租号玩任务管理器进程是什么

关于任务管理器的基本进程代码有哪些？

进程文件：alg.exe

进程名称： Application Layer Gateway Service

进程类别：其他进程

alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。应用程序网关服务，为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持。该进程属 Windows 系统服务。这个程序对你系统的正常运行是非常重要的。

出品者：Microsoft Corp.

属于：Microsoft Windows Operating System

如果此文件在C:\windows\alg.exe：

这是一个病毒样本eraseme_88446.exe 释放到系统中的。

C:\windows\alg.exe偷偷潜入系统后，下次开机时会遇到1－2次蓝屏重启。

特点：

1、C:\windows\alg.exe注册为系统服务，实现启动加载。

2、C:\windows\alg.exe控制winlogon.exe进程。因此，在WINDOWS下无法终止C:\windows\alg.exe进程。

3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5－6个端口访问网络。

手工杀毒流程：

1、清理注册表：

删除：Application Layer Gateway Services（指向 C:\windows\alg.exe）

（2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

将SFCDisable的建值改为dword:00000000

（3）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

删除："SFCScan"=dword:00000000

（4）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions

删除："v7b5x2s1i4h3"="12/15/2006, 01:26 PM"

2、重启系统。显示隐藏文件。

3、删除C:\windows\alg.exe。

4、在C:\WINDOWS\system32\Microsoft\目录下找到backup.ftp，改名为ftp.exe；找到backup.tftp，改名为tftp.exe。然后，将ftp.exe和tftp.exe拖拽到system32文件夹，覆盖被病毒改写过的ftp.exe和tftp.exe。

alg.exe是什么病毒？

正常的alg.exe是windows自带的程序，只是有可能被病毒感染或者被伪装； 字串7

alg - alg.exe - 进程信息

进程文件： alg 或者 alg.exe

进程名称： Application Layer Gateway Service

描述：

alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。

字串5

C:\windows\alg.exe病毒:

这是一个病毒样本eraseme_88446.exe（样本来自“剑盟”）释放到系统中的。瑞星今天的病毒库不报。 字串1

C:\windows\alg.exe偷偷潜入系统后，下次开机时会遇到1－2次蓝屏重启。

字串9

特点：

1、C:\windows\alg.exe注册为系统服务，实现启动加载。

2、C:\windows\alg.exe控制winlogon.exe进程。因此，在WINDOWS下无法终止C:\windows\alg.exe进程。

3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5－6个端口访问网络。

字串5

手工杀毒流程：

1、清理注册表：

删除：Application Layer Gateway Services（指向 C:\windows\alg.exe）

字串1

（2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

将SFCDisable的建值改为dword:00000000 字串8

（3）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

删除："SFCScan"=dword:00000000

字串6

（4）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions

删除："v7b5x2s1i4h3"="12/15/2006, 01:26 PM" 字串8

2、重启系统。显示隐藏文件。

3、删除C:\windows\alg.exe。

4、在C:\WINDOWS\system32\Microsoft\目录下找到backup.ftp，改名为ftp.exe；找到backup.tftp，改名为tftp.exe。然后，将ftp.exe和tftp.exe拖拽到system32文件夹，覆盖被病毒改写过的ftp.exe和

CCenter.exe

进程文件:ccenter 或 ccenter.exe

进程名称:ccenter.exe

描述:ccenter.exe是瑞星信息中心，是瑞星杀毒软件的组件。

出品者:瑞星

属于:瑞星

系统进程:否

后台进程:是

使用网络:否

硬件相关:否

常见错误:未知

内存使用:1796k

安全等级:0

间谍软件:否

广告软件:否

病毒:否

木马: 否

进程名称： explorer 或者 explorer.exe

所在路径： (系统安装目录盘)C：\windows\explorer.exe

进程全称： Microsoft Windows Explorer

中文名称： 微软windows资源管理器

描述：

Windows 资源管理器，可以说是 Windows 图形界面外壳程序，它是一个有用的系统进程。 注意它的正常路径是 C:\Windows 目录，否则可能是 W32.Codered 或 W32.mydoom.b@mm 病毒。explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播，当你打开病毒发送的附件时，即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。

出品者： Microsoft Corp.

属于： Microsoft Windows Operating System

系统进程： 是

后台程序： 否

使用网络： 是

硬件相关： 否

常见错误： 未知N/A

内存使用： 未知N/A

安全等级 (0-5): 0

间谍软件： 否

广告软件： 否

病毒： 否

木马： 否

小提示：

结束它，可以节省一定的系统资源，比如配置低的机子或者机子资源不足的情况下，玩大型游戏时，就可以结束它，但是windows的桌面就会消失，变得不可操作了，但是并不影响系统的正常运行！！可以打开任务管理器，在新建任务里通过浏览找到游戏的程序，然后新建任务就可以打开游戏了。有时候结束它然后再启动，可以让系统更稳定些！另外，对于像有些小软件，安装完以后要求你重新启动，只是想刷新注册表，这时候你只需结束这个进程，再新建后，注册表就可以刷新了。

LSASS

进程文件： lsass 或者 lsass.exe

进程名称： Local Security Authority Service

进程名称： lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

出品者： Microsoft Corp.

属于： Microsoft Windows Operating System

如果你的启动菜单（开始-运行-输入“msconfig”）里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，在进程里可以见到有两个相同的进程，分别是lsass.exe和LSASS.EXE，同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行，LSASS.EXE管理exe类执行文件，exert.exe管理程序退出，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联。以下说一下本人对该病毒的杀法，以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS 运行，用scanreg/restore 命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件（本人用金山毒霸2006）全面杀毒，清除余下的病毒！

csrss

Client/Server Runtime Server Subsystem，客户端服务子系统，用以控制Windows图形相关子系统。正常情况下系统中只有一个csrss.exe进程，正常路径在System32文件夹中，若出现两个，则其中一个(位于Windows文件夹中)是新浪利用了系统漏洞传播的一个类似于病毒的小插件。它会产生名为nmgamex.dll、sinaproc327.exe、csrss.exe三个常驻文件，并且在系统启动项中自动加载，在桌面产生一个名为“新浪游戏总动园”的快捷方式，不仅如此，新浪还将NMgamex.dll文件与系统启动文件rundll32.exe进行绑定，并且伪造系统文件csrss.exe，产生一个同名的文件与系统绑定加载到系统启动项内，无法直接关闭系统进程后删除。手工清除方法：先先修改注册表，清除名为启动项：NMGameX.dll、csrss.exe，然后删除System32\NMGameX.dll、System32\sinaproc327.exe和Windows\NMWizardA14.exe三个文件，再修改Windows文件夹中的csrss.exe文件为任意一个文件名，从新启动计算机后删除修改过的csrss.exe文件。

smss

进程文件： smss or smss.exe

进程名称： Session Manager Subsystem

描述:

出品者:microsoft corp.

属于:microsoft windows operating system

系统进程:是

后台进程:是

使用网络:否

硬件相关:否

常见错误:未知

内存使用:未知

安全等级:0

间谍软件:否

广告软件:否

病毒:否

木马:否

注意：smss.exe进程属于系统进程，这里提到的木马smss.exe是木马伪装成系统进程

如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"%WINDIR%\SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe，再删除%WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。

spoolsv

spoolsv.exespoolsv.exe 是Print Spooler的进程，管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机上的打印将不可用。该进程属 Windows 系统服务。

正常spoolsv进程信息

进程文件： spoolsv or spoolsv.exe

进程名称： Microsoft Printer Spooler Service

描述：

spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全级别是建议立即删除。

出品者： Microsoft Corp.

属于：Microsoft Windows 2000 and later

系统进程： 是

后台程序： 是

使用网络： 否

硬件相关： 否

常见错误： 未知N/A

内存使用： 未知N/A

安全等级 (0-5): 0

间谍软件： 否

Adware: 否

病毒： 否

木马: 否

木马spoolsv进程信息:

描述:

这个垃圾软件利用将msicn\msibm.dll插入多个进程的方法对系统进行监控，在system32下创建如下该死的东西：

wmpdrm.dll

1116\

msicn\msibm.dll

msicn\ube.exe

msicn\plugins\

spoolsv\spoolsv.exe(这个还长得像微软打印服务，shit！！）

注册表加入如下垃圾：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"

[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]

@="%System%\wmpdrm.dll"

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]

[HKEY_CLASSES_ROOT\TypeLib\]

[HKEY_CLASSES_ROOT\Interface\]

然后每隔4秒左右对以上东西进行监控，前后互相照应，让你无从下手

启动项 c:/windows/system32/spoolsv/spoolsv.exe -printer

cfs2…… 相关文件、目录：

%System%\wmpdrm.dll

%System%\1116\

%System%\msicn\msibm.dll

%System%\msicn\ube.exe

%System%\msicn\plugins\

%System%\spoolsv\spoolsv.exe

%System%\spoolsv\spoolsv.exe，有一个启动项：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"spoolsv"="%System%\spoolsv\spoolsv.exe -printer"

运行后会调用%System%\msicn\msibm.dll，创建%System%\1116\目录，备份用。

%System%\1116\目录是备份目录，里面是%System%\wmpdrm.dll、%System%\msicn\和%System%\spoolsv\spoolsv.exe的备份。

%System%\msicn\msibm.dll，会插入多个指定进程，大约每4秒钟监视恢复文件（从%System%\1116\目录）和注册表信息（启动项、BHO）：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"spoolsv"

[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]

@="%System%\wmpdrm.dll"

注："spoolsv"的数据不会被监视，所以修改它的数据也不会被恢复，只有删除"spoolsv"才会被恢复。

还可能会从远程服务器下载文件：

http://liveupdate.ourxin.com/secp.exe

secp.exe是个安装程序，安装以下文件：

%System%\wmpdrm.dll

%System%\msicn\ube.exe

%System%\msicn\plugins\（目录里4个dll文件）

%System%\wmpdrm.dll是一个BHO，%System%\msicn\ube.exe像是卸载程序。

另外，在%System%\和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件，比如：

ava.vxd

guid.vxd

plgset.vxd

safep.vxd

%System%\wmpdrm.dll作为BHO被调用后，会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。

注：如果%System%\spoolsv\spoolsv.exe没有被运行或被调用，也就不会备份还原，好像它就是用来备份的。

另外……

在“开始菜单”>>“程序”里 可能 会有一项“NavAngel”，里面有个快捷方式NavAngel.lnk，指向：%System%\spoolsv\spoolsv.exe -ctrlfun:4,3

“添加/删除程序”里有一项“NavAngel”，对应命令是：%System%\spoolsv\spoolsv.exe -ctrlfun:4,2

还有一项“WinDirected 2.0”，对应命令是：%System%\spoolsv\spoolsv.exe -uninst

还可能会有mscache\目录，从名字看像是存放临时缓存文件的。

BHO相关注册表信息：

[HKEY_CLASSES_ROOT\CLSID\]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]

[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1]

[HKEY_CLASSES_ROOT\TypeLib\]

[HKEY_CLASSES_ROOT\Interface\]

判别自己是否中毒:

1、点开始－运行，输入msconfig，回车，打开实用配置程序，选择“启动”， 感染以后会在启动项里面发现运行Spoolsv.exe的启动项， 每次进入windows会有NTservice的对话框。

2、打开系统盘，假设C盘，看是否存在C:\WINDOWS\system32\spoolsv文件夹，里面有个spoolsv.exe文件，有“傲讯浏览器辅助工具”的字样说明，正常的spoolsv.exe打印机缓冲池文件应该在C:\WINDOWS\system32目录下。

3，打开任务管理器，会发现spoolsv.exe进程，而且CPU占用率很高。

清除方法：

1、重新启动，开机按F8进入安全模式。

2、点开始－运行，输入cmd，进入dos。

利用rd命令删除以下目录（如果存在）（ 在dos窗口下输入：rd(空格）C:\WINDOWS\system32\spoolsv/s，回车，出现提示，输入y回车，即可删除整个目录。）：

C:\WINDOWS\system32\msibm

C:\WINDOWS\system32\spoolsv

C:\WINDOWS\system32\bakcfs

C:\WINDOWS\system32\msicn

利用del命令删除下面的文件（如果存在）（比如在dos窗口下输入：del(空格）C:\windows\system32\spoolsv.exe，回车，即可删除被感染的spoolsv.exe，这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到

C:\windows\system32文件夹。）：

C:\windows\system32\spoolsv.exe

C:\WINDOWS\system32\wmpdrm.dll

3、重启按F8再次进入安全模式。

（1）桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击

NTservice，选择“属性”，修改启动类型为“禁用”。

、

（2）点开始，运行，输入regedit，回车打开注册表，点菜单上的编辑，选择查找，查找含有spoolsv.exe的注册表项目，删除。可以利用F3继续查找，将含有spoolsv.exe的注册表项目全部删除。

4、若以上操作完成后,仍然有该进程。请桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击print spooler，选择“属性”，先点“停止”然后修改启动类型为手动或“禁用”。随后重复以上步骤。

smagent - smagent.exe - 进程信息

进程文件： smagent 或者 smagent.exe

进程名称： Analog Devices magent

描述：

smagent.exe是Analog SoundMAX声卡产品相关程序。

出品者： Analog Devices, Inc.

属于：Analog Devices SoundMAX Agent

系统进程： 否

后台程序： 是

使用网络： 否

硬件相关： 是

常见错误： 未知N/A

内存使用： 未知N/A

安全等级 (0-5): 0

间谍软件： 否

Adware: 否

病毒： 否

木马: 否

svchost

svchost.exe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。

大家对windows操作系统一定不陌生，但你是否注意到系统中“svchost.exe”这个文件呢？细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。

发现

在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。

如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。

svchost中可以包含多个服务

深入

windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss（remote procedure call）服务为例，进行讲解。

从启动参数中可见服务是靠svchost来启动的。

实例

以windows xp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。

解惑

因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

winlogon

进程文件： winlogon or winlogon.exe

进程名称： Microsoft Windows Logon Process

描述：

出品者： Microsoft Corp.

属于： Microsoft Windows Operating System

系统进程： 是

后台程序： 是

使用网络： 否

硬件相关： 否

常见错误： 未知N/A

内存使用： 未知N/A

安全等级 (0-5): 0

间谍软件： 否

Adware: 否

病毒： 否

木马： 否

wuauclt

wuauclt.exe - wuauclt - 进程管理信息

进程文件： wuauclt or wuauclt.exe

进程名称： AutoUpdate for WindowsME

进程类别：其他进程

英文描述：

Wuauclt.exe is a process managing automatic updates for Windows. This process continuously checks for the latest updates by going online. This process should not be removed if you want to get informed about new updates.

中文参考：

Wuauclt.exe是Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使你无法得到最新更新信息。

出品者：Microsoft Corp.

属于：Microsoft Windows

系统进程：Yes

后台程序：Yes

网络相关：No

常见错误：N/A

内存使用：N/A

安全等级 (0-5): 0

间谍软件：No

广告软件：No

病毒：No

木马：No

网游在任务管理器进程里面我找不到该游戏的进程？怎么才能看到该游戏的进程?

肯定有的，可能是你那游戏程序名是英文的，你在任务管理器里看看占用内存最多的是哪个程序，一般你关掉杀毒软件的情况下游戏是内存占用最多的。

补充一下：如果还找不到，单击我的电脑右键，管理，单击任务计划，在新出现的页面最右边点击查看，再点击用户，所有选择项打钩。

TP 在任务管理器上的进程名是什么 ？

当你运行游戏的时候，会再右下角出现一个读条，这是速度很快，然后你就会进入账号密码输入界面，输入账号密码后，点运行游戏，这是右下角又会出现一个读条，这是很慢，这样就有足够的时间关掉这个进程，这时打开任务管理器，选进程，你会发现有两个DNF.exe ，其中一个就是游戏的进程，另一个就是这个读条的进程，关掉一个就OK了 ，具体哪个我记不太清楚了，很长时间不玩DNF了，

关于任务管理器的基本进程代码有哪些？进程文件：alg.exe进程名称：ApplicationLayerGatewayService进程类别：其他进程alg.ex…

支付密码忘了然后手机号也不用了，怎么修改支付密码？1、在微信上点击我，选择“钱包”，点击右上角的菜单，选择支付管理。2、选择忘记支付密码。3、若是记得卡号，则直…

租号玩怎么找回支付密码，我忘记了用以前的注册的号码或邮箱找回密码就可以了。延展回答：上号提示密码错误：进行投诉，投诉留言请写明具体原因。后台客服会在十五分钟内处…