[有用工具] 工作管理員的程式序

這篇也是很久以前的文章，基於文章統一整合轉移工程，所以也轉過來這邊了。

雖然現在大致上開工作管理員大概就知道哪些東西是垃圾程式了...

但有時候還是要查一下就是xD



---

dllhost.exe (系統服務—可停用)
程序文件: dllhost.exe
程序名稱: dllhost.exe
描述：管理磁碟區陰影複製服務所取得的以軟體為主的磁碟區陰影複製。如果停止這個服務，就
無法管理以軟體為主的磁碟區陰影複製。如果停用這個服務，任何明確依存於它的服務將無法啟
動。
 
iexplore.exe
程序文件：iexplore.exe
程序名稱：Microsoft Internet Explorer
描述：InternetExplorer(IE)是Windows系統中的網路瀏覽器，用於訪問Internet。如果您並沒開IE卻也有這個程序，就要注意可能是感染了病毒，正常iexplore.exe應位於ProgramFiles\InternetExplorer資料夾中，而該病毒程序則可能位於System32中。
 
taskmgr.exe
程序文件: taskmgr.exe
程序名稱: Windows Task Manager
描述：Windows任務管理器，按CTRL+ALT+DEL或CTRL+SHIFT+ESC打開，用於查看現在是執行在系統上的服務與程序等資訊。注意也可能是QQ“緣”病毒程式。
 
ctfmon.exe(不可取消—你動不了它)
程序文件: ctfmon.exe
程序名稱: Alternative User Input Services
描述：使用者輸入選擇服務，用於控制輸入法語言條，提供語音識別、手寫識別、鍵盤、翻譯和其它用?輸入技術的支持。
 
realsched.exe(可取消—自行斟酌是否取消)
程序文件: realsched.exe
程序名稱: RealNetworks Scheduler
描述：RealPlayer的自動更新及檢測服務，這個服務可以從RealPlayer的伺服器上獲取一些版本更新等消息。
 
PDVDServ.exe(系統服務—可停用)
程序文件:pdvdserv.exe
程序名稱: PowerDVD Remote Control
描述：PowerDVD的遠端控制服務。
 
soundman.exe(可取消—自行斟酌是否取消)
程序文件: soundman.e
程序名稱: Realtek Avance Logic Inc
描述：Realtek音效卡控制程式。該程序在系統駐留，用於進行快速訪問和診斷
 
explorer.exe(不可取消—你動不了它)
程序文件: explorer.exe
程序名稱: Microsoft Windows Explorer
描述：Windows資源管理器，或是Windows圖形界面外殼程序，它是一個重要的系統程序。注意它的正常路徑是C:\Windows目錄，否則可能是W32.Codered或W32.mydoom.b@mm病毒。為顯示你的桌面視窗。
 
uphclean.exe(系統服務—可停用)
程序文件: uphclean.exe
程序名稱: User Profile Hive Cleanup Service
描述：Microsoft User Profile Hive Cleanup Service(UPHClean)用戶配置檔分離清除服務。它以服務的形式自動運行於背景，用於解決配置檔卸載問題，即關機登出時速度很慢的問題。UPHClean在Windows卸載用戶配置檔時監控電腦並強制關閉打開的資源。因此，電腦可以卸載和協調用戶配置檔，從而提升了系統的關機速度。它適用於WindowsNT/2000/XP/2003系統。
 
MDM.EXE(系統服務—可停用)
程序文件: mdm.exe
程序名稱: Machine Debug Manager
描述:支援Visual Studio 本機和遠端偵錯以及指令碼偵錯工具。如果停止這項服務，偵錯工具將無法正常運作。
 
alg.exe(服務程序---可停用)
程序文件：alg.exe
程序名稱：Application Layer Gateway Service
描述:提供網際網路連線共用和 Windows 防火牆的第三方通訊協定插件的支援。
 
lsass.exe(不可取消-----你動不了它)
程序文件：lsass.exe
程序名稱：Local Security Authority Service
描述：該程序是多個Windows系統服務的宿主。
包括
HTTPSSL，通過安全套接字屬(SSL)實現HTTP服務的安全超文本傳送協議
IPSECServices，提供TCP/IP網路上客?端和服務器之間點對點的安全，如果此服務被停用，網路上客?端和服務器之間的TCP/IP安全將不穩定。
KerberosKeyDistribut ionCenter，在網域控制器上此服務啟用用?使用Kerberos授權協議登錄網路。如果此服務在網域控制器上被停用，用??無法登錄網路。
NetLogon，為用戶和服務身份驗證維護此電腦和網域控制器之間的安全通道。如果此服務被停用，電腦可能無法驗證用戶和服務身份並且網域控制器無法註冊DNS紀錄。
NTLMSecuritySupportP rovider，為使用傳輸協定而不是具名管道的遠端程序呼叫(RPC)程式提供安全機制。
ProtectedStorage，保護敏感資料(如私鑰)的存儲，以便防止未授權的服務、過程或用戶對其的非法訪問。如果此服務被停用，保護性存儲將不可用。
SecurityAccountsMana ger，此服務的啟動通知其他服務安全帳戶管理(SAM)準備好接收請求。停用此服務將使系統中的其他服務接收不到SAM準備好的通知，從而導致這些服務啟動不正確。此服務不應被禁用。
 
services.exe(不可取消-----你動不了它)
程序文件: services.exe
程序名稱: Windows Service Controller
描述：該程序是多個Windows系統服務的宿主。包括
EventLog，啟用在事件檢視器查看基於Windows的程式和元件頒發的事件日誌消息，無法終止此服務。
PlugandPlay，使電腦在極少或沒有用戶輸入的情況下能識別並適應硬體的更改，終止或禁用此服務會造成系統不穩定。此為微軟系統服務重要程式
 
程序文件: winlogon.exe(不可取消-----你動不了它)
程序名稱: Microsoft Windows Logon Process
描述：WindowsLogonProcess，WindowsNT用戶登錄程式，管理用戶登錄和退出。該程序的正常路徑應是C:\Windows\System32且是以SYSTEM用戶執行，若不是以上路徑且不以SYSTEM用戶運行，則可能是W32.Netsky.D@mm蠕蟲病毒，該病毒通過EMail郵件傳播，當你打開病毒發送的附件時，即會被感染。
該病毒會創建SMTP引擎在受害者的電腦上，群發郵 件進行傳播。手工清除該病毒時先結束病毒程序winlogon.exe，然後刪除C:\Windows目錄下的winlogon.exe、winlogon.dll、winlogon_hook.dll和winlogonkey.dll檔，再清除AOLinstantmessenger7.0服務，位於登錄檔[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]下的aol7.0值。
 
csrss.exe(不可取消-----你動不了它)
程序文件: csrss.exe
程序名稱: Microsoft Client/Server Runtime Server Subsystem
描述：Client/ServerRuntimeServerS ubsystem，客?端服務子系統，用以控制Windows圖形相關子系統。正常情?下在WindowsNT/2000/XP/2003系統中只有一個csrss.exe程序，
正常位於System32資料夾中，若以上系統中出現兩個csrss.exe程序(其中一個位於Windows資料夾中)，或在Windows9X/Me系?中出現該程序，則是感染了病毒。此為微軟系統服務重要程式
 
smss.exe(不可取消-----你動不了它)
程序文件: smss.exe
程序名稱: Session Manager Subsystem
描述：SessionManagerSubsys tem，該程序為會話管理子系統用以初始化系統變數，MS-DOS驅動名稱類似LPT1以及COM，調用Win32殼子系統和運行在Windows登錄過程。
它是一個會話管理子系統，負責啟動用戶會話。這個程序是通過系統進程初始化的並且對許多活動的，包括已經正在運行的Winlogon，Win32(csrss.exe)程序和設定的系統變數作出反映。在它啟動這些程序後，它等待Winlogon.exe或者csrss.exe結束。如果這些過程時正常的，系統就關掉了。
如果發生了什麼不可預料的事情，smss.exe就會讓系統停止回應(掛起)。要注意，如果系統中出現了不只一個smss.exe程序，而且有的smss.exe路徑位於Windows目錄，那有可能是中了TrojanClicker.Nogard.a病毒，這是一種Windows下的PE病毒，它採用VB6編寫，是一個自 動訪問某網站的木馬病毒。該病毒會在登錄檔中多處添加自己的啟動項，還會修改系統檔WIN.INI，並在[WINDOWS]項中加入"RUN"="%WINDIR%\SMSS.EXE"。
手工清除時請先結束病毒進程smss.exe，再刪除Windows目錄下的smss.exe檔，然後清除它在登錄檔和WIN.INI檔中的相關項即可。此為微軟系統服務重要程式
 
spoolsv.exe(服務程序---可停用)
程序文件: spoolsv.exe
程序名稱: Microsoft Printer Spooler Service
描述：將檔案載入記憶體中以待稍後列印。
 
System.exe(不可取消-----你動不了它)
描述：此為微軟系統服務重要程式
 
System Idle Process(不可取消-----你動不了它)
描述：此為微軟系統服務重要程式
 
Svchost.exe
程序文件: svchost.exe
程序名稱: Troj_backdoor.hgz.svc
描述：ServiceHostProcess是一個標準的動態連接庫主機處理服務。Svchost.exe檔對那些從動態連接庫(DLL)中運行的服務來說是一個普通的主機程序名。Svhost.exe程式位於系統目錄中。在啟動的時候，Svchost.exe檢查登錄檔中的位置來建構需要載入的服務列表。
這就會使多個Svchost.exe在同一時間運行，Windows2000一般有2個Svchost.exe程序，一個是RPCSS(RemoteProcedureCall)服務程序，另外一個則是由很多服務共用的一個Svchost.exe；
而在WindowsXP中，則一般有4個以上的Svchost.exe服務程序；Windows2003中則更多。但要注意，若發現Svchost.exe進程的路徑不在System32資料夾中，或其所屬用戶名為普通登入名(即非系統程序或服務進程)，則其極可能是是病毒程式。
至於svchost.exe裡面有非常多服務可以關，每台電腦設定不一樣，可在開始-->執行-->cmd-->在命令提示字元打tasklist /svc這樣就知道你的svchost.exe的服務到底跑那幾個