smss.exeSessionManagercsrss.exe子系統(tǒng)服務(wù)器進(jìn)程winlogon.exe管理用戶登錄services.exe包含很多系統(tǒng)服務(wù)lsass.exe管理IP安全策略以及啟動(dòng)ISAKMP/Oakley（IKE）和IP安全驅(qū)動(dòng)程序。（系統(tǒng)服務(wù)）產(chǎn)生會話密鑰以及授予用于交互式客戶/服務(wù)器驗(yàn)證的服務(wù)憑據(jù)（ticket）。（系統(tǒng)服務(wù)）svchost.exe包含很多系統(tǒng)服務(wù)SPOOLSV.EXE將文件加載到內(nèi)存中以便遲后打印。（系統(tǒng)服務(wù)）explorer.exe資源管理器internat.exe托盤區(qū)的拼音圖標(biāo)1、 alg.exealg.exe進(jìn)程文件是微軟Windows操作系統(tǒng)自帶的程序，用于處理微軟Windows網(wǎng)絡(luò)連接共享和網(wǎng)絡(luò)連接防火墻。應(yīng)用程序網(wǎng)關(guān)服務(wù)，為Internet連接共享和Windows防火墻提供第三方協(xié)議插件的支持。alg.exe進(jìn)程文件是微軟Windows操作系統(tǒng)自帶的程序，用于處理微軟Windows網(wǎng)絡(luò)連接共享和網(wǎng)絡(luò)連接防火墻，應(yīng)用程序網(wǎng)關(guān)服務(wù)，為Internet連接共享和Windows防火墻提供第三方協(xié)議插件的支持。alg.exe進(jìn)程文件內(nèi)存使用約4000KB左右。在WindowsXP中，該進(jìn)程文件位于C:\Windows\system32係統(tǒng)目錄之下，這個(gè)程序?qū)δ阆到y(tǒng)的正常運(yùn)行非常重要的，最好不要結(jié)束此進(jìn)程。如果此文件出現(xiàn)在C:\windows\alg.exe系統(tǒng)目錄下，則可能是病毒。另外，當(dāng)alg.exe（或alg）為大寫ALG.exe（或ALG）時(shí)，將無法上網(wǎng)（多為無線上網(wǎng)）。只需將用戶注銷后重新登錄即可。2、 spoolsv.exespoolsv.exe是PrintSpooler的進(jìn)程，管理所有本地和網(wǎng)絡(luò)打印隊(duì)列及控制所有打印工作。如果此服務(wù)被停用，本地計(jì)算機(jī)上的打印將不可用。該進(jìn)程屬Windows系統(tǒng)服務(wù)。木馬spoolsv進(jìn)程信息：描述： 這個(gè)垃圾軟件利用將msicn\msibm.dll插入多個(gè)進(jìn)程的方法對系統(tǒng)進(jìn)行監(jiān)控，在system32下創(chuàng)建如下的東西： wmpdrm.dll1116\msicn\msibm.dllmsicn\ube.exe msicn\plugins\spoolsv\spoolsv.exe（這個(gè)還長得像微軟打印服務(wù)，shit!!） 注冊表加入如下垃圾：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows'CurrentVersion\Run]"spoolsv"="%System%\spoolsv\spoolsv.exe-printer"[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]@="%System%\wmpdrm.dll"[HKEY_CLASSES_ROOT\wmpdrm.cfsbho][HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1][HKEY_CLASSES_ROOT\TypeLib\][HKEY_CLASSES_ROOT\Interface\]然后每隔4秒左右對以上東西進(jìn)行監(jiān)控，前后互相照應(yīng)，讓你無從下手啟動(dòng)項(xiàng)c:/windows/system32/spoolsv/spoolsv.exe-printercfs2……相關(guān)文件、目錄：%System%\wmpdrm.dll%System%\1116\%System%\msicn\msibm.dll%System%\msicn\ube.exe %System%\msicn\plugins\%System%\spoolsv\spoolsv.exe%System%\spoolsv\spoolsv.exe，有一個(gè)啟動(dòng)項(xiàng)：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows'CurrentVersion\Run]"spoolsv"="%System%\spoolsv\spoolsv.exe-printer"運(yùn)行后會調(diào)用%System%\msicn\msibm.dll,創(chuàng)建%System%\1116\目錄，備份用。 %System%\1116\目錄是備份目錄，里面是%System%\wmpdrm.dll>%System%\msicn\和%System%\spoolsv\spoolsv.exe的備份。%System%\msicn\msibm.dll,會插入多個(gè)指定進(jìn)程，大約每4秒鐘監(jiān)視恢復(fù)文件（從%System%\1116\目錄）和注冊表信息（啟動(dòng)項(xiàng)、BHO）：[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows'CurrentVersion\Run]"spoolsv"[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]@="%System%\wmpdrm.dll"注："spoolsv"的數(shù)據(jù)不會被監(jiān)視，所以修改它的數(shù)據(jù)也不會被恢復(fù)，只有刪除"spoolsv"才會被恢復(fù)。還可能會從遠(yuǎn)程服務(wù)器下載文件：/secp.exesecp.exe是個(gè)安裝程序，安裝以下文件: %System%\wmpdrm.dll%System%\msicn\ube.exe%System%\msicn'plugins\（目錄里4個(gè)dll文件）%System%\wmpdrm.dll是一個(gè)BHO，%System%\msicn\ube.exe像是卸載程序。 另外，在%System%\和%System%\msicn\目錄里還有有一些從遠(yuǎn)程下載來的cpz、vxd文件，比如：ava.vxdguid.vxdplgset.vxdsafep.vxd %System%\wmpdrm.dlI作為BHO被調(diào)用后，會嘗試調(diào)用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。 注：女口果%System%\spoolsv\spoolsv.exe沒有被運(yùn)行或被調(diào)用，也就不會備份還原，好像它就是用來備份的。 另外…… 在“開始菜單”>>“程序”里可能會有一項(xiàng)“NavAngel”，里面有個(gè)快捷方式NavAngel.lnk,指向：%System%\spoolsv\spoolsv.exe-ctrlfun:4,3 “添加/刪除程序"里有一項(xiàng)“NavAngel”，對應(yīng)命令是：%System%\spoolsv\spoolsv.exe-ctrlfun:4,2還有一項(xiàng)“WinDirected2.0”，對應(yīng)命令是：%System%\spoolsv\spoolsv.exe-uninst還可能會有mscache\目錄，從名字看像是存放臨時(shí)緩存文件的。 BHO相關(guān)注冊表信息：[HKEY_CLASSES_ROOT\CLSID\][HKEY_CLASSES_ROOT\wmpdrm.cfsbho][HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1][HKEY_CLASSES_ROOT\TypeLib\][HKEY_CLASSES_ROOT\Interface\]判別自己是否中毒1、點(diǎn)開始一運(yùn)行，輸入msconfig，回車，打開實(shí)用配置程序，選擇啟動(dòng)"，感染以后會在啟動(dòng)項(xiàng)里面發(fā)現(xiàn)運(yùn)行Spoolsv.exe的啟動(dòng)項(xiàng)，每次進(jìn)入windows會有NTservice的對話框。2、打開系統(tǒng)盤，假設(shè)C盤，看是否存在C:\WINDOWS\system32\spoolsv文件夾，里面有個(gè)spoolsv.exe文件，有"傲訊瀏覽器輔助工具”的字樣說明，正常的spoolsv.exe打印機(jī)緩沖池文件應(yīng)該在C:\WINDOWS\system32目錄下。3,打開任務(wù)管理器，會發(fā)現(xiàn)spoolsv.exe進(jìn)程，而且CPU占用率很高。清除方法1、重新啟動(dòng)，開機(jī)按F8進(jìn)入安全模式。2、點(diǎn)開始一運(yùn)行，輸入cmd，進(jìn)入dos。利用rd命令刪除以下目錄（如果存在）（在dos窗口下輸入：rd（空格）C:\WINDOWS\system32\spoolsv/s,回車，出現(xiàn)提示，輸入y回車，即可刪除整個(gè)目錄。）：C:\WINDOWS\system32\msibmC:\WINDOWS\system32\spoolsvC:\WINDOWS\system32\bakcfsC:\WINDOWS\system32\msicn利用del命令刪除下面的文件（如果存在）（比如在dos窗口下輸入：del（空格）C:\windows\system32\spoolsv.exe，回車，即可刪除被感染的spoolsv.exe，這個(gè)文件可以在殺毒結(jié)束后在別的正常的機(jī)器上復(fù)制正常的spoolsv.exe粘貼到C:\windows\system32文件夾。）： C:\windows\system32\spoolsv.exeC:\WINDOWS\system32\wmpdrm.dll 3、重啟按F8再次進(jìn)入安全模式。（1）桌面右鍵點(diǎn)擊我的電腦，選擇“管理”，點(diǎn)擊“服務(wù)和應(yīng)用程序”-“服務(wù)”，右鍵點(diǎn)擊NTservice，選擇“屬性”，修改啟動(dòng)類型為“禁用”。 、 （2）點(diǎn)開始，運(yùn)行，輸入regedit，回車打開注冊表，點(diǎn)菜單上的編輯，選擇查找，查找含有spoolsv.exe的注冊表項(xiàng)目，刪除?？梢岳肍3繼續(xù)查找，將含有spoolsv.exe的注冊表項(xiàng)目全部刪除。4、若以上操作完成后,仍然有該進(jìn)程。請桌面右鍵點(diǎn)擊我的電腦，選擇“管理”，點(diǎn)擊“服務(wù)和應(yīng)用程序”-“服務(wù)”，右鍵點(diǎn)擊printspooler，選擇屬性”，先點(diǎn)停止”然后修改啟動(dòng)類型為手動(dòng)或“禁用”。隨后重復(fù)以上步驟。另外解決方案直接刪除C:\WINDOWS\system32\spool\PRINTERS下的文件即可我還遇到一種情況：經(jīng)檢查，不是以上所描述的病毒，但經(jīng)常占CPU100%，但是連續(xù)關(guān)進(jìn)程幾次，便不再出現(xiàn)，奇怪。 如上所述，在system32里有spool文件夾。直接把\PRINTERS下的文件刪除，便解決了這個(gè)問題。 這可能不是“病毒”問題，而是系統(tǒng)的故障，但出現(xiàn)了還是很麻煩的。殺毒后處理病毒清了后你的SPOOLSV.EXE文件就沒有了，且在服務(wù)里你的后臺打印printspooler也不能啟動(dòng)了，當(dāng)然打印機(jī)也不能運(yùn)行了，在運(yùn)行里輸入“services.msc”后，在“printspooler”服務(wù)中的“常規(guī)”項(xiàng)里的“可執(zhí)行文件路徑”也變得不可用，如啟動(dòng)會顯示“錯(cuò)誤3:找不到系統(tǒng)路徑”的錯(cuò)誤，這是因?yàn)槟愕淖员淼南嚓P(guān)項(xiàng)也刪了，（在上面清病毒的時(shí)候） 解決方法： 1：在安裝光盤里1386目錄下把SP00LSV.EX_文件復(fù)制到SYSTEM32目錄下改名為spoolsv.exe,當(dāng)然也可以在別人的系統(tǒng)時(shí)把這個(gè)文件拷過來，還可以用NT/XP的文件保護(hù)功能，即在CMD里鍵入SFC/SCANNOW全面修復(fù),反正你把這個(gè)文件恢復(fù)就可以了。2：修改注冊表即可： 進(jìn)入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler”目錄下，新建一個(gè)可擴(kuò)充字符串值，取名：“ImagePath”，其值為：“C:\WINDOWS\system32\spoolsv.exe”（不要引號）再進(jìn)入控制面板中啟動(dòng)打印服務(wù)即可。[1]3、 csrss.execsrss.exe是微軟客戶端/服務(wù)端運(yùn)行時(shí)子系統(tǒng)。該進(jìn)程管理Windows圖形相關(guān)任務(wù)。這個(gè)程序?qū)δ阆到y(tǒng)的正常運(yùn)行是非常重要的4、 iexplore.exeiexplore.exe是MicrosoftInternetExplorer的主程序。這個(gè)微軟Windows應(yīng)用程序讓你在網(wǎng)上沖浪，和訪問本地Interanet網(wǎng)絡(luò)。這不是純粹的系統(tǒng)程序，但是如果終止它，可能會導(dǎo)致不可知的問題。iexplore.exe同時(shí)也是Avant網(wǎng)絡(luò)瀏覽器的一部分，這是一個(gè)免費(fèi)的基于InternetExplorer的瀏覽器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒，該病毒會終止你的反病毒軟件，和一些Windows系統(tǒng)工具，該進(jìn)程出品者：MicrosoftCorp.屬于：MicrosoftInternetExplorer系統(tǒng)進(jìn)程：Yes后臺程序：No網(wǎng)絡(luò)相關(guān)：Yes常見錯(cuò)誤：N/A內(nèi)存使用：N/A安全等級（0-5）:0間諜軟件：No廣告軟件：No病毒：No木馬：No5、 lsass.exe進(jìn)程文件:lsassorlsass.exe進(jìn)程名稱：本地安全權(quán)限服務(wù)描述：這個(gè)本地安全權(quán)限服務(wù)控制Windows安全機(jī)制。常見錯(cuò)誤：N/A是否為系統(tǒng)進(jìn)程：是6、 services.exeservices.exe是微軟Windows操作系統(tǒng)的一部分。用于管理啟動(dòng)和停止服務(wù)。該進(jìn)程也會處理在計(jì)算機(jī)啟動(dòng)和關(guān)機(jī)時(shí)運(yùn)行的服務(wù)。這個(gè)程序?qū)δ阆到y(tǒng)的正常運(yùn)行是非常重要的。正常的services.exe應(yīng)位于％System%文件夾中，也就是在進(jìn)程里用戶名顯示為“system'不過services也可能是W32.Randex.R（儲存在％systemroot%\system32\目錄）和Sober.P（儲存在％systemroot%\ConnectionWizard\Status\目錄）木馬。該木馬允許攻擊者訪問你的計(jì)算機(jī)，竊取密碼和個(gè)人數(shù)據(jù)。該進(jìn)程的安全等級是建議立即刪除。7、SMSS.EXESMSS.EXE:SessionManagerSubsystem,該進(jìn)程為會話管理子系統(tǒng)用以初始化系統(tǒng)變量，MS-DOS驅(qū)動(dòng)名稱類似LPT1以及COM,調(diào)用Win32殼子系統(tǒng)和運(yùn)行在Windows登陸過程。它是一個(gè)會話管理子系統(tǒng)，負(fù)責(zé)啟動(dòng)用戶會話。這個(gè)進(jìn)程是通過系統(tǒng)進(jìn)程初始化的并且對許多活動(dòng)的，包括已經(jīng)正在運(yùn)行的Winlogon,Win32（Csrss.exe）線程和設(shè)定的系統(tǒng)變量作出反映。在它啟動(dòng)這些進(jìn)程后，它等待Winlogon或者Csrss結(jié)束。如果這些過程時(shí)正常的，系統(tǒng)就關(guān)掉了。如果發(fā)生了什么不可預(yù)料的事情，smss.exe就會讓系統(tǒng)停止響應(yīng)（掛起）。要注意：如果系統(tǒng)中出現(xiàn)了不只一個(gè)smss.exe進(jìn)程，而且有的smss.exe路徑是"%WINDIR%\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒，這是一種Windows下的PE病毒，它采用VB6編寫，是一個(gè)自動(dòng)訪問某站點(diǎn)的木馬病毒。該病毒會在注冊表中多處添加自己的啟動(dòng)項(xiàng)，還會修改系統(tǒng)文件WIN.INI，并在［WINDOWS］項(xiàng)中加入"RUN"="%WINDIR%\SMSS.EXE"。手工清除時(shí)請先結(jié)束病毒進(jìn)程smss.exe，再刪除％WINDIR%下的smss.exe文件，然后清除它在注冊表和WIN.INI文件中的相關(guān)項(xiàng)即可。[smss.exe]進(jìn)程文件:smssorsmss.exe進(jìn)程名稱:SessionManagerSubsystem描述：該進(jìn)程為會話管理子系統(tǒng)用以初始化系