Windows关键进程详解

ImageNamePIDSessionNameSession#MemUsage===================================================================SystemIdleProcess0Console016K（Windows页面内存管理进程，拥有0级优先;该程序使用Ctrl+Alt+Del打开，该进程作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU资源紧张。该进程是系统必须的，不能禁止）。ImageNamePIDSessionNameSession#MemUsage===================================================================System4Console036K（SYSTEM是WINDOWS页面内存管理进程，拥有0级优先权。没有它系统无法启动）ImageNamePIDSessionNameSession#MemUsage===================================================================smss.exe860Console044KSMSS.EXE:SessionManagerSubsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是%WINDIR%\SMSS.EXE，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入RUN=%WINDIR%\SMSS.EXE。手工清除时请先结束病毒进程smss.exe，再删除%WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。赞同47|评论(8)ImageNamePIDSessionNameSession#MemUsage===================================================================csrss.exe912Console01,596Kcsrss.exe是微软客户端、服务端运行时子系统，管理Windows图形相关任务，对系统的正常运行非常重要。CSRSS.EXE是系统必须运行的进程，但是由于它属于系统浏览器进程里面的，所以不受任何防火墙限制，因此也就被很多病毒或者木马利用。它们通过劫持这个进程来破坏网民的电脑。在一些杀毒软件判定后，会直接进行清除导致很多用户无法正常运行，也正是因为他是系统进程也令很多用户非常困惑是否应该关闭。近期，许多盗号木马下载器都以感染Windows系统文件csrss.exe文件作为免杀方式，绕过杀毒软件及网游保护系统。一旦受感染的系统文件被网络游戏加载到内存，便会将各种存于服务器上的网游盗号木马下载到用户电脑中（特征是扩展名为drv），盗取《DNF》，《穿越火线》，《天龙八部》等流行网游的账号密码。同时，也会在游戏过程中频繁卡机，如果被一些没有系统文件修复功能的杀毒软件将被病毒感染的csrss.exe文件删除后，甚至会导致系统崩溃.简单的来说，普通的杀毒软件进行查杀后，对于csrss.exe并没有做到完美修复，这样导致出现以上问题，那么我们该如何去做呢？首先，下载终身免费杀毒软件金山毒霸2011运行免费杀毒软件金山毒霸2011，使用全盘查杀或者快速扫描，清除电脑内盗号木马以及病毒。使用金山毒霸中系统修复功能，确保您的电脑系统文件恢复正常ImageNamePIDSessionNameSession#MemUsage===================================================================winlogon.exe936Console04,228KWindowsLogonProcess，WindowsNT用户登陆程序，管理用户登录和退出。注意大小写,该进程的正常路径应是C:\Windows\System32且是以SYSTEM用户运行.小写.若不是以上路径且不以SYSTEM用户运行，则可能是W32.Netsky.D@mm蠕虫病毒，该病毒通过EMail邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建SMTP引擎在受害者的计算机上，群发邮件进行传播。手工清除该病毒时先结束病毒进程winlogon.exe，然后删除C:\Windows目录下的winlogon.exe、winlogon.dll、winlogon_hook.dll和winlogonkey.dll文件，再清除AOLinstantmessenger7.0服务，位于注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下的aol7.0键ImageNamePIDSessionNameSession#MemUsage===================================================================services.exe980Console03,816Kservices.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。长时间使用电脑会导致services.exe占用大量内存，其主要原因是EventLog过多，而services.exe启动时会加载Eventlog。由此使得进程占用大量内存。解决方法：“控制面板”-“管理工具”-“事件查看器”里，把三种事件日志全部清空。ImageNamePIDSessionNameSession#MemUsage===================================================================lsass.exe992Console03,108Klsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。一般上lsass.exe都会自动跟随系统执行，它不是病毒，是一个处理电脑用户相关资料或密码的进程。但网络中有少数的病毒会把自己模仿成跟lsass.exe一模一样的进程，如果你的进程里出现两个lsass.exe项目，其中一个一定是有问题的了～ImageNamePIDSessionNameSession#MemUsage===================================================================svchost.exe1180Console01,684KSvchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。ImageNamePIDSessionNameSession#MemUsage===================================================================residentAgent.exe1932Console0168K