE进程,有两个EXPLORER.EXE进程,可以确定的是:一个是系统的,一个是病毒的,我们该怎么区分EXPLORER.EXE进程是系统进程还是病毒呢,又该怎么去结束病毒的EXPLORER.EXE进程呢。
结束EXPLORER.EXE进程若不能区别两个进程,可以把两个进程都结束掉,然后再切换到—应用程序—新任务—浏览—选择”C:\WINDOWS“文件夹下的 explorer.exe,然后打开、确定就可以重新启动系统的EXPLORER.EXE进程了。
结束wsctf.exe进程1、进入”C:\WINDOWS\system32“—工具—文件夹选项—查看—去掉“隐藏受保护的操作系统文件”前面的勾。
2、在弹出的对话框中按“是”,然后再选择“显示所有文件和文件夹”—确定—删除掉文件夹里面的wsctf.exe和EXPLORER.EXE两个文件—按刚才的操作,重新隐藏系统文件。
删除注册表项1、开始——运行——输入regedit,按确定后打开注册表,进入HKEY_CURRENT_USER\ Software\Microsoft\Windows\CurrentVersion\Run目录。
2、右键删除掉wsctf.exe和EXPLORER.EXE两条记录。
进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon。
3、看到项Userinit,其内容为userinit.exe,EXPLORER.EXE。
4、双击Userinit将中间的逗号和 EXPLORER.EXE删除—确定,把它的值改成C:\WINDOWS\system32\use 生活充满了色彩,但是蒙着一层雾需要你的拨开rinit.exe。
上面的三种就是结束病毒EXPLORER.EXE进程的方法,如果不能区分EXPLORER.EXE进程是系统还是系统进程,我们可以使用其中的一种方法来结束EXPLORER.EXE进程。
vista系统进程详细解释
adskscsrv.exe进程文件:AdskScSrv or AdskScSrv.exe进程名称:Autodesk Licensing Service英文描述:AdskScSrv.exe is a process associated with a licensing service application from Autodesk. This process should not be removed unless it is causing problems.出品者:Autodesk 属于:Autodesk Licensing Service系统进程:No 后台程序:Yes 网络相关:No常见错误:N/A 内存使用:N/A 安全等级(0-5): 0间谍软件:No 广告软件:No 病毒:No 木马:No正常: 安装了Autodesk系列产品(如AutoCAD、3D Studio VIZ、Autodesk VIZ等)后出现的进程。
该程序位于C:\Program Files\Common Files\Autodesk Shared\中,该目录用于存放Autodesk系列产品的共用程序。
可以在3DMAX的服务设置里禁止掉的.可在进程管理器中结束进程,属于系统服务项在Autodesk Licensing Service中,属性一般为自动。
该服务描述为Anchor service for Autodesk products licensed with SafeCast(没有中文注解)。
aestsrv.exe进程文件: AEstSrv.exe进程名称: Andrea filters APO access service (32-bit)英文描述: Andrea filters APO access service (32-bit)所在文件夹:C:\Windows\system32\aestsrv.exeaudio processing object 为APO的全拼,类属声音过滤器一类,通常此类功能会应用在话筒静噪等方面安全等级(0-5): N/A (N/A无危险5最危险)间谍软件: 否广告软件: 否病毒: 否木马: 否ALUSCHEDULERSVC.EXE进程文件: ALUSchedulerSvc或者ALUSchedulerSvc.exe进程名字: Symantec LiveUpdate Scheduler概述:这个是Symantec安全产品的NORTON系列软件的在线升级程序的后台服务进程,它可以使用户的SYMANTEC系列软件保持在最新防护状态,而不是病毒或木马程序.出品者: Symantec属于: Symantec LiveUpdate系统进程:否后台程序:是使用网络:是硬件相关:否常见错误:未知N/A 内存使用:未知N/A 安全等级(0-5): 0间谍软件:否Adware: 否病毒:否木马:否apmsgfwd.exe进程文件: ApMsgFwd.exe 进程名称: ApMsgFwd.exe英文描述: N/A进程分析: ALPS触控板驱动相关程序。
各个进程的详细解读
dx5.exe
Csrss.exe
csrss.exe:csrss.exe,系统进程,是微软客户端、服务端运行时子系统,管理Windows图形相关任务,对系统的正常运行非常重要,但也有可能是sky.AB@mm等病毒创建的。
2、找到“Automatic Updates”(自动更新):改为手动启动并停止它。Background Intelligent Transfer Service(空闲网络传输--专用与Windows升级有关的程序):改为手动启动并停止它。
/view/9378.htm
tpsmain.exe
tpsmain.exe是东芝Toshiba笔记本/台式机相关程序。用于电池节能模式屏幕保护。
/view/679048.htm
notepad.exe
notepad.exe是Windows自带的记事本程序
是一个软件产品许可证,不是病毒木马.
在C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher下.
它占用内存,建议把它设为手动启动,开机时不要运行它.
运行-输入-Services.msc-回车
找到(FLEXnet Licensing Service选项)-双击。
关于任务管理器中各个任务进程的详细解读
进程名称
进程描述
信息来源
备注
Acrotray.exe
acrotray.exe是acrobat助手程序,用于帮助你打印你的pdf文档。
/view/622461.htm
FNPLicensingService.exe
FNPLicensingService.exe进程是Adobe家族8.0产品的进程,比如Adobe Acrobat 8 Professional,photoshop CS3等。
win7任务管理器杀不死的进程的解决方法
win7任务管理器杀不死的进程的解决方法
任务管理器杀不死的进程的解决方法
在使用win7系统时,我们有时候会遇到某些顽固的系统程序,明明卡死掉那里了,可就是关不掉,也就是所谓的“躺尸程序”。
这时候我们一般都会调出任务管理器,从那里结束掉程序的进程。
可是,当任务管理器也失灵了怎么办?
方法一、
1、首先打开开始菜单中的运行,在运行对话框中输入“CMD”。
回车打开命令提示符窗口;
2、在打开的命令提示符窗口中然后输入:tasklist可以查看到现在所有进程。
3、然后想要关闭进程的话,输入命令“Tskill+进程名”(只需要输入进程名,不用添加扩展名)就可以了。
最新-system,idle,process是什么进程,可以关闭吗 精品
system,idle,process是什么进程,可以关闭吗篇一:系统常用进程解释系统常用进程解释【】:系统空闲进程,显示的空闲度,这个值越大越好。
这是关键进程。
【】页面内存管理进程。
(当后面出现时是木马病毒生成的文件,建议将其删除。
)【】是动态连接库主机处理服务。
文件对那些从动态连接库()中运行的服务来说是一个普通的主机进程名。
在中,一般有4个以上的服务进程。
由于进程的特殊性,所以病毒也会千方百计的入侵。
一般只会在\\32目录下找到一个程序,如果您在其他目录下发现程序的话,那很可能就是中毒了。
【】为会话管理子系统【】:是微软客户端服务端运行时子系统。
该进程管理图形相关任务。
【】:这个进程处理用户登录和注销任务。
该进程的正常路径应是\\32且是以用户运行,若不是以上路径且不以用户运行,则可能是32@蠕虫病毒【】:是微软操作系统的一部分。
用于管理启动和停止服务。
【】:是一个系统进程,用于本地安全和登陆策略。
【】管理所有本地和网络打印队列及控制所有打印工作。
如果此服务被停用,本地计算机上的打印将不可用。
【】:处理微软网络连接共享和网络连接防火墙。
【】:控制着标准的用户界面、进程、命令和桌面等。
【】:是的进程,当关闭所有窗口时,它将依然在后台运行。
【】:是360安全卫士的主动防御服务项。
【】是输入法的程序篇二:任务管理器进程全解现在是不是还有人对着任务管理器里面,一大堆的进程发呆?高手与低手的分别就是,高手能够很快地鉴别出有问题的进程,而低手则只能靠“排除法”一个个地试,搞不好还会系统崩溃,所以我们特意准备了这个超全的进程解释文章,以让大家更好地了解它们。
(1)[]进程文件[][]进程名称内存处理系统进程描述页面内存管理进程,拥有0级优先。
介绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。
它的占用率越大表示可供分配的资源越多,数字越小则表示资源紧张。
(2)[]进程文件进程名称应用层网关服务描述这是一个应用层网关服务用于网络共享。
任务管理器进程名称及解释
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe msftpsvc,w3svc,iisadmntlntsvr.exe tlnrsvrtftpd.exe 实现 TFTP Internet 标准。
该标准不要求用户名和密码。
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能RsEng.exe 协调用来储存不常用数据的服务和管理工具RsFsa.exe 管理远程储存的文件的操作grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间(只对 NTFS 文件系统有用)SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱(trap)消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序UtilMan.exe 从一个窗口中启动和配置辅助工具msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件smss.exe Session Managercsrss.exe 子系统服务器进程dns.exe 应答对域名系统(DNS)名称的查询和更新请求tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息ups.exe 管理连接到计算机的不间断电源(UPSwins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务llssrv.exe 证书记录服务ntfrs.exe 在多个服务器间维护文件目录内容的文件同步RsSub.exe 控制用来远程储存数据的媒体locator.exe 管理 RPC 名称服务数据库lserver.exe 注册客户端许可证dfssvc.exe 管理分布于局域网或广域网的逻辑卷clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统或其它事务保护护资源管理器faxsvc.exe 帮助您发送和接收传真cisvc.exe 索引服务dmadmin.exe 磁盘管理请求的系统管理服务mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性smlogsvc.exe 配置性能日志和警报mstask.exe 允许程序在指定时间运行。
Windows系统任务管理器解析查看和结束进程
Windows系统任务管理器解析查看和结束进程Windows系统任务管理器是Windows操作系统提供的一种工具,用于管理和监视计算机上运行的进程、应用程序和系统性能。
通过任务管理器,我们可以查看和结束正在运行的进程,以及监控CPU、内存、磁盘和网络的使用情况。
本文将详细介绍Windows系统任务管理器的功能和如何使用它来查看和结束进程。
一、任务管理器的打开方式要打开任务管理器,我们可以使用以下几种方法:1. 使用快捷键组合:Ctrl + Shift + Esc。
2. 右键点击任务栏空白处,选择“任务管理器”选项。
3. 按下Ctrl + Alt + Delete组合键,然后选择“任务管理器”选项。
二、任务管理器的界面介绍打开任务管理器后,我们可以看到以下几个选项卡:1. 进程:显示所有正在运行的进程和应用程序。
2. 性能:显示系统的性能信息,如CPU、内存、磁盘和网络的使用情况。
3. 应用:显示所有正在运行的应用程序。
4. 启动:显示系统启动时自动启动的程序列表。
5. 用户:显示当前登录用户的会话信息。
6. 详细信息:显示更详细的系统和应用程序信息。
三、查看进程和应用程序在“进程”选项卡下,我们可以查看当前正在运行的进程和应用程序。
每个进程都会显示其进程名、进程ID、CPU占用率、内存占用率等信息。
要查看某个进程的详细信息,可以右键点击该进程,并选择“打开文件位置”、“结束任务”、“设置优先级”等选项。
四、结束进程有时候,我们需要结束某个进程来解决问题,或释放系统资源。
在任务管理器中,我们可以使用以下步骤来结束进程:1. 打开任务管理器。
2. 在“进程”选项卡下,找到要结束的进程。
3. 右键点击该进程,并选择“结束任务”选项。
请注意,在结束进程之前,我们需要确保结束的进程不是系统关键进程或其他重要的应用程序。
结束了关键进程可能会导致系统不稳定或出现其他问题。
五、性能监控和优化通过任务管理器的“性能”选项卡,我们可以实时监控系统的性能参数,包括CPU使用率、内存使用率、磁盘活动等。
TASKLIST+高手 全面认识Svchost.exe进程
TASKLIST开放分类:dos命令、进程管理Tasklist命令用来显示运行在本地或远程计算机上的所有进程,带有多个执行参数。
使用格式Tasklist [/S system [/U username [/P [password]]]] [/M [module] | /SVC | /V] [/FI filter] [/FO format] [/NH]参数含义/S system 指定连接到的远程系统。
/U [domain\]user 指定使用哪个用户执行这个命令。
/P [password] 为指定的用户指定密码。
/M [module] 列出调用指定的DLL模块的所有进程。
如果没有指定模块名,显示每个进程加载的所有模块。
/SVC 显示每个进程中的服务。
/V 显示详细信息。
/FI filter 显示一系列符合筛选器指定的进程。
/FO format 指定输出格式,有效值:TABLE、LIST、CSV。
/NH 指定输出中不显示栏目标题。
只对TABLE和CSV格式有效。
应用实例。
1.查看本机进程在“命令提示符”中输入Tasklist命令即可显示本机的所有进程(图1)。
本机的显示结果由5部分组成:图像名(进程名)、PID、会话名、会话#和内存使用。
2.查看远程系统的进程在命令提示符下输入“Tasklist /s 218.22.123.26 /u jtdd /p 12345678”(不包括引号)即可查看到IP地址为218.22.123.26的远程系统的进程(图2)。
其中/s参数后的“218.22.123.26”指要查看的远程系统的IP地址,/u后的“jtdd”指Tasklist命令使用的用户账号,它必须是远程系统上的一个合法账号,/p后的“12345678”指jtdd账号的密码。
注意:使用Tasklist命令查看远程系统的进程时,需要远程机器的RPC服务的支持,否则,该命令不能正常使用。
3.查看系统进程提供的服务Tasklist命令不但可以查看系统进程,而且还可以查看每个进程提供的服务。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
现在是不是还有人对着任务管理器里面,一大堆的进程发呆?高手与低手的分别就是,高手能够很快地鉴别出有问题的进程,而低手则只能靠“排除法”一个个地试,搞不好还会系统崩溃,所以我们特意准备了这个超全的进程解释文章,以让大家更好地了解它们。
(1)[system Idle Process]进程文件: [system process] or [system process]进程名称: Windows内存处理系统进程描述: Windows页面内存管理进程,拥有0级优先。
介绍:该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。
它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。
(2)[alg.exe]进程文件: alg or alg.exe进程名称: 应用层网关服务描述: 这是一个应用层网关服务用于网络共享。
介绍:一个网关通信插件的管理器,为“Internet连接共享服务”和“Internet连接防火墙服务”提供第三方协议插件的支持。
(3)[csrss.exe]进程文件: csrss or csrss.exe进程名称: Client/Server Runtime Server Subsystem描述: 客户端服务子系统,用以控制Windows图形相关子系统。
介绍: 这个是用户模式Win32子系统的一部分。
csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。
csrss用于维持Windows的控制,创建或者删除线程和一些16位的虚拟MS-DOS环境。
(4)[ddhelp.exe]进程文件: ddhelp or ddhelp.exe进程名称: DirectDraw Helper描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
简介:Directx 帮助程序(5)[dllhost.exe]进程文件: dllhost or dllhost.exe进程名称: DCOM DLL Host进程描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
介绍:com代理,系统附加的dll组件越多,则dllhost占用的cpu资源和内存资源就越多,而8月的“冲击波杀手”大概让大家对它比较熟悉吧。
(6)[explorer.exe]进程文件: explorer or explorer.exe进程名称: 程序管理描述: Windows Program Manager或者Windows Explorer用于控制Windows 图形Shell,包括开始菜单、任务栏,桌面和文件管理。
介绍:这是一个用户的shell,在我们看起来就像任务条,桌面等等。
或者说它就是资源管理器,不相信你在运行里执行它看看。
它对windows系统的稳定性还是比较重要的,而红码也就是找它的麻烦,在c和d根下创建explorer.exe。
(7)[inetinfo.exe]进程文件: inetinfo or inetinfo.exe进程名称: IIS Admin Service Helper描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分,用于Debug调试除错。
介绍:IIS服务进程,蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。
(8)[internat.exe]进程文件: internat or internat.exe进程名称: Input Locales描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。
internat.exe在启动的时候开始运行。
它加载由用户指定的不同的输入点。
输入点是从注册表的这个位置HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。
internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。
当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。
介绍:它主要是用来控制输入法的,当你的任务栏没有“EN”图标,而系统有internat.exe进程,不妨结束掉该进程,在运行里执行internat命令即可。
(9)[kernel32.dll]进程文件: kernel32 or kernel32.dll进程名称: Windows壳进程描述: Windows壳进程用于管理多线程、内存和资源。
介绍:更多内容浏览非法操作与Kernel32解读(10)[lsass.exe]进程文件: lsass or lsass.exe进程名称: 本地安全权限服务描述: 这个本地安全权限服务控制Windows安全机制。
管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。
介绍:这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。
这个进程是通过使用授权的包,例如默认的msgina.dll 来执行的。
如果授权是成功的,lsass就会产生用户的进入令牌,令牌别使用启动初始的shell。
其他的由用户初始化的进程会继承这个令牌的。
而windows活动目录远程堆栈溢出漏洞,正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查,构建超过1000个"AND"的请求,并发送给服务器,导致触发堆栈溢出,使Lsass.exe服务崩溃,系统在30秒内重新启动。
(11)[mdm.exe]进程文件: mdm or mdm.exe进程名称: Machine Debug Manager描述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。
介绍:Mdm.exe的主要工作是针对应用软件进行排错(Debug),说到这里,扯点题外话,如果你在系统见到fff开头的0字节文件,它们就是mdm.exe在排错过程中产生一些暂存文件,这些文件在操作系统进行关机时没有自动被清除,所以这些fff开头的怪文件里是一些后缀名为CHK的文件都是没有用的垃圾文件,可匀我馍境 换岫韵低巢 涣加跋臁6?X系统,只要系统中有Mdm.exe 存在,就有可能产生以fff开头的怪文件。
可以按下面的方法让系统停止运行Mdm.exe来彻底删除以fff开头的怪文件:首先按“Ctrl+Alt+Del”组合键,在弹出的“关闭程序”窗口中选中“Mdm”,按“结束任务”按钮来停止Mdm.exe 在后台的运行,接着把Mdm.exe(在C:\Windows\System目录下)改名为Mdm.bak。
运行msconfig程序,在启动页中取消对“Machine Debug Manager”的选择。
这样可以不让Mdm.exe自启动,然后点击“确定”按钮,结束msconfig程序,并重新启动电脑。
另外,如果你使用IE 5.X以上版本浏览器,建议禁用脚本调用(点击“工具→Internet选项→高级→禁用脚本调用”),这样就可以避免以fff开头的怪文件再次产生。
(12)[mmtask.tsk]进程文件: mmtask or mmtask.tsk进程名称: 多媒体支持进程描述: 这个Windows多媒体后台程序控制多媒体服务,例如MIDI。
介绍:这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行。
(13)[mprexe.exe]进程文件: mprexe or mprexe.exe进程名称: Windows路由进程描述: Windows路由进程包括向适当的网络部分发出网络请求。
介绍:这是Windows的32位网络界面服务进程文件,网络客户端部件启动的核心。
印象中“A-311木马(Trojan.A-311.104)”也会在内存中建立mprexe.exe进程,可以通过资源管理结束进程。
(14)[msgsrv32.exe]进程文件: msgsrv32 or msgsrv32.exe进程名称: Windows信使服务描述: Windows信使服务调用Windows驱动和程序管理在启动。
介绍:msgsrv32.exe 一个管理信息窗口的应用程序,win9x下如果声卡或者显卡驱动程序配置不正确,会导致死机或者提示msgsrv32.exe 出错。
(15)[mstask.exe]进程文件: mstask or mstask.exe进程名称: Windows计划任务描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。
介绍:计划任务,它通过注册表自启动。
因此,通过计划任务程序实现自启动的程序在系统信息中看不到它的文件名,一旦把它从注册表中删除或禁用,那么通过计划任务启动的程序全部不能自动运行。
win9X下系统启动就会开启计划任务,可以通过双击计划任务图标-高级-终止计划任务来停止它自启动。
另外,攻击者在攻击过程中,也经常用到计划任务,包括上传文件、提升权限、种植后门、清扫脚印等。
(16)[regsvc.exe]进程文件: regsvc or regsvc.exe进程名称: 远程注册表服务描述: 远程注册表服务用于访问在远程计算机的注册表。
(17)[rpcss.exe]进程文件: rpcss or rpcss.exe进程名称: RPC Portmapper描述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
介绍:98它不是在装载解释器时或引导时启动,如果使用中有问题,可以直接在在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServi ces添加"字符串值",定向到"C:\WINDOWS\SYSTEM\RPCSS"即可。
(18)[services.exe]进程文件: services or services.exe进程名称: Windows Service Controller描述: 管理Windows服务。
介绍:大多数的系统核心模式进程是作为系统进程在运行。
打开管理工具中的服务,可以看到有很多服务都是在调用%systemroot%\system32\service.exe(19)[smss.exe]进程文件: smss or smss.exe进程名称: Session Manager Subsystem描述: 该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。