工作管理員內容解析

轉載自這裡

最近因為電腦開太久難免幾個執行緒秀逗
我事情做到一半又沒那個美國時間重開
這時候就需要這玩意
哪個當掉重開哪個執行緒
方便多了

我想這份文件大概XP跟VISTA都還適用吧
WIN 7我就不曉得了

1.System.exe
程序文件: System Idle Process 或者 System Idle Process
程序名稱: System Idle Counter
描述：在工作管理員會看到這項執行緒，屬於正常系統執行緒。

2.System Idle Process
程序文件: System Idle Process 或者 System Idle Process
程序名稱: System Idle Counter
描述：System Idle不是一個程序，更多用於統計剩餘的CPU資源情況。無法停止該程序。

3.winlogon.exe
程序文件: winlogon.exe
程序名稱: Microsoft Windows Logon Process
描述：WindowsLogonProcess，WindowsNT用戶登錄程式，管理用戶登錄和登出。該程序的
正常路徑應是C:\Windows\System32且是以SYSTEM用戶執行，若不是以上路徑且不
以SYSTEM用戶運行，則可能是W32.Netsky.D@mm蠕蟲病毒，該病毒通過EMail郵件
傳播，當你打開病毒發送的附件時，即會被感染。該病毒會創建SMTP引擎在受害者的
電腦上，群發郵件進行傳播。手工清除該病毒時先結束病毒程序winlogon.exe，然後刪
除C:\Windows目錄下的winlogon.exe、winlogon.dll、winlogon_hook.dll和
winlogonkey.dll檔，再清除AOLinstantmessenger7.0服務，位於登錄檔
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下的aol7.0值。

4.Svchost.exe
程序文件: svchost.exe
程序名稱: Troj_backdoor.hgz.svc
描述：ServiceHostProcess是一個標準的動態連接庫主機處理服務。Svchost.exe檔對那些從
動態連接庫(DLL)中運行的服務來說是一個普通的主機程序名。Svhost.exe程式位於系
統目錄中。在啟動的時候，Svchost.exe檢查登錄檔中的位置來建構需要載入的服務列
表。 這就會使多個Svchost.exe在同一時間運行，Windows2000一般有2個Svchost.exe
程序，一個是RPCSS(RemoteProcedureCall)服務程序，另外一個則是由很多服務共用
的一個Svchost.exe；而在WindowsXP中，則一般有4個以上的Svchost.exe服務程序；
Windows2003中則更多。但要注意，若發現Svchost.exe進程的路徑不在System32資料
夾中，或其所屬用戶名為普通登入名(即非系統程序或服務程序)，則其極可能是是病毒
程式。至於svchost.exe裡面有非常多服務可以關，每台電腦設定不一樣，可在開始-->
執行-->cmd-->在命令提示字元打tasklist /svc這樣就知道你的svchost.exe的服務到底跑
那幾個(限用XP Professional)。

5.conime.exe
程序文件: conime.exe
程序名稱: BFGhost 1.0
描述：ConsoleIME(IME控制台)是輸入法編輯器，允許使用者使用標準鍵盤就能輸入複雜的字
符與符號。但如果CONIME.EXE的路徑不是系統目錄，而是其它別的地方的話，則可
能是某病毒程序。如BFGhost1.0遠端控制後門的程序，這後門程序能夠執行攻擊者訪
問您的電腦，竊取密碼和個人數據。還要注意某些病毒可能會模仿其文件名以騙過使用
者注意，如QQ愛蟲病毒為comime.exe與之只有一個字母之差。

6.csrss.exe
程序文件: csrss.exe
程序名稱: Microsoft Client/Server Runtime Server Subsystem
描述：Client/ServerRuntimeServerS ubsystem，用戶端服務子系統，用以控制Windows圖形
相關子系統。正常情況下在WindowsNT/2000/XP/2003系統中只有一個csrss.exe程序，
正常位於System32資料夾中，若以上系統中出現兩個csrss.exe程序(其中一個位於
Windows資料夾中)，或在Windows9X/Me系統中出現該程序，則是感染了病毒。

7.Ctfmon.exe
程序文件: ctfmon.exe
程序名稱: Alternative User Input Services
描述：使用者輸入選擇服務，用於控制輸入法語言列，提供語音識別、手寫識別、鍵盤、翻譯
和其它使用者輸入技術的支持。

8.explorer.exe
程序文件: explorer.exe
程序名稱: Microsoft Windows Explorer
描述：Windows資源管理器，或是Windows圖形界面外殼程序，它是一個重要的系統程序。注
意它的正常路徑是C:\Windows目錄，否則可能是W32.Codered或W32.mydoom.b@mm
病毒。此為顯示你的桌面視窗。

9.lsass.exe
程序文件：lsass.exe
程序名稱：Local Security Authority Service
描述：該程序是多個Windows系統服務的宿主。包括:
1)HTTPSSL，通過安全套接字屬(SSL)實現HTTP服務的安全超文本傳送協議
2)IPSECServices，提供TCP/IP網路上用戶端和服務器之間點對點的安全，如果此服務
被停用，網路上客戶端和服務器之間的TCP/IP安全將不穩定。
3)KerberosKeyDistribut ionCenter，在網域控制器上此服務啟用用戶使用Kerberos授權
協議登錄網路。如果此服務在網域控制器上被停用，用戶將無法登錄網路。
4)NetLogon，為用戶和服務身份驗證維護此電腦和網域控制器之間的安全通道。如果此
服務被停用，電腦可能無法驗證用戶和服務身份並且網域控制器無法註冊DNS紀錄。
5)NTLMSecuritySupportP rovider，為使用傳輸協定而不是具名管道的遠端程序呼叫
(RPC)程式提供安全機制。
6)ProtectedStorage，保護敏感資料(如私鑰)的存儲，以便防止未授權的服務、過程或用
戶對其的非法訪問。如果此服務被停用，保護性存儲將不可用。
7)SecurityAccountsMana ger，此服務的啟動通知其他服務安全帳戶管理(SAM)準備好接
收請求。停用此服務將使系統中的其他服務接收不到SAM準備好的通知，從而導致這
些服務啟動不正確。此服務不應被停用。

10.smss.exe
程序文件: smss.exe
程序名稱: Session Manager Subsystem
描述：SessionManagerSubsys tem，該程序為會話管理子系統用以初始化系統變數，MS-
DOS驅動名稱類似LPT1以及COM，調用Win32殼子系統和執行在Windows登錄過程。
它是一個會話管理子系統，負責啟動用戶會話。這個程序是通過系統進程初始化的並
且對許多活動的，包括已經正在運行的Winlogon，Win32(csrss.exe)程序和設定的系統
變數作出反映。在它啟動這些程序後，它等待Winlogon.exe或者csrss.exe結束。如果
這些過程時正常的，系統就關掉了。 如果發生了什麼不可預料的事情，smss.exe就會
讓系統停止回應(掛起)。要注意，如果系統中出現了不只一個smss.exe程序，而且有的
smss.exe路徑位於Windows目錄，那有可能是中了TrojanClicker.Nogard.a病毒，這是
一種Windows下的PE病毒，它採用VB6編寫，是一個自動訪問某網站的木馬病毒。該
病毒會在登錄檔中多處添加自己的啟動項，還會修改系統檔WIN.INI，並在[WINDOWS]
項中加入"RUN"="%WINDIR%\SMSS.EXE"。手工清除時請先結束病毒進程
smss.exe，再刪除Windows目錄下的smss.exe檔，然後清除它在登錄檔和WIN.INI
檔中的相關項即可。

11.services.exe
程序文件: services.exe
程序名稱: Windows Service Controller
描述：該程序是多個Windows系統服務的宿主。包括
1)EventLog，啟用在事件檢視器查看基於Windows的程式和元件頒發的事件日誌消
息，無法停用此服務。
2)PlugandPlay，使電腦在極少或沒有用戶輸入的情況下能識別並適應硬體的更改，終
止或停用此服務會造成系統不穩定。