电脑服务器宿主进程

1. 我的电脑关机的时候，画面显示宿主二字，是不是中病毒了、中木马了请知道的说一说……

这是否是您设置的壁纸显示得。若不是， 那就是病毒了，建议您安装一个好的杀毒软件， 升级重启电脑后查杀电脑病毒。当然了，能在安全模式下查杀，效果会更好。

若不能解决问题， 就使用U盘PE备份数据，重新给硬盘分区，重做操作系统。

还有办法：

1、使用鼠标移动到电脑桌抄面的下方点击鼠标右键，点击菜单中的【启动任务袭管理器】。

2. 电脑进程有哪些，分别有什么作用

smss.exeSessionManager
csrss.exe 子系统服务器进程
winlogon.exe管理用户登录
services.exe包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
svchost.exe Windows 2000/XP 的文件保护系统
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)
explorer.exe资源管理器
internat.exe托盘区的拼音图标)
mstask.exe允许程序在指定时间运行。
regsvc.exe允许远程注册表操作。(系统服务)->remoteregister
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exemsftpsvc,w3svc,iisadmn
tlntsvr.exe tlnrsvr
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。
termsrv.exe termservice
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。
ups.exe 管理连接到计算机的不间断电源(UPS)。
wins.exe为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。
llssrv.exe证书记录服务
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。
RsSub.exe 控制用来远程储存数据的媒体。
locator.exe 管理 RPC 名称服务数据库。
lserver.exe 注册客户端许可证。
dfssvc.exe管理分布于局域网或广域网的逻辑卷。
clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。
msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统或其它事务保护护资源管理器。
faxsvc.exe帮助您发送和接收传真。
cisvc.exe 索引服务
dmadmin.exe 磁盘管理请求的系统管理服务。
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。
netdde.exe提供动态数据交换 (DDE) 的网络传输和安全特性。
smlogsvc.exe配置性能日志和警报。
rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。
RsEng.exe 协调用来储存不常用数据的服务和管理工具。
RsFsa.exe 管理远程储存的文件的操作。
grovel.exe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间（只对 NTFS 文件系统有用）。
SCardSvr.ex 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。
snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。
snmptrap.exe接收由本地或远程 SNMP 代理程序产生的陷阱（trap）消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序。
UtilMan.exe 从一个窗口中启动和配置辅助工具。
msiexec.exe依据 .MSI 文件中包含的命令来安装、修复以及删除软件。

windows 2000/XP/2003服务全集
secedit.exe > Starts Security Editor help 自动安全性配置管理
services.exe > Controls all the services 控制所有服务
sethc.exe > Set High Contrast - changes colours and display mode Logoff to set it back to normal 设置高对比
setreg.exe > Shows the Software Publishing State Key values 显示软件发布的国家语言
setup.exe > GUI box prompts you to goto control panel to configure system components 安装程序（转到控制面板）
setver.exe > Set Version for Files 设置 MS-DOS 子系统向程序报告的 MS-DOS 版本号
sfc.exe > System File Checker test and check system files for integrity 系统文件检查
sfmprint.exe > Print Services for Macintosh 打印Macintosh服务
sfmpsexe.exe >
sfmsvc.exe >
shadow.exe > Monitor another Terminal Services session. 监控另外一台中端服务器会话
share.exe > Windows 2000 和 MS-DOS 子系统不使用该命令。接受该命令只是为了与 MS-DOS 文件兼容
shmgrate.exe >
shrpubw.exe > Create and Share folders 建立和共享文件夹
sigverif.exe > File Signature Verification 文件签名验证
skeys.exe > Serial Keys utility 序列号制作工具
smlogsvc.exe > Performance Logs and Alerts 性能日志和警报
smss.exe >
sndrec32.exe > starts the Windows Sound Recorder 录音机
sndvol32.exe > Display the current volume information 显示声音控制信息
snmp.exe > Simple Network Management Protocol used for Network Mangement 简单网络管理协议
snmptrap.exe > Utility used with SNMP SNMP工具
sol.exe > Windows Solitaire Game 纸牌
sort.exe > Compares files and Folders 读取输入、排序数据并将结果写到屏幕
SPOOLSV.EXE > Part of the spooler service for printing 打印池服务的一部分
sprestrt.exe >
srvmgr.exe > Starts the Windows Server Manager 服务器管理器
stimon.exe > WDM StillImage- > Monitor
stisvc.exe > WDM StillImage- > Service
subst.exe > Associates a path with a drive letter 将路径与驱动器盘符关联
svchost.exe > Svchost.exe is a generic host process name for services that are run from dynamic-link libraries (DLLs).

DLL得主进程
syncapp.exe > Creates Windows Briefcase. 创建Windows文件包
sysedit.exe > Opens Editor for 4 system files 系统配置编辑器
syskey.exe > Encrypt and secure system database NT账号数据库按群工具
sysocmgr.exe > Windows 2000 Setup 2000安装程序
systray.exe > Starts the systray in the lower right corner. 在低权限运行systray
taskman.exe > Task Manager 任务管理器
taskmgr.exe > Starts the Windows 2000 Task Manager 任务管理器
tcmsetup.exe > telephony client wizard 电话服务客户安装
tcpsvcs.exe > TCP Services TCP服务
.exe > Telnet Utility used to connect to Telnet Server
termsrv.exe > Terminal Server 终端服务
tftp.exe > Trivial FTP 将文件传输到正在运行 TFTP 服务的远程计算机或从正在运行 TFTP 服务的远程计算机传输文件
tftpd.exe > Trivial FTP Daemon
themes.exe > Change Windows Themes 桌面主题
tlntadmn.exe > Telnet Server Administrator Telnet服务管理
tlntsess.exe > Display the current Telnet Sessions 显示目前的Telnet会话
tlntsvr.exe > Start the Telnet Server 开始Telnet服务
tracert.exe > Trace a route to display paths 该诊断实用程序将包含不同生存时间 (TTL) 值的 Internet 控制消息协议 (ICMP) 回显数据包发送到目标，以决定到达目标采用的路由
tsadmin.exe > Terminal Server Administrator 终端服务管理器
tscon.exe > Attaches a user session to a terminal session. 粘贴用户会话到终端对话
tsdiscon.exe > Disconnect a user from a terminal session 断开终端服务的用户
tskill.exe > Kill a Terminal server process 杀掉终端服务
tsprof.exe > Used with Terminal Server to query results. 用终端服务得出查询结果
tsshutdn.exe > Shutdown the system 关闭系统
unlodctr.exe > Part of performance monitoring 性能监视器的一部分
upg351db.exe > Upgrade a jet database 升级Jet数据库
ups.exe > UPS service UPS服务
user.exe > Core Windows Service Windows核心服务
userinit.exe > Part of the winlogon process Winlogon进程的一部分
usrmgr.exe > Start the windows user manager for domains 域用户管理器
utilman.exe > This tool enables an administrator to designate which computers automatically open accessibility tools

when Windows 2000 starts. 指定2000启动时自动打开那台机器
verifier.exe > Driver Verifier Manager Driver Verifier Manager
vwipxspx.exe > Loads IPX/SPX VDM 调用IPX/SPX VDM
w32tm.exe > Windows Time Server 时间服务器
wextract.exe > Used to extract windows files 解压缩Windows文件
winchat.exe > Opens Windows Chat 打开Windows聊天
winhlp32.exe > Starts the Windows Help System 运行帮助系统
winlogon.exe > Used as part of the logon process. Logon进程的一部分
winmine.exe > windows Game 挖地雷
winmsd.exe > Windows Diagnostic utility 系统信息
wins.exe > Wins Service Wins服务
winspool.exe > Print Routing 打印路由
winver.exe > Displays the current version of Windows 显示Windows版本
wizmgr.exe > Starts Windows Administration Wizards Windows管理向导
wjview.exe > Command line loader for Java 命令行调用Java
wowdeb.exe > . For starters, the 32-bit APIs require that the WOWDEB.EXE task runs in the target debugee‘s VM 启动时，32位API需要
wowexec.exe > For running Windows over Windows Applications 在Windows应用程序上运行Windows
wpnpinst.exe > ?
write.exe > Starts MS Write Program 写字板
ws cript.exe > Windows Scripting Utility 脚本工具
wupdmgr.exe > Starts the Windows update Wizard (Internet) 运行Windows升级向导
x.exe > Used to directories 复制文件和目录，包括子目录
注：还有一些内部命令，参见2000的帮助文件，都是中文，大家自己看看吧

mountvol.exe > Creates, deletes, or lists a volume mount point. 创建、删除或列出卷的装入点。
mplay32.exe > MS Media Player 媒体播放器
mpnotify.exe > Multiple Provider Notification application 多提供者通知应用程序
mq1sync.exe >
mqbkup.exe > MS Message Queue Backup and Restore Utility 信息队列备份和恢复工具
mqexchng.exe > MSMQ Exchange Connector Setup 信息队列交换连接设置
mqmig.exe > MSMQ Migration Utility 信息队列迁移工具
mqsvc.exe > ?
mrinfo.exe > Multicast routing using SNMP 使用SNMP多点传送路由
mscdexnt.exe > Installs MSCD (MS CD Extensions) 安装MSCD
msdtc.exe > Dynamic Transaction Controller Console 动态事务处理控制台
msg.exe > Send a message to a user local or remote. 发送消息到本地或远程客户
mshta.exe > HTML Application HOST HTML应用程序主机
msiexec.exe > Starts Windows Installer Program 开始Windows安装程序
mspaint.exe > Microsoft Paint 画板
msswchx.exe >
mstask.exe > Task Schele Program 任务计划表程序
mstinit.exe > Task scheler setup 任务计划表安装
narrator.exe > Program will allow you to have a narrator for reading. Microsoft讲述人
nbtstat.exe > Displays protocol stats and current TCP/IP connections using NBT 使用 NBT（TCP/IP 上的 NetBIOS）显示协议统计和当前 TCP/IP 连接。
nddeapir.exe > NDDE API Server side NDDE API服务器端
net.exe > Net Utility 详细用法看/？
net1.exe > Net Utility updated version from MS Net的升级版
netdde.exe > Network DDE will install itself into the background 安装自己到后台
netsh.exe > Creates a shell for network information 用于配置和监控 Windows 2000 命令行脚本接口。
netstat.exe > Displays current connections. 显示协议统计和当前的 TCP/IP 网络连接。
nlsfunc.exe > Loads country-specific information 加载特定国家（地区）的信息。Windows 2000 和 MS-DOS 子系统不使用该命令。接受该命令只是为了与 MS-DOS 文件兼容。
notepad.exe > Opens Windows 2000 Notepad 记事本
nslookup.exe > Displays information for DNS 该诊断工具显示来自域名系统 (DNS) 名称服务器的信息。
ntbackup.exe > Opens the NT Backup Utility 备份和故障修复工具
ntbooks.exe > Starts Windows Help Utility 帮助
ntdsutil.exe > Performs DB maintenance of the ADSI 完成ADSI的DB的维护
ntfrs.exe > NT File Replication Service NT文件复制服务
ntfrsupg.exe >
ntkrnlpa.exe > Kernel patch 核心补丁
ntoskrnl.exe > Core NT Kernel KT的核心
ntsd.exe >
ntvdm.exe > Simulates a 16-bit Windows environment 模拟16位Windows环境
nw16.exe > Netware Redirector NetWare转向器
nws cript.exe > runs netware s cripts 运行Netware脚本
odbcad32.exe > ODBC 32-bit Administrator 32位ODBC管理
odbcconf.exe > Configure ODBC driver‘s and data source‘s from command line 命令行配置ODBC驱动和数据源
os2.exe > An OS/2 Warp Server (os2 /o) OS/2
os2srv.exe > An OS/2 Warp Server OS/2
os2ss.exe > An OS/2 Warp Server OS/2
osk.exe > On Screen Keyboard 屏幕键盘
packager.exe > Windows 2000 Packager Manager 对象包装程序
pathping.exe > Combination of Ping and Tracert 包含Ping和Tracert的程序
pax.exe > is a POSIX program and path names used as arguments must be specified in POSIX format. Use

"//C/Users/Default" instead of "C:\USERS\DEFAULT." 启动便携式存档互换 (Pax) 实用程序
pentnt.exe > Used to check the Pentium for the floating point division error. 检查Pentium的浮点错误
perfmon.exe > Starts Windows Performance Monitor 性能监视器
ping.exe > Packet Internet Groper 验证与远程计算机的连接
posix.exe > Used for backward compatibility with Unix 用于兼容Unix
print.exe > Cmd line used to print files 打印文本文件或显示打印队列的内容。
progman.exe > Program manager 程序管理器
proquota.exe > Profile quota program
psxss.exe > POSIX Subsystem Application Posix子系统应用程序
qappsrv.exe > Displays the available application terminal servers on the network
在网络上显示终端服务器可用的程序
qprocess.exe > Display information about processes local or remote 在本地或远程显示进程的信息（需终端服务）
query.exe > Query TERMSERVER user process and sessions 查询进程和对话
quser.exe > Display information about a user logged on 显示用户登陆的信息（需终端服务）
qwinsta.exe > Display information about Terminal Sessions. 显示终端服务的信息
rasadmin.exe > Start the remote access admin service 启动远程访问服务
rasautou.exe > Creates a RAS connection 建立一个RAS连接
rasdial.exe > Dial a connection 拨号连接
rasphone.exe > Starts a RAS connection 运行RAS连接
rcp.exe > Copies a file from and to a RCP service. 在 Windows 2000 计算机和运行远程外壳端口监控程序 rshd 的系统之间复制文件
rdpclip.exe > RdpClip allows you to and paste files between a terminal session and client console session. 再终端和本地复制和粘贴文件
recover.exe > Recovers readable information from a bad or defective disk 从坏的或有缺陷的磁盘中恢复可读取的信息。
redir.exe > Starts the redirector service 运行重定向服务
regedt32.exe > 32-bit register service 32位注册服务
regini.exe > modify registry permissions from within a s cript 用脚本修改注册许可
register.exe > Register a program so it can have special execution characteristics. 注册包含特殊运行字符的程序
regsvc.exe >
regsvr32.exe > Registers and unregister‘s dll‘s. As to how and where it register‘s them I dont know. 注册和反注册DLL
regtrace.exe > Options to tune debug options for applications failing to mp trace statements
Trace 设置
regwiz.exe > Registration Wizard 注册向导
remrras.exe >
replace.exe > Replace files 用源目录中的同名文件替换目标目录中的文件。
reset.exe > Reset an active section 重置活动部分
rexec.exe > Runs commands on remote hosts running the REXEC service. 在运行 REXEC 服务的远程计算机上运行命令。rexec 命令在执行指定命令前，验证远程计算机上的用户名，只有安装了 TCP/IP 协议后才可以使用该命令。
risetup.exe > Starts the Remote Installation Service Wizard. 运行远程安装向导服务
route.exe > display or edit the current routing tables. 控制网络路由表
routemon.exe > no longer supported 不再支持了！
router.exe > Router software that runs either on a dedicated DOS or on an OS/2 system. Route软件在 DOS或者是OS/2系统
rsh.exe > Runs commands on remote hosts running the RSH service 在运行 RSH 服务的远程计算机上运行命令
rsm.exe > Mounts and configures remote system media 配置远程系统媒体
rsnotify.exe > Remote storage notification recall 远程存储通知回显
rsvp.exe > Resource reservation protocol 源预约协议
runas.exe > RUN a program as another user 允许用户用其他权限运行指定的工具和程序
rundll32.exe > Launches a 32-bit dll program 启动32位DLL程序
runonce.exe > Causes a program to run ring startup 运行程序再开始菜单中
rwinsta.exe > Reset the session subsystem hardware and software to known initial values 重置会话子系统硬件和软件到最初的值
savemp.exe > Does not write to e:\winnt\user.dmp 不写入User.dmp中
scardsvr.exe > Smart Card resource management server 子能卡资源管理服务器
schupgr.exe > It will read the schema update files (.ldf files) and upgrade the schema. (part of ADSI) 读取计划更新文件和更新计划

accwiz.exe > Accessibility Wizard for walking you through setting up your machine for your mobility needs. 辅助工具向导
acsetups.exe > ACS setup DCOM server executable
actmovie.exe > Direct Show setup tool 直接显示安装工具
append.exe > Allows programs to open data in specified directories as if they were in the current directory. 允许程序打开制定目录中的数据
arp.exe > NETWORK Display and modify IP - Hardware addresses 显示和更改计算机的IP与硬件物理地址的对应列表
at.exe > AT is a scheling utility also included with UNIX 计划运行任务
atmadm.exe > Displays statistics for ATM call manager. ATM调用管理器统计
attrib.exe > Display and modify attributes for files and folders 显示和更改文件和文件夹属性
autochk.exe > Used to check and repair Windows File Systems 检测修复文件系统
autoconv.exe > Automates the file system conversion ring reboots 在启动过程中自动转化系统
autofmt.exe > Automates the file format process ring reboots 在启动过程中格式化进程
autolfn.exe > Used for formatting long file names 使用长文件名格式
bootok.exe > Boot acceptance application for registry
bootvrfy.exe > Bootvrfy.exe, a program included in Windows 2000 that notifies the system that startup was successful.

Bootvrfy.exe can be run on a local or remote computer. 通报启动成功
cacls.exe > Displays or modifies access control lists (ACLs) of files. 显示和编辑ACL
calc.exe > Windows Calculators 计算器
cdplayer.exe > Windows CD Player CD播放器
change.exe > Change { User | Port | Logon } 与终端服务器相关的查询
charmap.exe > Character Map 字符映射表
chglogon.exe > Same as using "Change Logon" 启动或停用会话记录
chgport.exe > Same as using "Change Port" 改变端口（终端服务）
chgusr.exe > Same as using "Change User" 改变用户（终端服务）
chkdsk.exe > Check the hard disk for errors similar to Scandisk 3 Stages must specify a Drive Letter 磁盘检测程序
chkntfs.exe > Same as using chkdsk but for NTFS NTFS磁盘检测程序
cidaemon.exe > Component of Ci Filer Service 组成Ci文档服务
cipher.exe > Displays or alters the encryption of directories [files] on NTFS partitions. 在NTFS上显示或改变加密的文件或目录
cisvc.exe > Content Index -- It‘s the content indexing service for I 索引内容
ckcnv.exe > Cookie Convertor 变换Cookie
cleanmgr.exe > Disk Cleanup, popular with Windows 98 磁盘清理
cliconfg.exe > SQL Server Client Network Utility SQL客户网络工具
clipbrd.exe > Clipboard viewer for Local will allow you to connect to other clipboards 剪贴簿查看器
clipsrv.exe > Start the clipboard Server 运行Clipboard服务
clspack.exe > CLSPACK used to create a file listing of system packages 建立系统文件列表清单
cluster.exe > Display a cluster in a domain 显示域的集群
_cmd_.exe > Famous command prompt 没什么好说的！
cmdl32.exe > Connection Manager Auto-Download 自动下载连接管理
cmmgr32.exe > Connection Manager 连接管理器
cmmon32.exe > Connection Manager Monitor 连接管理器监视
cmstp.exe > Connection Manager Profile Manager 连接管理器配置文件安装程序
comclust.exe > about cluster server 集群
comp.exe > ComClust Add, Remove, or Join a cluster. 比较两个文件和文件集的内容＊
compact.exe > Displays or alters the compression of files on NTFS partitions. 显示或改变NTFS分区上文件的压缩状态
conime.exe > Console IME IME控制台
control.exe > Starts the control panel 控制面板
convert.exe > Convert File System to NTFS 转换文件系统到NTFS
convlog.exe > Converts MS IIS log files 转换IIS日志文件格式到NCSA格式
cprofile.exe > Copy profiles 转换显示模式
cs cript.exe > MS Windows Scripts Host Version 5.1 较本宿主版本
csrss.exe > Client Server Runtime Process 客户服务器Runtime进程
csvde.exe > Comma Separated Variable Import/Export Utility 日至格式转换程序
dbgtrace.exe > 和Terminal Server相关
dcomcnfg.exe > Display the current DCOM configuration. DCOM配置属性
dcphelp.exe > ?
dcpromo.exe > Promote a domain controller to ADSI AD安装向导
ddeshare.exe > Display DDE shares on local or remote computer DDE共享
ddmprxy.exe >
debug.exe > Runs Debug, a program testing and editing tool. 就是DEBUG啦！
dfrgfat.exe > Defrag FAT file system FAT分区磁盘碎片整理程序
dfrgntfs.exe > Defrag NTFS file system NTFS分区磁盘碎片整理程序
dfs_cmd_.exe > configures a Dfs tree 配置一个DFS树
dfsinit.exe > Distributed File System Initialization 分布式文件系统初始化
dfssvc.exe > Distributed File System Server 分布式文件系统服务器
diantz.exe > MS Cabinet Maker 制作CAB文件
diskperf.exe > Starts physical Disk Performance counters 磁盘性能计数器
dllhost.exe > dllhost is used on all versions of Windows 2000. dllhost is the hedost process for all COM+ applications.

所有COM+应用软件的主进程
dllhst3g.exe >
dmadmin.exe > Disk Manager Service 磁盘管理服务
dmremote.exe > Part of disk management 磁盘管理服务的一部分
dns.exe > DNS Applications D

3. 关于进程

把必要的进程留下不就是了。
至于那些是必要的：看看吧

EXPLORER.EXE Windows 资源管理器，或是 Windows 图形界面外壳程序，是一个重要的系统进程。注意它的正常路径是 C:\Windows 目录，否则可能是 W32.Codered 或 W32.mydoom.b@mm 病毒。没有它就没有桌面上的图。

SPOOLSV,EXE Print Spooler，管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。该进程属 Windows 系统服务。建议结束。

CTFMON。EXE Alternative User Input Services，控制Alternative User Input Text Processor (TIP) 和 Microsoft Office 语言条。Ctfmon.exe 提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。

WUAUCLT。EXE Automatic Updates自动升级，Wuauclt.exe是主管Windows自动升级的系统进程。可以在线检测最近Windows更新。如果您没有开启自动升级的话就不会有这项进程了，而且就算您开启了它，它也不是任何时候都开启的。Wuauclt.exe占用的资源也不算太小。运行时内存占用达到了6m左右，好在自动升级不是每时每刻开着的。但是如果您关闭了这个程序的话，wscenfy.exe就会启动。

LASS，EXE 该进程是多个 Windows 系统服务的宿主。包括：1) HTTP SSL，通过安全套接字层(SSL)实现 HTTP 服务的安全超文本传送协议(HTTPS)。2) IPSEC Services，提供 TCP/IP 网络上客户端和服务器之间端对端的安全，如果此服务被停用，网络上客户端和服务器之间的 TCP/IP 安全将不稳定。3) Kerberos Key Distribution Center，在域控制器上此服务启用用户使用 Kerberos 授权协议登录网络。如果此服务在域控制器上被停用，用户将无法登录网络。4) Net Logon，为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用，计算机可能无法验证用户和服务身份并且域控制器无法注册 DNS 记录。5) NT LM Security Support Provider，为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。6) Protected Storage，保护敏感数据(如私钥)的存储，以便防止未授权的服务、过程或用户对其的非法访问。如果此服务被停用，保护性存储将不可用。7) Security Accounts Manager，此服务的启动通知其他服务安全帐户管理 (SAM) 准备好接收请求。禁用此服务将使系统中的其他服务接收不到 SAM 准备好的通知，从而导致这些服务启动不正确。此服务不应被禁用。

SERVICE。EXE 该进程是多个 Windows 系统服务的宿主。包括：1) Event Log，启用在事件查看器查看基于 Windows 的程序和组件颁发的事件日志消息，无法终止此服务。2) Plug and Play，使计算机在极少或没有用户输入的情况下能识别并适应硬件的更改，终止或禁用此服务会造成系统不稳定。

WINLOGLN。EXE Windows Logon Process，Windows NT 用户登陆程序，管理用户登录和退出。该进程的正常路径应是 C:\Windows\System32 且是以 SYSTEM 用户运行，若路径是 C:\Windows 且不以 SYSTEM 用户运行，则是W32.Netsky.D@mm 蠕虫病毒，该病毒通过 EMail 邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建 SMTP 引擎在受害者的计算机上，群发邮件进行传播。手工清除该病毒时先结束病毒进程 winlogon.exe，然后删除 C:\Windows 目录下的 winlogon.exe、winlogon.dll、winlogon_hook.dll 和 winlogonkey.dll 文件，再清除 AOL instant messenger 7.0 服务，位于注册表 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services] 下的 aol7.0 键。

CSRSS。EXE Client/Server Runtime Server Subsystem，客户端服务子系统，用以控制 Windows 图形相关子系统。正常情况下在 Windows NT/2000/XP/2003 系统中只有一个 CSRSS.EXE 进程，正常位于 System32 文件夹中，若以上系统中出现两个(其中一个位于 Windows 文件夹中)，或在 Windows 9X/Me 系统中出现该进程，则是感染了 Trojan.Gutta 或 W32.Netsky.AB@mm 病毒。另外，目前新浪利用了系统漏洞传播的一个类似于病毒的小插件，它会产生名为 nmgamex.dll、sinaproc327.exe、csrss.exe 三个常驻文件，并且在系统启动项中自动加载，在桌面产生一个名为“新浪游戏总动园”的快捷方式，不仅如此，新浪还将 Nmgamex.dll 文件与系统启动文件 rundll32.exe 进行绑定，并且伪造系统文件 csrss.exe，产生一个同名的文件与系统绑定加载到系统启动项内，无法直接关闭系统进程后删除。手工清除方法：先先修改注册表，清除名为启动项：NMGameX.dll、csrss.exe，然后删除 System32\NMGameX.dll、System32\sinaproc327.exe 和 Windows\NMWizardA14.exe 三个文件，再修改 Windows 文件夹中的 csrss.exe 文件为任意一个文件名，从新启动计算机后删除修改过的 csrss.exe 文件。

SMSS。EXE Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应(挂起)。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"%WINDIR%\SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe，再删除%WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。

IGFXPERS。EXE Intel Graphics Tray，INTEL 图形驱动控制台的托盘图标。它常和 HKCMD.EXE 一起出现，支持热键改变显示模式。

HKCMD。EXE Intel 热键命令模块，常和 igfxtray.exe 一起出现，它是运行 CMD 的一个后门，可能被病毒所利用，需要注意。有该后门，系统运行变慢，耗用大量资源，可以在注册表中删除其启动项。

ALG。EXE Application Layer Gateway Service，应用程序网关服务，为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持。该进程属 Windows 系统服务。

SYSTEM Microsoft Windows系统进程。

SYSTEM IDLE PROCESS Windows页面内存管理进程，该进程拥有0级优先。它作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。它的CPU占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU资源紧张。

SVCHOST。EXE Service Host Process是一个标准的动态连接库主机处理服务。Svchost.exe文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的Windows\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。Windows 2000一般有2个Svchost进程，一个是RPCSS(Remote Procere Call)服务进程，另外一个则是由很多服务共享的一个Svchost.exe；而在windows XP中，则一般有4个以上的Svchost.exe服务进程；Windows 2003 server中则更多。Svchost.exe是一个系统的核心进程，并不是病毒进程。但由于Svchost.exe进程的特殊性，所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。如果您怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会在C:\Windows\System32目录下找到一个Svchost.exe程序，如果您在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了。

系统进程
（1）[system Idle Process]

进程文件: [system process] or [system process]

进程名称: Windows内存处理系统进程

描 述: Windows页面内存管理进程，拥有0级优先。

介 绍：该进程作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU资源紧张。

（2）[alg.exe]

进程文件: alg or alg.exe

进程名称: 应用层网关服务

描 述: 这是一个应用层网关服务用于网络共享。

介 绍：一个网关通信插件的管理器，为 “Internet连接共享服务”和 “Internet连接防火墙服务”提供第三方协议插件的支持。

（3）[csrss.exe]

进程文件: csrss or csrss.exe

进程名称: Client/Server Runtime Server Subsystem

描 述: 客户端服务子系统，用以控制Windows图形相关子系统。

介 绍: 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss用于维持Windows的控制，创建或者删除线程和一些16位的虚拟MS-DOS环境。

（4）[ddhelp.exe]

进程文件: ddhelp or ddhelp.exe

进程名称: DirectDraw Helper

描 述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。

简 介：Directx 帮助程序

（5）[dllhost.exe]

进程文件: dllhost or dllhost.exe

进程名称: DCOM DLL Host进程

描 述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。

介 绍：com代理，系统附加的dll组件越多，则dllhost占用的cpu资源和内存资源就越多，而8月的“冲击波杀手”大概让大家对它比较熟悉吧。

（6）[explorer.exe]

进程文件: explorer or explorer.exe

进程名称: 程序管理

描 述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell，包括开始菜单、任务栏，桌面和文件管理。

介 绍：这是一个用户的shell，在我们看起来就像任务条，桌面等等。或者说它就是资源管理器，不相信你在运行里执行它看看。它对windows系统的稳定性还是比较重要的，而红码也就是找它的麻烦，在c和d根下创建explorer.exe。

（7）[inetinfo.exe]

进程文件: inetinfo or inetinfo.exe

进程名称: IIS Admin Service Helper

描 述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug调试除错。

介绍：IIS服务进程，蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。

（8）[internat.exe]

进程文件: internat or internat.exe

进程名称: Input Locales

描 述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。

介 绍：它主要是用来控制输入法的，当你的任务栏没有“EN”图标，而系统有internat.exe进程，不妨结束掉该进程，在运行里执行internat命令即可。

（9）[kernel32.dll]

进程文件: kernel32 or kernel32.dll

进程名称: Windows壳进程

描 述: Windows壳进程用于管理多线程、内存和资源。

介 绍：更多内容浏览非法操作与Kernel32解读

（10）[lsass.exe]

进程文件: lsass or lsass.exe

进程名称: 本地安全权限服务

描 述: 这个本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。

介 绍：这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞，正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过1000个"AND"的请求，并发送给服务器，导致触发堆栈溢出，使Lsass.exe服务崩溃，系统在30秒内重新启动。

（11）[mdm.exe]

进程文件: mdm or mdm.exe

进程名称: Machine Debug Manager

描 述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft Script Editor脚本编辑器。

介 绍：Mdm.exe的主要工作是针对应用软件进行排错(Debug)，说到这里，扯点题外话，如果你在系统见到fff开头的0字节文件，它们就是mdm.exe在排错过程中产生一些暂存文件，这些文件在操作系统进行关机时没有自动被清除，所以这些fff开头的怪文件里是一些后缀名为CHK的文件都是没有用的垃圾文件，可匀我馍境��换岫韵低巢��涣加跋臁6?X系统，只要系统中有Mdm.exe存在，就有可能产生以fff开头的怪文件。可以按下面的方法让系统停止运行Mdm.exe来彻底删除以fff开头的怪文件：首先按“Ctrl+Alt+Del”组合键，在弹出的“关闭程序”窗口中选中“Mdm”，按“结束任务”按钮来停止Mdm.exe在后台的运行，接着把Mdm.exe(在C:\Windows\System目录下)改名为Mdm.bak。运行msconfig程序，在启动页中取消对“Machine Debug Manager”的选择。这样可以不让Mdm.exe自启动，然后点击“确定”按钮，结束msconfig程序，并重新启动电脑。另外，如果你使用IE 5.X以上版本浏览器，建议禁用脚本调用(点击“工具→Internet选项→高级→禁用脚本调用”)，这样就可以避免以fff开头的怪文件再次产生。

（12）[mmtask.tsk]

进程文件: mmtask or mmtask.tsk

进程名称: 多媒体支持进程

描 述: 这个Windows多媒体后台程序控制多媒体服务，例如MIDI。

介 绍：这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行。

（13）[mprexe.exe]

进程文件: mprexe or mprexe.exe

进程名称: Windows路由进程

描 述: Windows路由进程包括向适当的网络部分发出网络请求。

介 绍：这是Windows的32位网络界面服务进程文件，网络客户端部件启动的核心。印象中“A-311木马(Trojan.A-311.104)”也会在内存中建立mprexe.exe进程，可以通过资源管理结束进程。

（14）[msgsrv32.exe]

进程文件: msgsrv32 or msgsrv32.exe

进程名称: Windows信使服务

描 述: Windows信使服务调用Windows驱动和程序管理在启动。

介 绍：msgsrv32.exe 一个管理信息窗口的应用程序，win9x下如果声卡或者显卡驱动程序配置不正确，会导致死机或者提示msgsrv32.exe 出错。

（15）[mstask.exe]

进程文件: mstask or mstask.exe

进程名称: Windows计划任务

描 述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。

介 绍：计划任务，它通过注册表自启动。因此，通过计划任务程序实现自启动的程序在系统信息中看不到它的文件名，一旦把它从注册表中删除或禁用，那么通过计划任务启动的程序全部不能自动运行。win9X下系统启动就会开启计划任务，可以通过双击计划任务图标－高级－终止计划任务来停止它自启动。另外，攻击者在攻击过程中，也经常用到计划任务，包括上传文件、提升权限、种植后门、清扫脚印等。

（16）[regsvc.exe]

进程文件: regsvc or regsvc.exe

进程名称: 远程注册表服务

描 述: 远程注册表服务用于访问在远程计算机的注册表。

（17）[rpcss.exe]

进程文件: rpcss or rpcss.exe

进程名称: RPC Portmapper

描 述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。

介 绍：98它不是在装载解释器时或引导时启动，如果使用中有问题，可以直接在在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices添加"字符串值"，定向到"C:\WINDOWS\SYSTEM\RPCSS"即可。

（18）[services.exe]

进程文件: services or services.exe

进程名称: Windows Service Controller

描 述: 管理Windows服务。

介 绍：大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务，可以看到有很多服务都是在调用%systemroot%\system32\service.exe

（19）[smss.exe]

进程文件: smss or smss.exe

进程名称: Session Manager Subsystem

描 述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。

简 介：这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。

（20）[snmp.exe]

进程文件: snmp or snmp.exe

进程名称: Microsoft SNMP Agent

描 述: Windows简单的网络协议代理（SNMP）用于监听和发送请求到适当的网络部分。

简 介：负责接收SNMP请求报文，根据要求发送响应报文并处理与WinsockAPI的接口。

（21）[spool32.exe]

进程文件: spool32 or spool32.exe

进程名称: Printer Spooler

描 述: Windows打印任务控制程序，用以打印机就绪。

（22）[spoolsv.exe]

进程文件: spoolsv or spoolsv.exe

进程名称: Printer Spooler Service

描 述: Windows打印任务控制程序，用以打印机就绪。

介 绍：缓冲（spooler）服务是管理缓冲池中的打印和传真作业。

（23）[stisvc.exe]

进程文件: stisvc or stisvc.exe

进程名称: Still Image Service

描 述: Still Image Service用于控制扫描仪和数码相机连接在Windows。

（24）[svchost.exe]

进程文件: svchost or svchost.exe

进程名称: Service Host Process

描 述: Service Host Process是一个标准的动态连接库主机处理服务.

介 绍：Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。windows 2k一般有2个svchost进程，一个是RPCSS（Remote Procere Call）服务进程，另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中，则一般有4个以上的svchost.exe服务进程，windows 2003 server中则更多。

（25）[taskmon.exe]

进程文件: taskmon or taskmon.exe

进程名称: Windows Task Optimizer

描 述: windows任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘。

介 绍：任务管理器，它的功能是监视程序的执行情况并随时报告。能够监测所有在任务栏中以窗口方式运行的程序，可打开和结束程序，还可直接调出关闭系统对话框。

（26）[tcpsvcs.exe]

进程文件: tcpsvcs or tcpsvcs.exe

进程名称: TCP/IP Services

描 述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。

（27）[winlogon.exe]

进程文件: winlogon or winlogon.exe

进程名称: Windows Logon Process

描 述: Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。

（28）[winmgmt.exe]

进程文件: winmgmt or winmgmt.exe

进程名称: Windows Management Service

描 述: Windows Management Service透过Windows Management Instrumentation data WMI)技术处理来自应用客户端的请求。

简 介：winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化。WinMgmt.exe（CIM对象管理器）和知识库（Repository）是WMI两个主要构成部分，其中知识库是对象定义的数据库，它是存储所有可管理静态数据的中心数据库，对象管理器负责处理知识库中对象的收集和操作并从WMI提供程序收集信息。WinMgmt.exe在Windows 2k/NT上作为一个服务运行，而在Windows 95/98上作为一个独立的exe程序运行。Windows 2k系统在某些计算机上出现的WMI错误可以通过安装Windows 2k SP2来修正。

（29）[system]

进程文件: system or system

进程名称: Windows System Process

描 述: Microsoft Windows系统进程。

介 绍：在任务管理器中会看到这项进程，属于正常系统进程。

系统进程就介绍到这里。

在Windows2k/XP中，以下进程是必须加载的：

smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe(可以同时存在多个)、spoolsv.exe、explorer.exe、System Idle Process；

在Windows 9x中，一下进程是必须加载的：

msgsrv32.exe、mprexe.exe、mmtask.tsk、kenrel32.dll

4. 系统常见的进程有哪些，都有什么作用

常见的有如下这些：system， upsvc.exe，svchost.exe（这个有好多种，取决于你所运行的程序，这个要注意如SVHOST.EXE大写的有的是病毒木马进程），smss.exe，csrss.exe，winlogon.exe
serves.exe，lsass.exe，alg.exe，wuauclt.exe（这是AutomaticUpdates自动更新程序，用于在线检测最近Windows更新。你如果禁止windows自动更新，就没有）explorer.exe（Windows图形界面外壳程序，或是Windows资源管理器程序。注意，该进程的正常路径位于Windows目录，否则可能是病毒或木马程序。
System：系统进程
alg.exe：，应用程序网关服务，为Internet连接共享和Windows防火墙提供第三方协议插件的支持。该进程属Windows系统服务。
smss.exe：Windows NT session Manager 进程
csrss.exe：Client/ServerRuntimeServerSubsystem，客户端服务子系统，用以控制Windows图形相关子系统。
winlogon.exe: windows nt 用户登陆程序
lsass.exe：系统常见的进程有哪些，都有什么作用？
浏览次数：8次悬赏分：0 | 离问题结束还有 1 天 5 小时 | 提问者：freeky_yx | 检举

输入内容已经达到长度限制
还能输入 9595 字插入图片删除图片插入地图删除地图插入视频视频地图常见的有如下这些：system， upsvc.exe，svchost.exe（这个有好多种，取决于你所运行的程序，这个要注意如SVHOST.EXE大写的有的是病毒木马进程），smss.exe，csrss.exe，winlogon.exe
serves.exe，lsass.exe，alg.exe，wuauclt.exe（这是AutomaticUpdates自动更新程序，用于在线检测最近Windows更新。你如果禁止windows自动更新，就没有）explorer.exe（Windows图形界面外壳程序，或是Windows资源管理器程序。注意，该进程的正常路径位于Windows目录，否则可能是病毒或木马程序。
System：系统进程
alg.exe：，应用程序网关服务，为Internet连接共享和Windows防火墙提供第三方协议插件的支持。该进程属Windows系统服务。
smss.exe：Windows NT session Manager 进程
csrss.exe：Client/ServerRuntimeServerSubsystem，客户端服务子系统，用以控制Windows图形相关子系统。
winlogon.exe: windows nt 用户登陆程序
lsass.exe：该进程是多个Windows系统服务的宿主。包括：1)HTTPSSL，通过安全套接字层(SSL)实现HTTP服务的安全超文本传送协议(HTTPS)。2)IPSECServices，提供TCP/IP网络上客户端和服务器之间端对端的安全，如果此服务被停用，网络上客户端和服务器之间的TCP/IP安全将不稳定。3)KerberosKeyDistributionCenter，在域控制器上此服务启用用户使用Kerberos授权协议登录网络。如果此服务在域控制器上被停用，用户将无法登录网络。4)NetLogon，为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用，计算机可能无法验证用户和服务身份并且域控制器无法注册DNS记录。5)NTLMSecuritySupportProvider，为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。6)ProtectedStorage，保护敏感数据(如私钥)的存储，以便防止未授权的服务、过程或用户对其的非法访问。如果此服务被停用，保护性存储将不可用。7)SecurityAccountsManager，此服务的启动通知其他服务安全帐户管理(SAM)准备好接收请求。

5. 我电脑任务管理器里有个进程

p2psvr.exe
搜狗P2P下载插件相关服务进程。

smss.exe
SessionManagerSubsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32(csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon.exe 或者csrss.exe结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应(挂起)。要注意，如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径位于Windows目录，那有可能是中了 TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN"="%WINDIR%\ SMSS.EXE"。手工清除时请先结束病毒进程smss.exe，再删除Windows目录下的smss.exe文件，然后清除它在注册表和 WIN.INI文件中的相关项即可。

csrss.exe
Client/ServerRuntimeServerSubsystem，客户端服务子系统，用以控制Windows图形相关子系统。正常情况下在WindowsNT/2000/XP/2003系统中只有一个csrss.exe进程，正常位于System32文件夹中，若以上系统中出现两个csrss.exe进程(其中一个位于Windows文件夹中)，或在Windows9X/Me系统中出现该进程，则是感染了病毒。

lsass.exe
该进程是多个Windows系统服务的宿主。包括：1)HTTPSSL，通过安全套接字层(SSL)实现HTTP服务的安全超文本传送协议(HTTPS)。2)IPSECServices，提供TCP/IP网络上客户端和服务器之间端对端的安全，如果此服务被停用，网络上客户端和服务器之间的TCP/IP安全将不稳定。3)KerberosKeyDistributionCenter，在域控制器上此服务启用用户使用Kerberos授权协议登录网络。如果此服务在域控制器上被停用，用户将无法登录网络。4)NetLogon，为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用，计算机可能无法验证用户和服务身份并且域控制器无法注册DNS记录。5)NTLMSecuritySupportProvider，为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。6)ProtectedStorage，保护敏感数据(如私钥)的存储，以便防止未授权的服务、过程或用户对其的非法访问。如果此服务被停用，保护性存储将不可用。7)SecurityAccountsManager，此服务的启动通知其他服务安全帐户管理(SAM)准备好接收请求。禁用此服务将使系统中的其他服务接收不到SAM准备好的通知，从而导致这些服务启动不正确。此服务不应被禁用

winlogon.exe
WindowsLogonProcess，WindowsNT用户登陆程序，管理用户登录和退出。该进程的正常路径应是C:\Windows\System32且是以SYSTEM用户运行，若不是以上路径且不以SYSTEM用户运行，则可能是W32.Netsky.D@mm蠕虫病毒，该病毒通过EMail邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建SMTP引擎在受害者的计算机上，群发邮件进行传播。手工清除该病毒时先结束病毒进程winlogon.exe，然后删除C:\Windows目录下的winlogon.exe、winlogon.dll、winlogon_hook.dll和winlogonkey.dll文件，再清除AOLinstantmessenger7.0服务，位于注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下的aol7.0键

alg.exe
，应用程序网关服务，为Internet连接共享和Windows防火墙提供第三方协议插件的支持。该进程属Windows系统服务。

ctfmon.exe
用户输入法选择服务，用于控制输入法语言条，提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。

conime.exe
ConsoleIME(IME控制台)是输入法编辑器，允许用户使用标准键盘就能输入复杂的字符与符号。但如果CONIME.EXE的路径不是系统目录，而是其它别的地方的话，则可能是某病毒程序。如BFGhost1.0远程控制后门的程序，这个后门程序能够运行攻击者访问您的计算机，窃取密码和个人数据。还要注意某些病毒可能会模仿其文件名以骗过用户注意，如QQ爱虫病毒为comime.exe与之只有一个字母之差。

6. 计算机有哪些常用进程

1、smss.exeSession Manager
2、csrss.exe子系统服务器进程
3、winlogon.exe管理用户登录
4、services.exe包含很多系统服务
5、lsass.exe管理IP 安全策略以及启动ISAKMP/Oakley (IKE) 和IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据
6、ticket。(系统服务) ->netlogon
7、svchost.exe包含很多系统服务!!!->eventsystem
8、SPOOLSV.EXE将文件加载到内存中以便迟后打印（没有打印机也不必了）。
9、explorer.exe资源管理器
10、internat.exe托盘区的拼音图标，装了OfficeXP及以上者为ctfmon.exe。
二、附加的系统进程
这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少
1、mstask.exe允许程序在指定时间运行。(系统服务)->schele
2、regsvc.exe允许远程注册表操作。(系统服务)->remoteregister 3、winmgmt.exe提供系统管理信息(系统服务)。
4、inetinfo.exe->msftpsvc,w3svc,iisadmn
5、tlntsvr.exe->tlnrsvr
6、tftpd.exe实现TFTP Internet 标准。该标准不要求用户名和密码，是远程安装服务的一部分。(系统服务)
7、termsrv.exe提供多会话环境允许客户端设备访问虚拟的Windows 2000 Professional 桌面会话以及运行在服务器上的基于Windows 的程序。(系统服务)
8、dns.exe应答对域名系统(DNS)名称的查询和更新请求。(系统服务)
三、以下全是系统服务,并且很少会用到，如果你暂时用不着,应该关掉(对安全有害)
1、tcpsvcs.exe提供在PXE 可远程启动客户计算机上远程安装Windows 2000 Professional 的能力。(系统服务)->simptcp支持以下TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及Quote of the Day。(系统服务)
2、ismserv.exe允许在Windows Advanced Server 站点间发送和接收消息。(系统服务)
3、ups.exe管理连接到计算机的不间断电源(UPS)。(系统服务)
4、wins.exe为注册和解析NetBIOS 型名称的TCP/IP 客户提供NetBIOS 名称服务。(系统服务)
5、llssrv.exeLicense Logging Service(system service) 6、ntfrs.exe在多个服务器间维护文件目录内容的文件同步。(系统服务)
7、RsSub.exe控制用来远程储存数据的媒体。(系统服务)
8、locator.exe管理RPC 名称服务数据库.(rpclocator 区RpcSs)
9、lserver.exe注册客户端许可证。(系统服务)
10、dfssvc.exe管理分布于局域网或广域网的逻辑卷。(系统服务)
11、clipsrv.exe支持"剪贴簿查看器"，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
12、msdtc.exe并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)
13、faxsvc.exe帮助您发送和接收传真。(系统服务)
14、cisvc.exeIndexing Service(system service)!!!
15、dmadmin.exe磁盘管理请求的系统管理服务。(系统服务)
16、mnmsrvc.exe允许有权限的用户使用NetMeeting 远程访问Windows 桌面。(系统服务)
17、netdde.exe提供动态数据交换(DDE) 的网络传输和安全特性。(系统服务)
18、smlogsvc.exe配置性能日志和警报。(系统服务)
19、rsvp.exe为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
20、RsEng.exe协调用来储存不常用数据的服务和管理工具。(系统服务)
21、RsFsa.exe管理远程储存的文件的操作。(系统服务)
22、grovel.exe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)
23、SCardSvr.exe对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务) 24、snmp.exe包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
25、snmptrap.exe接收由本地或远程SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上SNMP 管理程序。(系统服务)
26、UtilMan.exe从一个窗口中启动和配置辅助工具。(系统服务)
27、msiexec.exe依据.MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)
其它补充：
sfmprint.exe > Print Services for Macintosh 打印Macintosh服务
Nspmon.exe Windows Media Monitor Service (NsMonitor)
Nsum.exe Windows Media Unicast Service (NsUnicast) 微软文档：Windows 2000 中的默认进程
Csrss.exe - 您无法从任务管理器中结束此进程。
Win32 子系统的用户模式部分（Win32.sys 是内核模式部分）。Csrss 代表 client/server run-time subsystem（客户端/服务器运行时子系统），它是一个基本的子系统，必须始终运行。Csrss 负责管理控制台窗口，创建和/或删除线程，并且负责16 位虚拟MS-DOS 环境的某些部分。
Explorer.exe - 您可以从任务管理器中结束此进程。 这是用户外壳程序，即我们熟悉的任务栏、桌面等。该进程对于Windows 的正常运行所起的作用并不像我们想象的那么重要，并且可以从任务管理器中停止（并重新启动）它，而且通常不会给系统带来任何副作用。
Internat.exe - 您可以从任务管理器中结束此进程。 Internat.exe 在启动时运行；它加载由用户指定的不同的输入法区域设置。为当前用户加载的区域设置来自以下注册表项： HKEY_CURRENT_USERKeyboard LayoutPreload Internat.exe 将"EN"图标加载到任务栏中，这使得用户可以轻松地在区域设置之间切换。当该进程停止时，此图标将消失，但是仍然可以通过"控制面板"更改区域设置。
注意："系统"的区域设置是从以下位置加载的： HKEY_USERS.DEFAULTKeyboard LayoutPreload 这些区域设置由"本地系统"帐户下运行的系统服务使用，或者在没有用户登录时（例如，在出现登录提示时）使用 Lsass.exe - 您无法从任务管理器中结束此进程。
本地安全身份验证服务器，它生成的进程将负责验证用户的身份以使用Winlogon 服务。该进程通过使用身份验证程序包（如默认的Msgina.dll）来执行。如果身份验证成功，Lsass 将生成用户的访问令牌，该令牌用于启动初始外壳程序。该用户启动的其他进程将继承这一令牌。
Mstask.exe - 您无法从任务管理器中结束此进程。 任务计划程序服务，负责在用户预定的时间运行任务。 Smss.exe - 您无法从任务管理器中结束此进程。 这是会话管理器子系统，负责启动用户会话。该进程由系统线程启动，并负责各种活动，其中包括启动Winlogon 和Win32 (Csrss.exe) 进程以及设置系统变量。当它启动这些进程后，它将等待Winlogon 或Csrss 结束。如果这些过程"正常"发生，系统将会关闭；如果这些过程出现异常，Smss.exe 将导致系统停止响应（挂起）。
Spoolsv.exe - 您无法从任务管理器中结束此进程。 后台打印程序服务负责管理发送到后台的打印/传真作业。
Svchost.exe - 您无法从任务管理器中结束此进程。 这是一个通用进程，它充当从DLL 运行的其他进程的宿主；因此，该进程会对应有多个项目，这是很正常的。要查看哪些进程正在使用Svchost.exe，请使用Windows 2000 安装光盘中的Tlist.exe；语法是在命令提示符处键入
tlist -s Services.exe - 您无法从任务管理器中结束此进程。 这是服务控制管理器，负责启动、停止系统服务以及与系统服务进行交互。
System - 您无法从任务管理器中结束此进程。 大多数系统内核模式的线程都作为系统进程运行。
System Idle Process - 您无法从任务管理器中结束此进程。 该进程是在各个处理器上运行的单个线程，它唯一的任务是在系统没有处理其他线程时占用处理器时间。在任务管理器中，此进程会占用绝大部分的处理器时间。 Taskmgr.exe - 您可以从任务管理器中结束此进程。 这是任务管理器自身的进程
Winlogon.exe - 您无法从任务管理器中结束此进程。 该进程负责管理用户登录和注销。此外，仅当用户按Ctrl+Alt+Del 时，Winlogon 才会被激活，此时它会显示安全对话框。
Winmgmt.exe- 您无法从任务管理器中结束此进程。
Winmgmt.exe 是Windows 2000 中客户端管理的核心组件。当第一个客户端应用程序进行连接时，该进程将进行初始化，或者当管理应用程序请求该进程的服务时，该进程会不断地进行初始化 许多无法从任务管理器中结束的进程都可以使用资源工具箱实用工具 kill.exe来结束。但是，该命令可能会导致系统故障或其他不希望出现的副作用。
出处： http://tieba..com/f?kz=126015498

7. 公司的电脑，有很多电脑突然svchost进程就到达%99，把电脑卡死了。查看pid.然后查看是什么

您好 svchost被称之为宿主进程，其本身并不是病毒，且其本身搭载许多关键进程，不能被结束或删除

需要您检查服务项

8. 宿主进程的什么是宿主进程

说明：
宿主进程文件 (.vshost.exe) 由 Visual Studio 2005 使用，不应通过应用程序直接运行或部署。
提高的调试性能
宿主进程创建一个应用程序域并将调试器与应用程序关联起来。执行这些任务会导致在开始调试和开始运行应用程序之间有很明显的延迟。通过在后台创建应用程序域和关联调试器，并在运行应用程序之间保存应用程序域和调试器状态，宿主进程使性能得到提高。有关应用程序域的更多信息，请参见应用程序域。
部分信任调试
在“项目设计器”的安全页中，可将应用程序指定为部分信任应用程序。调试部分信任应用程序需要对应用程序域进行特殊的初始化。此初始化由宿主进程处理。
设计时表达式计算
设计时表达式计算使您可以从“即时”窗口进行代码测试，而不必运行应用程序。宿主进程在设计时表达式计算期间执行此代码。有关更多信息，请参见即时窗口。