先全面的說說系統(tǒng)要正常運(yùn)行需要哪些進(jìn)程！

smss.exe Session Manager

csrss.exe 子系統(tǒng)服務(wù)器進(jìn)程

winlogon.exe 管理用戶登錄

services.exe 包含很多系統(tǒng)服務(wù)

lsass.exe 管理 IP 安全策略以及啟動(dòng) ISAKMP/Oakley (IKE) 和 IP 安全驅(qū)動(dòng)程序。(系統(tǒng)服務(wù)) 產(chǎn)生會(huì)話密鑰以及授予用于交互式客戶/服務(wù)器驗(yàn)證的服務(wù)憑據(jù)(ticket)。(系統(tǒng)服務(wù))

svchost.exe 包含很多系統(tǒng)服務(wù)

svchost.exe

SPOOLSV.EXE 將文件加載到內(nèi)存中以便遲后打印。(系統(tǒng)服務(wù))

explorer.exe 資源管理器

internat.exe 托盤區(qū)的拼音圖標(biāo)
附加的系統(tǒng)進(jìn)程（這些進(jìn)程不是必要的，你可以根據(jù)需要通過服務(wù)管理器來增加或減少）

mstask.exe 允許程序在指定時(shí)間運(yùn)行。(系統(tǒng)服務(wù))

regsvc.exe 允許遠(yuǎn)程注冊表操作。(系統(tǒng)服務(wù))

winmgmt.exe 提供系統(tǒng)管理信息(系統(tǒng)服務(wù))。

inetinfo.exe 通過 Internet 信息服務(wù)的管理單元提供 FTP 連接和管理。(系統(tǒng)服務(wù))

tlntsvr.exe 允許遠(yuǎn)程用戶登錄到系統(tǒng)并且使用命令行運(yùn)行控制臺(tái)程序。(系統(tǒng)服務(wù))
允許通過 Internet 信息服務(wù)的管理單元管理 Web 和 FTP 服務(wù)。(系統(tǒng)服務(wù))

tftpd.exe 實(shí)現(xiàn) TFTP Internet 標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)不要求用戶名和密碼。遠(yuǎn)程安裝服務(wù)的一部分。(系統(tǒng)服務(wù))

termsrv.exe 提供多會(huì)話環(huán)境允許客戶端設(shè)備訪問虛擬的 Windows 2000

Professional 桌面會(huì)話以及運(yùn)行在服務(wù)器上的基于 Windows 的程序。(系統(tǒng)服務(wù))

dns.exe 應(yīng)答對(duì)域名系統(tǒng)(DNS)名稱的查詢和更新請求。(系統(tǒng)服務(wù))

以下服務(wù)很少會(huì)用到，上面的服務(wù)都對(duì)安全有害，如果不是必要的應(yīng)該關(guān)掉：

tcpsvcs.exe 提供在 PXE 可遠(yuǎn)程啟動(dòng)客戶計(jì)算機(jī)上遠(yuǎn)程安裝 Windows2000 Professional 的能力。(系統(tǒng)服務(wù))
支持以下 TCP/IP 服務(wù)：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系統(tǒng)服務(wù))

ismserv.exe 允許在 Windows Advanced Server 站點(diǎn)間發(fā)送和接收消息。(系統(tǒng)服務(wù))

ups.exe 管理連接到計(jì)算機(jī)的不間斷電源(UPS)。(系統(tǒng)服務(wù))

wins.exe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS名稱服務(wù)。(系統(tǒng)服務(wù))

llssrv.exe License Logging Service(system service)

ntfrs.exe 在多個(gè)服務(wù)器間維護(hù)文件目錄內(nèi)容的文件同步。(系統(tǒng)服務(wù))

RsSub.exe 控制用來遠(yuǎn)程儲(chǔ)存數(shù)據(jù)的媒體。(系統(tǒng)服務(wù))

locator.exe 管理 RPC 名稱服務(wù)數(shù)據(jù)庫。(系統(tǒng)服務(wù))

lserver.exe 注冊客戶端許可證。(系統(tǒng)服務(wù))

dfssvc.exe 管理分布于局域網(wǎng)或廣域網(wǎng)的邏輯卷。(系統(tǒng)服務(wù))

clipsrv.exe 支持"剪貼簿查看器"，以便可以從遠(yuǎn)程剪貼簿查閱剪貼頁面。(系統(tǒng)服務(wù))
msdtc.exe 并列事務(wù)，是分布于兩個(gè)以上的數(shù)據(jù)庫，消息隊(duì)列，文件系統(tǒng)，或其它事務(wù)保護(hù)資源管理器。(系統(tǒng)服務(wù))

faxsvc.exe 幫助您發(fā)送和接收傳真。(系統(tǒng)服務(wù))

cisvc.exe Indexing Service(system service)

dmadmin.exe 磁盤管理請求的系統(tǒng)管理服務(wù)。(系統(tǒng)服務(wù))

mnmsrvc.exe 允許有權(quán)限的用戶使用 NetMeeting 遠(yuǎn)程訪問 Windows 桌面。(系統(tǒng)服務(wù))

netdde.exe 提供動(dòng)態(tài)數(shù)據(jù)交換 (DDE) 的網(wǎng)絡(luò)傳輸和安全特性。(系統(tǒng)服務(wù))

smlogsvc.exe 配置性能日志和警報(bào)。(系統(tǒng)服務(wù))

rsvp.exe 為依賴質(zhì)量服務(wù)(QoS)的程序和控制應(yīng)用程序提供網(wǎng)絡(luò)信號(hào)和本地通信控制安裝功能。(系統(tǒng)服務(wù))

RsEng.exe 協(xié)調(diào)用來儲(chǔ)存不常用數(shù)據(jù)的服務(wù)和管理工具。(系統(tǒng)服務(wù))

RsFsa.exe 管理遠(yuǎn)程儲(chǔ)存的文件的操作。(系統(tǒng)服務(wù))

grovel.exe 掃描零備份存儲(chǔ)(SIS)卷上的重復(fù)文件，并且將重復(fù)文件指向一個(gè)數(shù)據(jù)存儲(chǔ)點(diǎn)，以節(jié)省磁盤空間。(系統(tǒng)服務(wù))

SCardSvr.exe 對(duì)插入在計(jì)算機(jī)智能卡閱讀器中的智能卡進(jìn)行管理和訪問控制。(系統(tǒng)服務(wù))

snmp.exe 包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動(dòng)并且向網(wǎng)絡(luò)控制臺(tái)工作站匯報(bào)。(系統(tǒng)服務(wù))

snmptrap.exe 接收由本地或遠(yuǎn)程 SNMP 代理程序產(chǎn)生的陷阱消息，然后將消息傳遞到運(yùn)行在這臺(tái)計(jì)算機(jī)上 SNMP 管理程序。(系統(tǒng)服務(wù))

UtilMan.exe 從一個(gè)窗口中啟動(dòng)和配置輔助工具。(系統(tǒng)服務(wù))

msiexec.exe 依據(jù) .MSI 文件中包含的命令來安裝、修復(fù)以及刪除軟件。(系統(tǒng)服務(wù)）
現(xiàn)在一個(gè)一個(gè)說



[system Idle Process]

進(jìn)程文件: [system process] or [system process]

進(jìn)程名稱: Windows內(nèi)存處理系統(tǒng)進(jìn)程

描 述: Windows頁面內(nèi)存管理進(jìn)程，擁有0級(jí)優(yōu)先。

介 紹：該進(jìn)程作為單線程運(yùn)行在每個(gè)處理器上，并在系統(tǒng)不處理其他線程的時(shí)候分派處理器的時(shí)間。它的cpu占用率越大表示可供分配的CPU資源越多，數(shù)字越小則表示CPU資源緊張。

System Idle Process為何物

問：在使用Windows XP的過程中，按"Ctrl+Alt+Del"鍵調(diào)出任務(wù)管理器，在進(jìn)程中我發(fā)現(xiàn)一個(gè)名為"System Idle Process"的進(jìn)程，它往往占用了大部分CPU資源，經(jīng)常是80%以上，請問為什么它占用了那么多資源？

答：你誤解了"System Idle Process"進(jìn)程的意思了，這里的80%并不是你所想的占用CPU的資源，恰恰相反的是這里的80%以上是CPU資源空閑了出來的。這里的數(shù)字越大表示CPU可用資源越多，數(shù)字越小則表示CPU資源越緊張。該進(jìn)程是系統(tǒng)必須的，不能禁止哦。



[csrss.exe]

進(jìn)程文件: csrss or csrss.exe

進(jìn)程名稱: Client/Server Runtime Server Subsystem

描 述: 客戶端服務(wù)子系統(tǒng)，用以控制Windows圖形相關(guān)子系統(tǒng)。

介 紹: 這個(gè)是用戶模式Win32子系統(tǒng)的一部分。csrss代表客戶/服務(wù)器運(yùn)行子系統(tǒng)而且是一個(gè)基本的子系統(tǒng)必須一直運(yùn)行。csrss用于維持Windows的控制，創(chuàng)建或者刪除線程和一些16位的虛擬MS-DOS環(huán)境。

純手工查殺木馬csrss.exe

注意：csrss.exe進(jìn)程屬于系統(tǒng)進(jìn)程，這里提到的木馬csrss.exe是木馬偽裝成系統(tǒng)進(jìn)程

前兩天突然發(fā)現(xiàn)在C:\Program Files\下多了一個(gè)rundll32.exe文件。這個(gè)程序記得是關(guān)于登錄和開關(guān)機(jī)的，不應(yīng)該在這里，而且它的圖標(biāo)是98下notepad.exe的老記事本圖標(biāo)，在我的2003系統(tǒng)下面很扎眼。但是當(dāng)時(shí)我沒有在意。因?yàn)槠綍r(shí)沒有感到系統(tǒng)不穩(wěn)定，也沒有發(fā)現(xiàn)內(nèi)存和CPU大量占用，網(wǎng)絡(luò)流量也正常。

這兩天又發(fā)現(xiàn)任務(wù)管理器里多了這個(gè)rundll32.exe和一個(gè)csrss.exe的進(jìn)程。它和系統(tǒng)進(jìn)程不一樣的地方是用戶為Administrator，就是我登錄的用戶名，而非system，另外它們的名字是小寫的，而由SYSTEM啟動(dòng)的進(jìn)程都是大寫的RUNDLL32.EXE和CSRSS.EXE，覺得不對(duì)勁。

然后按F3用資源管理器的搜索功能找csrss.exe，果然在C:\Windows下，大小52736字節(jié)，生成時(shí)間為12月9日12:37。而真正的csrss.exe只有4k，生成時(shí)間是2003年3月27日12:00，位于C:\Windows\Syetem32下。

于是用超級(jí)無敵的UltraEdit打開它，發(fā)現(xiàn)里面有kavscr.exe，mailmonitor一類的字符，這些都是金山毒霸的進(jìn)程名。在該字符前面幾行有SelfProtect的字符。自我保護(hù)和反病毒軟件有關(guān)的程序，不是病毒就是木馬了。滅！

試圖用任務(wù)管理器結(jié)束csrss.exe進(jìn)程失敗，稱是系統(tǒng)關(guān)鍵進(jìn)程。先進(jìn)注冊表刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相應(yīng)值，注銷重登錄，該進(jìn)程消失，可見它沒有象3721那樣加載為驅(qū)動(dòng)程序。

然后要查找和它有關(guān)的文件。仍然用系統(tǒng)搜索功能，查找12月9日生成的所有文件，然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe，但kavsrc.exe的圖標(biāo)也是98下的記事本圖標(biāo)，它和rundll32.exe的大小都是33792字節(jié)。

此后在12:38分生成了一個(gè)tmp.dat文件，內(nèi)容是

@echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:\WINDOWS\system32\netstart.exe

好像是用debug匯編了一段什么程序，這年頭常用debug的少見，估計(jì)不是什么善茬，因?yàn)樯虡I(yè)程序員都用Delphi、PB等大程序?qū)戃浖?

匯編大約進(jìn)行了1分鐘，在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一個(gè)0字節(jié)的tmp.out文件。netstart.exe大小117786字節(jié)，另兩個(gè)大小也是52736字節(jié)。前兩個(gè)位于C:\Windows\System32下，后兩個(gè)在當(dāng)前用戶的Temp文件夾里。

這樣我就知道為什么我的系統(tǒng)沒有感染的表現(xiàn)了。netstart.exe并沒有一直在運(yùn)行，因?yàn)槲以谌蝿?wù)管理器中沒有見過它。把這些文件都刪除，我的辦法是用winrar壓縮并選中完成后刪除源文件，然后在rar文件注釋中做說明，放一個(gè)文件夾里，留待以后研究。這個(gè)監(jiān)獄里都是我的戰(zhàn)利品，不過還很少。

現(xiàn)在木馬已經(jīng)清除了。使用搜索引擎查找關(guān)于csrss.exe的內(nèi)容，發(fā)現(xiàn)結(jié)果不少，有QQ病毒，傳奇盜號(hào)木馬，新浪游戲病毒，但是文件大小和我中的這個(gè)都不一樣。搜索netstart.exe只有一個(gè)日文網(wǎng)站結(jié)果，也是一個(gè)木馬。

這個(gè)病毒是怎么進(jìn)入我的電腦的呢？搜索時(shí)發(fā)現(xiàn)在12月9日12:36分生成了一個(gè)快捷方式，名為dos71cd.zip，它是我那天從某網(wǎng)站下載的DOS7.11版啟動(dòng)光盤，但是當(dāng)時(shí)下載失敗了。現(xiàn)在看來根本就不是失敗，是因?yàn)檫@個(gè)網(wǎng)站的鏈接本來就是一段網(wǎng)頁注入程序，點(diǎn)擊后直接把病毒下載來了。



[dllhost.exe]

進(jìn)程文件: dllhost or dllhost.exe

進(jìn)程名稱: DCOM DLL Host進(jìn)程

描 述: DCOM DLL Host進(jìn)程支持基于COM對(duì)象支持DLL以運(yùn)行Windows程序。

介 紹：com代理，系統(tǒng)附加的dll組件越多，則dllhost占用的cpu資源和內(nèi)存資源就越多，而8月的"沖擊波殺手"大概讓大家對(duì)它比較熟悉吧。

解決Web服務(wù)器出現(xiàn)的dllhost.exe錯(cuò)誤

我的Web服務(wù)器出了問題。一個(gè)彈出話框顯示"dllhost.exe出現(xiàn)錯(cuò)誤"。當(dāng)我查看應(yīng)用事件日志時(shí)發(fā)現(xiàn)有很多Active Server Pages Event 5這樣的錯(cuò)誤。它們在錯(cuò)誤信息中顯示為"line 0內(nèi)存溢出"。這種錯(cuò)誤以前每隔幾天就發(fā)生一次，但現(xiàn)在是每隔幾小時(shí)就發(fā)生一次。重啟后也只能維持一陣子。你對(duì)此有什么看法嗎？

我還沒碰到過這種問題，但我在微軟的參考信息中看到Exchange Outlook Web Access使用過程中描述過這樣的錯(cuò)誤。（http://support.microsoft.com/?kbid=224327）

該鏈接建議你安裝最新的Exchange升級(jí)版。如果你在使用Exchange，不妨嘗試一下。如果沒有，我就要給你一些建議，它們同那些存在ASP 3.0方面問題的人的建議一樣：

確保你有所有最新升級(jí)版和服務(wù)包。

在每個(gè)Web應(yīng)用中允許進(jìn)程隔離。

將應(yīng)用程序升級(jí)到ASP.NET。

將Web 服務(wù)器升級(jí)到Windows Server 2003。

dllhost.exe是什么？

dllhost.exe是運(yùn)行COM+的組件，即COM代理，運(yùn)行Windows中的Web和FTP服務(wù)器必須有這個(gè)東西。

什么時(shí)候會(huì)出現(xiàn)dllhost.exe？

運(yùn)行COM+組件程序的時(shí)候就會(huì)出現(xiàn)。

沖擊波殺手又是怎么一回事？

沖擊波殺手借用了dllhost.exe作為進(jìn)程名，但是由于Windows不允許同一個(gè)目錄下有同名文件的存在，因此，沖擊波殺手把病毒體：dllhost.exe放到了C:\Windows\System32\Wins目錄里面（Windows 2000是C:\WINNT\System32\Wins，全部假設(shè)系統(tǒng)安裝在C盤），但是真正的dllhost.exe應(yīng)該放 在C:\Windows\System32（Windows 2000是C:\WINNT\System32）

換句話說就是：沖擊波（Worm.WelChia）為了迷惑用戶，避免病毒的執(zhí)行體被進(jìn)程管理器終止，采用了dllhost.e xe這個(gè)和Windows組件一樣的名字，但是并不是說進(jìn)程里面出現(xiàn)dllhost.exe就等于感染了worm.welchi a

再看看這里的FAQ吧

第一個(gè)誤區(qū)----進(jìn)程出現(xiàn)Dllhost.exe就等于中了病毒
Dllhost.exe是系統(tǒng)文件，但是進(jìn)程里面出現(xiàn)Dllhost.exe進(jìn)程不等于中了病毒

第二個(gè)誤區(qū)----一見Dllhost.exe進(jìn)程就殺死
其實(shí)這樣做是不好的。很多程序都需要Dllhost.exe

之所以大家恐懼Dllhost.exe進(jìn)程，恐怕是由于沖擊波（殺手）的問題。

其實(shí)沖擊波（殺手）只不過采取了一個(gè)偷梁換柱的方法。因?yàn)槿蝿?wù)管理器里面無法看出進(jìn)程中exe文件的路徑，所以讓大家在分析問題 的時(shí)候出現(xiàn)一些偏差。

感染沖擊波（殺手）的典型特征不是進(jìn)程中出現(xiàn)Dllhost.exe，而是RPC服務(wù)出現(xiàn)問題（沖擊波）和System32\w ins目錄里面出現(xiàn)svchost.exe和dllhost.exe文件（沖擊波殺手）。注意路徑！！

那么，Dllhost.exe是什么呢？Dllhost.exe是 COM+ 的主進(jìn)程。正常下應(yīng)該位于system32目錄里面和system32\dllcache目錄里面。而system32\win s目錄里面是不會(huì)有dllhost.exe文件的。



[inetinfo.exe]

進(jìn)程文件: inetinfo or inetinfo.exe

進(jìn)程名稱: IIS Admin Service Helper

描 述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug調(diào)試除錯(cuò)。

介 紹：IIS服務(wù)進(jìn)程，藍(lán)碼正是利用的inetinfo.exe的緩沖區(qū)溢出漏洞。

inetinfo.exe占用了100％的cpu解決方案

當(dāng)我們在使用iis時(shí)，如果這時(shí)錯(cuò)誤關(guān)機(jī)（停電等），重啟機(jī)器后，再次使用iis，經(jīng)常發(fā)現(xiàn)inetinfo.exe占用了100％的cpu，重裝iis后，還是沒用

這個(gè)問題很多人的解決方案就是重裝機(jī)器，之前我也是那么做的，只是我是從ghost恢復(fù)，但老這樣做，似乎很麻煩。終無我忍無可忍（這樣的情況太多了，而且我的同時(shí)也經(jīng)常碰到這樣的問題）

我就想，既然國內(nèi)資料沒法找到解決方案，國外的也可以試試吧。經(jīng)過兩個(gè)多小時(shí)的努力，找到了解決方法：其實(shí)很簡單，使用windows update更新一下電腦一下就行

原文在：http://www.eggheadcafe.com/ng/microsoft.public.inetserver.misc/post210106.asp

inetinfo.exe進(jìn)程占用高達(dá)100%

進(jìn)程文件: inetinfo or inetinfo.exe

進(jìn)程名稱: IIS Admin Service Helper

InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug調(diào)試除錯(cuò)。

可能原因很多:

1、IIS溢出入侵

默認(rèn)情況下，IIS 5.0服務(wù)器存在一個(gè)后綴為"printer"的應(yīng)用程序映射，這個(gè)映射使用位于WINNTSystem32下的名為 msw3prt.dll 的動(dòng)態(tài)庫文件。這個(gè)功能是用于基于Web控制的網(wǎng)絡(luò)打印的，是Windows2000為Internet Printing Protocol(IPP)協(xié)議而設(shè)置的應(yīng)用程序功能。不幸的是，這個(gè)映射存在一個(gè)緩沖區(qū)溢出錯(cuò)誤，可以導(dǎo)致inetinfo.exe出錯(cuò)

解決方法：刪除printer的應(yīng)用程序映射

2、shtml.dll

在Frontpage Extention Server/Windows2000 Server上輸入一個(gè)不存在的文件將可以得到web目錄的本地路徑信息：

http://www.victim.com/_vti_bin/shtml.dll/something.html

這樣將返回以下信息：

Cannot open "d:inetpubwwwrootpostinfo1.html": no such file or folder.

但是如果我們請求并非HTML、SHTML或者ASP后綴的文件，我們將會(huì)得到不同的信息：

http://207.69.190.42/_vti_bin/shtml.dll/something.exe

shtml.dll對(duì)較長的帶html后綴的文件名都會(huì)進(jìn)行識(shí)別和處理，利用這一點(diǎn)，可以對(duì)IIS服務(wù)器執(zhí)行DOS攻擊，使目標(biāo)服務(wù)器的CPU占用率達(dá)到 100%

解決方法：禁用Frontpage擴(kuò)展。

Inetinfo.exe 進(jìn)程停止響應(yīng)
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;311517
[kernel32.dll]

進(jìn)程文件: kernel32 or kernel32.dll

進(jìn)程名稱: Windows殼進(jìn)程

描 述: Windows殼進(jìn)程用于管理多線程、內(nèi)存和資源。

介 紹：kernel32.dll是Windows 9x/Me中非常重要的32位動(dòng)態(tài)鏈接庫文件，屬于內(nèi)核級(jí)文件。它控制著系統(tǒng)的內(nèi)存管理、數(shù)據(jù)的輸入輸出操作和中斷處理，當(dāng)Win_dows啟動(dòng)時(shí)，kernel32.dll就駐留在內(nèi)存中特定的寫保護(hù)區(qū)域，使別的程序無法占用這個(gè)內(nèi)存區(qū)域。



[mdm.exe]

進(jìn)程文件: mdm or mdm.exe

進(jìn)程名稱: Machine Debug Manager

描 述: Debug除錯(cuò)管理用于調(diào)試應(yīng)用程序和Microsoft Office中的Microsoft Script Editor腳本編輯器。

介 紹：Mdm.exe的主要工作是針對(duì)應(yīng)用軟件進(jìn)行排錯(cuò)(Debug)，說到這里，扯點(diǎn)題外話，如果你在系統(tǒng)見到fff開頭的0字節(jié)文件，它們就是mdm.exe在排錯(cuò)過程中產(chǎn)生一些暫存文件，這些文件在操作系統(tǒng)進(jìn)行關(guān)機(jī)時(shí)沒有自動(dòng)被清除，所以這些fff開頭的怪文件里是一些后綴名為CHK的文件都是沒有用的文件，只要系統(tǒng)中有Mdm.exe存在，就有可能產(chǎn)生以fff開頭的怪文件。可以按下面的方法讓系統(tǒng)停止運(yùn)行Mdm.exe來徹底刪除以fff開頭的怪文件：首先按"Ctrl+Alt+Del"組合鍵，在彈出的"關(guān)閉程序"窗口中選中"Mdm"，按"結(jié)束任務(wù)"按鈕來停止Mdm.exe在后臺(tái)的運(yùn)行，接著把Mdm.exe(在C:\Windows\System目錄下)改名為Mdm.bak。運(yùn)行msconfig程序，在啟動(dòng)頁中取消對(duì)"Machine Debug Manager"的選擇。這樣可以不讓Mdm.exe自啟動(dòng)，然后點(diǎn)擊"確定"按鈕，結(jié)束msconfig程序，并重新啟動(dòng)電腦。另外，如果你使用IE 5.X以上版本瀏覽器，建議禁用腳本調(diào)用(點(diǎn)擊"工具→Internet選項(xiàng)→高級(jí)→禁用腳本調(diào)用")，這樣就可以避免以fff開頭的怪文件再次產(chǎn)生。

OFF：如何關(guān)閉計(jì)算機(jī)調(diào)試管理器 Mdm.exe

found.000文件夾的問題
問：我的電腦有的時(shí)候在C盤或D盤的根目錄下有個(gè)名為found.000的文件夾，里面有一些后綴名為CHK的文件。在c:\windows下有很多以fff開頭的怪文件，而且大小全部為0字節(jié)。請問這些是什么文件？能否將它們刪除？

答：found.000文件夾里面的一些后綴名為CHK的文件是你在使用"磁盤碎片整理程序"整理硬盤后所產(chǎn)生的"丟失簇的恢復(fù)文件"。在c:\windows下有很多以fff開頭的文件是由Mdm.exe(Machine Debug Manager)這個(gè)程序產(chǎn)生的。Mdm.exe的主要工作是針對(duì)應(yīng)用軟件進(jìn)行排錯(cuò)(Debug)，在排錯(cuò)過程中會(huì)產(chǎn)生一些暫存文件，這些文件在操作系統(tǒng)進(jìn)行關(guān)機(jī)時(shí)沒有自動(dòng)被清除，所以這些fff開頭的怪文件和found.000文件夾里面的一些后綴名為CHK的文件都是沒有用的:s33文件，可以任意刪除而不會(huì)對(duì)系統(tǒng)產(chǎn)生不良影響。

但只要系統(tǒng)中有Mdm.exe存在，那么以fff開頭的怪文件就又有可能產(chǎn)生。你可以按下面的方法讓系統(tǒng)停止運(yùn)行Mdm.exe來徹底刪除以fff開頭的怪文件：首先按"Ctrl+Alt+Del"組合鍵，在彈出的"關(guān)閉程序"窗口中選中"Mdm"，按"結(jié)束任務(wù)"按鈕來停止Mdm.exe在后臺(tái)的運(yùn)行，接著把Mdm.exe(在C:\Windows\System目錄下)改名為Mdm.bak。運(yùn)行msconfig程序，在啟動(dòng)頁中取消對(duì)"Machine Debug Manager"的選擇。這樣可以不讓Mdm.exe自啟動(dòng)，然后點(diǎn)擊"確定"按鈕，結(jié)束msconfig程序，并重新啟動(dòng)電腦。另外，如果你使用IE 5.X，建議禁用腳本調(diào)用(點(diǎn)擊"工具→Internet選項(xiàng)→高級(jí)→禁用腳本調(diào)用")，這樣就可以避免以fff開頭的怪文件再次產(chǎn)生。



[regsvc.exe]

進(jìn)程文件: regsvc or regsvc.exe

進(jìn)程名稱: 遠(yuǎn)程注冊表服務(wù)

描 述: 遠(yuǎn)程注冊表服務(wù)用于訪問在遠(yuǎn)程計(jì)算機(jī)的注冊表。可在控制面板，管理工具，服務(wù)中禁止相關(guān)的服務(wù)



[services.exe]

進(jìn)程文件: services or services.exe

進(jìn)程名稱: Windows Service Controller

描 述: 管理Windows服務(wù)。

介 紹：大多數(shù)的系統(tǒng)核心模式進(jìn)程是作為系統(tǒng)進(jìn)程在運(yùn)行。打開管理工具中的服務(wù)，可以看到有很多服務(wù)都是在調(diào)用%systemroot%\system32\service.exe

"Worm.NetSky"病毒解決方案
1、使用安全工具軟件殺掉病毒；

2、不要輕易點(diǎn)擊陌生人的郵件以及下載和運(yùn)行其所帶附件，在運(yùn)行可疑附件前最好先用毒霸掃描；

3、手工解決方案：

對(duì)于系統(tǒng)是Windows9x,WindowsMe：

步驟一，刪除病毒主程序

請使用干凈的系統(tǒng)軟盤引導(dǎo)系統(tǒng)到純DOS模式，然后轉(zhuǎn)到系統(tǒng)目錄（默認(rèn)的系統(tǒng)目錄為C:\windows），分別輸入以下命令，以便刪除病毒程序：
C:\windows\>del services.exe
完畢后，取出系統(tǒng)軟盤，重新引導(dǎo)到Windows系統(tǒng)。
如果手中沒有系統(tǒng)軟件盤，可以在引導(dǎo)系統(tǒng)時(shí)按"F5"鍵也可進(jìn)入純DOS模式。

步驟二，清除病毒在注冊表里添加的項(xiàng)

打開注冊表編輯器: 點(diǎn)擊開始>運(yùn)行, 輸入REGEDIT, 按Enter；

在左邊的面板中, 雙擊（按箭頭順序查找，找到后雙擊）：

HKEY_LOCAL_MACHINE > Software > Microsoft > Windows >CurrentVersion>Run在右邊的面板中, 找到并刪除如下項(xiàng)目：

"service" = "%Windir%\services.exe -serv"

關(guān)閉注冊表編輯器。

對(duì)于系統(tǒng)是Windows NT,Windows2000,Windows XP,Windows 2003 sever：

步驟一，使用進(jìn)程序管里器結(jié)束病毒進(jìn)程

右鍵單擊任務(wù)欄，彈出菜單，選擇"任務(wù)管理器"，調(diào)出"Windows任務(wù)管理器"窗口。在任務(wù)管理器中，單擊"進(jìn)程"標(biāo)簽，在例表欄內(nèi)找到病毒進(jìn)程"services.exe"，單擊"結(jié)束進(jìn)程按鈕"，點(diǎn)擊"是"，結(jié)束病毒進(jìn)程，然后關(guān)閉"Windows任務(wù)管理器"；

步驟二，查找并刪除病毒程序

通過"我的電腦"或"資源管理器"進(jìn)入系統(tǒng)目錄（Winnt或windows)，找到文件services.exe"，將它們刪除；

步驟三，清除病毒在注冊表里添加的項(xiàng)

打開注冊表編輯器: 點(diǎn)擊開始>運(yùn)行, 輸入REGEDIT, 按Enter；

在左邊的面板中, 雙擊（按箭頭順序查找，找到后雙擊）：

HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run在右邊的面板中, 找到并刪除如下項(xiàng)目：

"service" = "%Windir%\services.exe -serv"

關(guān)閉注冊表編輯器。

Services.exe 中的 CPU 使用率增至 100%
癥狀

在基于 Windows 2000 的計(jì)算機(jī)上，Services.exe 中的 CPU 使用率可能間歇性地達(dá)到 100 %，并且計(jì)算機(jī)可能停止響應(yīng)（掛起）。出現(xiàn)此問題時(shí)，連接到該計(jì)算機(jī)（如果它是文件服務(wù)器或域控制器）的用戶會(huì)被斷開連接。您可能還需要重新啟動(dòng)計(jì)算機(jī)。如果 Esent.dll 錯(cuò)誤地處理將文件刷新到磁盤的方式，則會(huì)出現(xiàn)此癥狀。
解決方案
Service Pack 信息

要解決此問題，請獲取最新的 Microsoft Windows 2000 Service Pack。有關(guān)其他信息，請單擊下面的文章編號(hào)，以查看 Microsoft 知識(shí)庫中相應(yīng)的文章：

修復(fù)程序信息
Microsoft 提供了受支持的修補(bǔ)程序，但該程序只是為了解決本文所介紹的問題。只有計(jì)算機(jī)遇到本文提到的特定問題時(shí)才可應(yīng)用此修補(bǔ)程序。此修補(bǔ)程序可能還會(huì)接受其他一些測試。因此，如果這個(gè)問題沒有對(duì)您造成嚴(yán)重的影響，Microsoft 建議您等待包含此修補(bǔ)程序的下一個(gè) Windows 2000 Service Pack。

要立即解決此問題，請與"Microsoft 產(chǎn)品支持服務(wù)"聯(lián)系，以獲取此修補(bǔ)程序。有關(guān)"Microsoft 產(chǎn)品支持服務(wù)"電話號(hào)碼和支持費(fèi)用信息的完整列表，請?jiān)L問下面的 Microsoft Web 站點(diǎn)：
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS

注意 ：特殊情況下，如果 Microsoft 支持專業(yè)人員確定某個(gè)特定的更新程序能夠解決您的問題，可免收通常情況下收取的電話支持服務(wù)費(fèi)用。對(duì)于特定更新程序無法解決的其他支持問題和事項(xiàng)，將正常收取支持費(fèi)用。

下表列出了此修補(bǔ)程序的全球版本的文件屬性（或更新的屬性）。這些文件的日期和時(shí)間按協(xié)調(diào)通用時(shí)間 (UTC) 列出。查看文件信息時(shí)，它將轉(zhuǎn)換為本地時(shí)間。要了解 UTC 與本地時(shí)間之間的時(shí)差，請使用"控制面板"中的"日期和時(shí)間"工具中的 時(shí)區(qū) 選項(xiàng)卡。

狀態(tài)
Microsoft 已經(jīng)確認(rèn)這是在本文開頭列出的 Microsoft 產(chǎn)品中存在的問題。 此問題最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。



[snmp.exe]

進(jìn)程文件: snmp or snmp.exe

進(jìn)程名稱: Microsoft SNMP Agent

描 述: Windows簡單的網(wǎng)絡(luò)協(xié)議代理（SNMP）用于監(jiān)聽和發(fā)送請求到適當(dāng)?shù)木W(wǎng)絡(luò)部分。

簡 介：負(fù)責(zé)接收SNMP請求報(bào)文，根據(jù)要求發(fā)送響應(yīng)報(bào)文并處理與WinsockAPI的接口。包含代理程序可以監(jiān)視網(wǎng)絡(luò)設(shè)備的活動(dòng)并且向網(wǎng)絡(luò)控制臺(tái)工作站匯報(bào)。



[spoolsv.exe]

進(jìn)程文件: spoolsv or spoolsv.exe

進(jìn)程名稱: Printer Spooler Service

描 述: Windows打印任務(wù)控制程序，用以打印機(jī)就緒。

介 紹：緩沖（spooler）服務(wù)是管理緩沖池中的打印和傳真作業(yè)。

Spoolsv.exe→打印任務(wù)控制程序，一般會(huì)先加載以供列表機(jī)打印前的準(zhǔn)備工作

Spoolsv.exe，如果常增高，有可能是病毒感染所致

目前常見的是:

Backdoor/Byshell(又叫隱形大盜、?/td>
文章來源:http://www.cnblogs.com/wangdetian168/archive/2008/10/09/1307406.html