电脑常见基本进程信息

（1）atieclxx.exeatieclxx.exe是ATI显卡催化剂的一个程序，它只是起辅助作用，使ATI的显卡能更好的发挥性能，其本身并不是驱动程序。有很多显卡不是ATI的朋友，装完Windows7以后蓝屏，有可能是atieclxx.exe造成的。如果你刚装完Windows7系统就蓝屏了，你可以尝试关闭atieclxx.exe程序来解决这个问题。aticsrxx.exe(同上)（3） conhost.exe全称是ConsoleHostProcess,即命令行程序的宿主进程。简单的说他是微软出于安全考虑，在windows7和Windowsserver2008中引进的新的控制台应用程序处理机制（4） csrss.execsrss.exe，系统进程，是微软客户端、服务端运行时子系统，管理Windows图形相关任务，对系统的正常运行非常重要，但也有可能是W32.Netsky.AB@mm等病毒创建的。注意：csrss.exe也有可能是W32.Netsky.AB@mm、W32.WebusTrojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播，当你打开附件时，即被感染。该蠕虫会在受害者机器上建立SMTP服务，用以自身传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。这个进程的安全等级是建议立即进行删除。介绍：Client/ServerRuntimeServerSubsystem,客户端服务子系统，用以控制Windows图形相关子系统。正常情况下在WindowsNT/2000/XP/2003系统中只有一个csrss.exe进程，位于System32文件夹中，若以上系统中出现两个csrss.exe进程（其中一个位于Windows文件夹中），或在Windows9X/Me系统中出现该进程，则是感染了病毒。WindowsVista有两个csrss.exe进程。注意，正常的csrss.exe双击后会出现“不能在Win32模式下运行”的提示，终止进程后会蓝屏。根据csrss.exe的位置判断csrss.exe的危险度如果csrss.exe位于在“C：\ProgramFiles”下的子目录下，那么威胁危险度是70%。文件大小是1,111,688字节（占总出现比率11%），49,152字节，311,808字节，1,189,549字节，141,606字节，769,536字节，1,201,827字节，1,056,768字节，1,175,073字节。如果csrss.exe位于在C：\Windows\System32下的子目录下，那么威胁危险度是77%。文件大小是2,121,216字节（占总出现比率22%），28,160字节，29,696字节，20,480字节，2,932,736字节，470,528字节，76,800字节，43,072字节。如果csrss.exe位于在目录C：\Windows\System32\drivers下，那么威胁危险度是64%。文件大小是81,920字节（占总出现比率40%），335,872字节，542,720字节，6,144字节。如果csrss.exe位于在“C：\DocumentsandSettings”下的子目录下，那么威胁危险度是57%。文件大小是58,033字节（占总出现比率50%），385,536字节，24,576字节。（5）dwm.exedwm.exe是微软Microsoft?为其Windows7/Vista操作系统定义的系统进程，跟桌面相关。它建立在WPF核心图形层组件基础之上。DWM的桌面合成是建立在Composition引擎基础之上的新特征。它的出现几乎改变了Vista中应用程序的屏幕象素显示方式。启用DWM后，提供的视觉效果有毛玻璃框架、3D窗口变换动画、窗口翻转和高分辨率支持随着打开的窗口增加此进程会出现内存占用高的情况便会出现，这是正常现象。然而对于那些性能并不太好的计算机这种情况可能会让电脑有点卡（比如1G内存），这时你可以将dwm.exe实现的这些功能关闭或降低屏幕分辨率，这或许可以让系统的流畅度有所改善（但同时也会失去那些窗口效果）。禁用WindowsAero效果的方法：打开“运行”（快捷键Win+R）,然后输入services.msc回车打开“服务（本地）”窗口；找到DesktopWindowManagerSessionManager,然后选择“停止此服务”即可。提示：停止此服务后屏幕会闪烁、发黑，这是正常现象。并且也可以通过任务管理器终止dwm.exe的运行，如果一次终止后会自动启动就再次终止，一般终止两次就不会自动启动了。（6）explorer.exeexplorer.exe是Windows程序管理器或者Windows资源管理器，它用于管理Windows图形壳，包括开始菜单、任务栏、桌面和文件管理，删除该程序会导致Windows图形界面无法适用。explorer.exe也有可能是w32.Codered等病毒。该病毒通过email邮件传播，当打开病毒发送的附件时，即被感染，会在受害者机器上建立SMTP服务，允许攻击者访问你的计算机、窃取密码和个人数据。C:\windows\system32\dllcache（windows的文件保护机制备份）部分电脑的：（系统安装目录盘）C:\windows\ServicePackFiles\i386路径下，也存在这一文件•（所以，当你的桌面没有启动时，可以用这里的explorer.exe启动，最好备份一份去C:\windows\下，因为系统默认是启动这里的explorer.exe.）explorer.exe进程为用户提供了图形用户界面（也成为图形壳），简单的说就是用来显示系统的桌面环境的，包括开始菜单、桌面下方的任务栏、桌面图标和文件管理［1］。另外请不要将此进程与浏览器进程混淆（7）iexplore.exeiexplore.exe是MicrosoftInternetExplorer的主程序。这个微软Windows应用程序让你在网上冲浪，和访问本地Interanet网络。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。这个东西可以说是病毒，也可以说不是病毒。因为微软的浏览器就是IEXPLORE.EXE，但是它一般情况随系统被安装在C:\ProgramFiles\InternetExplorer下面。那么，如果发现这个文件是在这个目录下面的，一般情况不是病毒，当然，不包括已经被感染了的情况；还有一种情况，就是IEXPLORE.EXE在C:\WINDOWS\system32\下面，那么这个十有八九都是病毒。（8）rundll32.exerundll32.exe用于在内存中运行DLL文件，它们会在应用程序中被使用。这个程序对你系统的正常运行是非常重要的。注意:rundl132.exe和rundll32.exe神似。但是rundl132.exe是W32.Miroot.Worm病毒。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。（9）taskhost.exetaskhost.exe进程是Windows7自带的一个进程,是负责Windows7运行计划的,简单的来说也可以称作计划任务程序,这个程序也是Windows7的新特色,通过此程序可以定时设置系统中的相关操作,让操作系统到时间就执行您所设置的相关操作非常方便,如果关闭此进程计划的定时任务就会失效.（10） taskmgr.exetaskmgr.exe用于Windows任务管理器。它显示系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开，这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。（11） winlogon.exeWindowsLogonProcess，WindowsNT用户登陆程序，管理用户登录和退出。该进程的正常路径应是C:\Windows\System32且是以SYSTEM用户运行，若不是以上路径且不以SYSTEM用户运行，则可能是W32.Netsky.D@mm蠕虫病毒，该病毒通过EMail邮件传播，当你打开病毒发送的附件时，即会被感染。（12） lsass.exelsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。诊断:如果你的启动菜单（开始-运行-输入“msconfig”）里有个lsass.exe启动项，那就证明你的lsass.exe是木马病毒，中毒后，在进程里可以见到有两个相同的进程，分别是lsass.exe和LSASS.EXE，同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行，LSASS.EXE管理exe类执行文件，exert.exe管理程序退出，还会在D盘根目录下产生和autorun.inf两个文件，同时侵入注册表破坏系统文件关联。（13）lsm.exe描述:本地会话管理器服务（14）audiodg.exe所在路径：（系统安装目录盘）C:\Windows\System32\audiodg.exe中文名称：Windows音频设备管理程序（15）searchIndexer.exe相关资料searchindexer.exe是个属于WindowsVista；windows7的服务，在windows7平台上被广泛运用另：如果你觉得自己的电脑CPU频率不够高并且不会经常搜索自己电脑的文件，则可以禁用此类服务。（16）services.exeservices.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。长时间使用电脑会导致services.exe占用大量内存，其主要原因是EventLog过多，而services.exe启动时会加载Eventlog。由此使得进程占用大量内存。解决方法：“控制面板”-“管理工具”-“事件查看器”里，把三种事件日志全部清空。（17）smss.exesmss.exe（SessionManagerSubsystem）,该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Windows登录程序（winlogon.exe）,Win32子系统（csrss.exe）线程和设定的系统变量作出反映。（18）SMSvcHost.exe位置：C:\WINDOWS\Microsoft.NET\Framework\v3.0\WindowsCommunicationFoundation\SMSvcHost.exe（19）spoolsv.exespoolsv.exe是PrintSpooler的进程，管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。该进程属Windows?系统服务。spoolsv.exe用于将Windows打印机任务发送给本地打印机，缓存打印数据等，通常请下他会随着系统启动启动。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全级别是建议立即删除。（20）svchost.exesvchost.exe是一个属于微软Windows操作系统的系统程序，微软官方对它的解释是：Svchost.exe是从动态链接库（DLL）中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要，而且是不能被结束的详细分析：svchost.exe是存放在目录C:\Windows\System32。已知的WindowsXP文件大小为14336字节（占总出现比率85%），21504字节及22种其它情况。进程没有可视窗口。这个文件是由Microsoft所签发。这个进程打开接口连到局域网或互联网。总结在技术上威胁的危险度是9%。如果svchost.exe位于在C：\Windows下的子目录下，那么威胁的危险度是74%。文件大小是106496字节（占总出现比率5%）,16896字节及121种其它情况。这个不是Windows核心文件。应用程序没有可视窗口。这个程序没有备注。这是个不知名的文件存放于Windows目录。svchost.exe是有能力可以监控应用程序，纪录输入，隐藏自身，接到互联网，操纵其他程序。如果svchost.exe位于在目录C：\Windows下，那么威胁的危险度是67%。文件大小是36352字节（占总出现比率10%），49242字节及74种其它情况。这个不是Windows系统文件。进程是不可见的。文件存放于Windows目录但并非系统核心文件。没有进程的相关资料。svchost.exe是有能力可以纪录输入，监控应用程序。如果svchost.exe位于在目录C:\Windows\System32\drivers下，那么威胁的危险度是87%。文件大小是30720字节（占总出现比率10%），49152字节及48种其它情况。如果svchost.exe位于在"C:\DocumentsandSettings"下的子目录下，那么威胁的危险度是66%。文件大小是233472字节（占总出现比率12%），106496字节及87种其它情况。如果svchost.exe位于在"C:\ProgramFiles"下的子目录下，那么威胁的危险度是63%。文件大小是497664字节（占总出现比率19%），493568字节及66种其它情况。如果svchost.exe位于在ofC:\下的子目录下，那么威胁的危险度是66%。文件大小是239104字节（占总出现比率23%），183808字节及25种其它情况。如果svchost.exe位于在C:\Windows\System32下的子目录下，那么威胁的危险度是75%。文件大小是525312字节（占总出现比率12%），86016字节及53种其它情况。如果svchost.exe位于在目录"C:\ProgramFiles\CommonFiles"下的子目录下，那么威胁的危险度是65%。文件大小是1429504字节（占总出现比率22%），289280字节及13种其它情况。如果svchost.exe位于在目录"C:\ProgramFiles\CommonFiles"下，那么威胁的危险度是61%。文件大小是17920字节（占总出现比率56%），20480字节及4种其它情况。如果svchost.exe位于在C:\Windows\System32\drivers下的子目录下，那么威胁的危险度是72%。文件大小是244484字节（占总出现比率22%），167936字节及5种其它情况。如果svchost.exe位于在Windows的临时目录下，那么威胁的危险度是52%。文件大小是109222字节（占总出现比率20%），241664字节，27652字节，46154字节，655360字节。如果svchost.exe位于在目录C:\下，那么威胁的危险度是64%。文件大小是415232字节（占总出现比率60%），115712字节，15536字节。如果svchost.exe位于在目录"C:\ProgramFiles"下，那么威胁的危险度是56%。文件大小是28672字节（占总出现比率33%），37376字节，25600字节。如果svchost.exe位于在"MyFiles"下的子目录下，那么威胁的危险度是56%。文件大小是7168字节。切记：svchost.exe也可能是恶意软件所伪装，尤其是当它们存在于c:\windows或c:\windows\system32目录！（21） system.exe安全等级：低进程分析：GAOBOTAO、netcontroller、Trojan/PSW.WyHunt、Worm_Bbeagle.K以及灰鸽子等木马病毒也生成该文件，基本上都属于后门蠕虫木马，恶意攻击者用来进行远程控制。该病毒修改注册表创建系统服务system实现自启动，并将病毒模块systemKey.DLL，system_HOOk.DLL注入进程运行，病毒模块能够记录键盘动作窃取账号密码，并允许恶意攻击者远程控制计算机。属于后台软件尽可能使用一些杀毒软件检测一下。（22） systemidleprocess.exe进程名称:Windows内存处理系统进程描述：Windows页面内存管理进程，拥有0级优先;该程序使用Ctrl+Alt+Del打开，该进程作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU资源紧张。该进程是系统必须的，不能禁止。systemidle 是表示你系统剩余的CPU资源！不要想去结束它！要是他占的CPU资源为0估计你该重新启动了！当“SystemIdleProcess”进程占用资源为2%时，说明机器目前只有2%的资源是空闲的，即机器可能感染了病毒或被其他程序占用了98%的资源。换句话说，“SystemIdleProcess”进程占用资源占用资源越大则系统可用资源越多，其字面意思是“系统空闲进程”23)wininit.exewininit.exe在WindowsVista、7中是正常进程，描述是：Windows启动应用程序。启动services.exe（服务控制管理器）、lsass.exe（本地安全授权）、lsm.exe（本地会话管理器）,不能终止，否则马上蓝屏死机，位于system32文件夹中。位置：wininit.exe位于C:\Windows\System32.wininit.exe对用户不