文件位于 %SystemRoot%/System32 文件夹中。启动时,Svchost.exe 将检查注册表的服务部分,以构建需要加载的服务的列表。Svchost.exe 的多个实例可同时运行。每个 Svchost.exe 会话可以包含一组服务,以便可以根据 Svchost.exe 的启动方式和位置的不同运行不同的服务。可以更好进行控制,且更加便于调试。
explorer.exe
Windows 资源管理器,可以说是 Windows 图形界面外壳程序,它是一个有用的系统进程。注意它的正常路径是 C:/Windows 目录,否则可能是 W32.Codered 或 W32.mydoom.b@mm 病毒。explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。
winlogon.exe
Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。该进程的正常路径应是 C:/Windows/System32 且是以 SYSTEM 用户运行,若不是以上路径且不以 SYSTEM 用户运行,则可能是 W32.Netsky.D@mm 蠕虫病毒,该病毒通过 EMail 邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建 SMTP 引擎在受害者的计算机上,群发邮件进行传播。
csrss.exe
csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。这个进程的安全等级是建议立即进行删除。
taskmgr.exe
taskmgr.exe用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开,这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
spoolsv.exe
spoolsv.exe 是Print Spooler的进程,管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用,本地计算机上的打印将不可用。该进程属 Windows 系统服务。
Services.exe
services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。终止进程后会重启。正常的services.exe应位于%systemroot%/System32文件夹中,也就是在进程里用户名显示为“system”,不过services也可能是W32.Randex.R(储存在%systemroot%/system32/目录)和Sober.P (储存在%systemroot%/Connection Wizard/Status/目录)木马。
soundman.exe
soundman.exe是Realtek声卡相关程序。该进程在系统托盘驻留,用于进行快速访问和诊断
ctfmon.exe
ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能导致不可知的问题。
hkcmd.exe
hkcmd.exe此进程是主板上集成显卡的一个驱动控制台文件, 常和 igfxtray.exe 一起出现,如intel865G芯片集成的显卡。但该命令常会被黑客或木马利用,需要注意。可以禁用,不是病毒,但可能被病毒替代。如果杀毒软件没报,应该不必担心。
igfxpers.exe
igfxpers.exe 是Intel 的用户界面公共处理程序. 此进程的作用是在系统启动后,初始化视频设置,一般刚启动进入桌面有几次黑屏的现象就是此程序运行而出现的,属于正常现象,可以禁用该启动项。
LSASS.EXE
进程名称: lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享传播。
如果你的启动菜单(开始-运行-输入“msconfig”)里有个lsass.exe启动项,那就证明你的lsass.exe是木马病毒,中毒后,在进程里可以见到有两个相同的进程,分别是lsass.exe和LSASS.EXE,同时在windows下生成LSASS.EXE和exert.exe两个可执行文件,且在后台运行,LSASS.EXE管理exe类执行文件,exert.exe管理程序退出,还会在D盘根目录下产生command.com和 autorun.inf两个文件,同时侵入注册表破坏系统文件关联。
system idle process
Windows页面内存管理进程,拥有0级优先;该程序使用Ctrl+Alt+Del打开,该进程作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多,数字越小则表示CPU资源紧张。该进程是系统必须的,不能禁止。
Smss
该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。smss.exe是微软windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是win32.ladex.a木马。请注意此进程所在的文件夹,正常的进程应该是在windows的system32和servicepackfiles/i386下面
Winword
winword.exe是微软Microsoft Word的主程序。
JQS.exe
Java Quick Starter(JQS)为了提高Applet程序和Java应用程序的初始启动速度,会周期性预加载一些常用的JRE文件到内存(占用不多于20M的内存)。之后,当Java程序启动时,磁盘I/O将会显著减少,那么启动速度也就大大加快了。JQS会作为一个Windows服务启动,在任务管理器中会看到一个名为jqs.exe的进程。
jusched.exe
jusched.exe是Sun Microsystem公司的Java2套装相关进程,用于检测Java的升级
txplatform.exe
腾讯即时通讯客户端相关程序,用于阻止同一个QQ号在同一台电脑上登陆2次。