win7中的引导过程有哪些？它们是什么意思？

Svchost.exe是属于微软视窗操作系统的系统程序。微软的官方解释是，Svchost.exe是从动态链接库(DLL)运行的服务的通用主机进程名。这个程序对于系统的正常运行非常重要，不能结束。

过程属性

过程文件:svchostor svchost.exe

进程名称:win32服务的通用服务主机进程。

流程类别:系统流程

位置:C: \ Windows \ System32 \ svchost。(如果您的svchost.exe进程不在此目录中，请小心)。

(注:svchost.exe也可能是W32。Welchia.Worm病毒，它利用Windows LSASS的漏洞来创建缓冲区溢出，并导致您的计算机关机。详情请参考:/TechNet/security/bulletin/ms04-011 . mspx，此流程的安全级别建议立即删除。)

2.audiodg.exe

工艺文件:audiodg.exe

路径:(系统安装目录磁盘)c:\ windows \ system32 \ audiodg.exe。

中文名称:Windows音频设备管理器

制片人:微软公司

属于:Windows音频设备图形隔离程序。

现阶段相关问题参考:近日有安全研究员称，微软新一代操作系统的Windows Vista进程保护功能存在严重的安全隐患，并被恶意利用。Vista Protected Process最初是为媒体路径和DRM文件设计的，以防止未经授权的软件或硬件捕获高清内容，但用于进程保护的数字签名仅由微软及其合作媒体合作伙伴拥有。

但从安全人员发布的概念小程序来看，audiodg.exe和mfpmp.exe两个Vista保护进程中的信息已经可以显示和调用，也就是说，恶意软件厂商只要获得相关数字签名，也可以编写具有进程保护能力的恶意代码。

这种进程保护机制一旦被恶意软件作者利用，普通的杀毒软件就束手无策了。

补充说明:这个过程可以大大提高WIN7下耳机的音质。具体设置如下:插上耳机，点击音量图标，打开后点击上方耳机图标，选择增强功能。有三种设置:低音增强、耳机虚拟化和响度平衡。我建议你选择所有三个，点击确定，重新启动音乐播放器，并播放一首歌曲。你会发现现在一首音质一般的歌都差不多了。建议你前后对比一下，作者对比后音质提升效果非常明显！但使用此项后，该进程占用的CPU会比平时略高。请注意。

3.csrss.exe

Csrss.exe，一个系统进程，是微软客户端和服务器的一个运行时子系统，管理Windows图形相关的任务，对于系统的正常运行非常重要，但也有可能是W32等病毒造成的。Netsky.ab @ mm。

注意:csrss.exe也可能是由W32等病毒创建的。Netsky.AB@mm，W32。网络特洛伊，Win32。这种病毒是通过电子邮件传播的。当您打开附件时，它已被感染。该蠕虫将在受害者的机器上建立SMTP服务来传播自身。该病毒允许攻击者访问您的计算机并窃取木马和个人数据。建议立即删除此流程的安全级别。

简介:客户机/服务器运行时服务器子系统是一个客户机服务子系统，用于控制Windows图形相关的子系统。正常情况下，Windows NT/2000/XP/2003系统中只有一个csrss.exe进程，它位于System32文件夹中。如果上述系统中有两个csrss.exe进程(其中一个位于Windows文件夹中)，或者该进程出现在Windows 9X/Me系统中，则它感染了病毒。Windows Vista有两个csrss.exe进程。

请注意，正常的csrss.exe双击后会出现“无法在Win32模式下运行”的提示，进程终止后屏幕会变成蓝色。

根据csrss.exe的位置判断csrss.exe的危险程度。

如果csrss.exe位于“C:\Program Files”下的子目录中，威胁风险为70%。文件大小为1，11，688字节(占总出现率的11%)，49，152字节，311，808。606字节，769，536字节，1，201，827字节，1，056，768字节，1，175，073字节。

如果csrss.exe位于C:\Windows\System32下的子目录中，威胁风险为77%。文件大小为2121，216字节(占总出现率的22%)，28160字节，29696字节，20480字节，2932736字节，470526字节。

如果csrss.exe位于目录C:\Windows\System32\drivers中，威胁风险为64%。文件大小为81，920字节(占总出现率的40%)，335，872字节，542，720字节，6，144字节。如果csrss.exe位于“C:\Documents and Settings”下的子目录中，威胁风险为57%。文件大小为58033字节(占总出现率的50%)，385536字节，24576字节。

纯手工宰杀特洛伊马csrss.exe

注意:csrss.exe进程属于系统进程，这里所说的csrss.exe特洛伊是伪装成系统进程的特洛伊。

前两天，我突然发现C:\Program Files\下多了一个rundll32.exe文件。我记得这个程序是关于登录和开关机的，应该不在这里，而且它的图标是notepad.exe 1998年的旧记事本图标，在我2003年的系统下非常醒目。但我当时并不在乎。因为平时没有感觉到系统不稳定，也没有发现大量内存和CPU占用，网络流量正常。

在过去的两天里，我发现rundll32.exe和csrss.exe进程被添加到任务管理器中。与系统进程不同的是，用户是管理员，也就是我登录的用户名，而不是系统。另外，它们的名字都是小写的，系统启动的进程都是大写的RUNDLL32.EXE和CSRSS.EXE，这是不对的。

然后按F3，用资源管理器的搜索功能找到csrss.exe。果然在C:\Windows下，大小是52736字节，生成时间是65438+2月9日02: 37。真正的csrss.exe只有6k，生成于2003年3月27日12:00，在C:\Windows\Syetem32下。

于是我用超级无敌UltraEdit打开，发现里面有kavscr.exe、mailmonitor等字符，是金山毒霸的进程名。这个字符的前几行有自保字符。自我保护和杀毒软件相关的程序不是病毒就是木马。

尝试使用任务管理器结束csrss.exe进程失败，称其为系统的关键进程。高级注册表删除[HKEY _本地_机器\软件\微软\ Windows \当前版本\运行]和v[运行服务]下对应的值，进程消失，说明没有像3721那样加载驱动。

然后寻找与之相关的文件。还是用系统搜索功能找到65438+2月9日生成的所有文件，然后看到csrss.exe，rundll32.exe，kavsrc.exe是12: 37生成的，但是kav src . exe的图标也是98下的记事本图标，大小和rundll32 . exe的是33792字节。

之后在12:38生成了一个内容为@echo off的tmp.dat文件。

debug C:\ DOCUME ~ 1 \ ADMINI ~ 1 \ LOCALS ~ 1 \ Temp \ tmp . dat C:\ DOCUME ~ 1 \ ADMINI ~ 1 \ LOCALS ~ 1 \ Temp \ tmp . out

copy C:\ DOCUME ~ 1 \ ADMINI ~ 1 \ LOCALS ~ 1 \ Temp \ tmp . dat C:\ WINDOWS \ system32 \ netstart . exe & gt；c:\ DOCUME ~ 1 \ ADMINI ~ 1 \ LOCALS ~ 1 \ Temp \ tmp . out

del C:\ DOCUME ~ 1 \ ADMINI ~ 1 \ LOCALS ~ 1 \ Temp \ tmp . dat & gt；c:\ DOCUME ~ 1 \ ADMINI ~ 1 \ LOCALS ~ 1 \ Temp \ tmp . out

del C:\ DOCUME ~ 1 \ ADMINI ~ 1 \ LOCALS ~ 1 \ Temp \ tmp . in & gt；c:\ DOCUME ~ 1 \ ADMINI ~ 1 \ LOCALS ~ 1 \ Temp \ tmp . out

c:\ WINDOWS \ system32 \ netstart . exe

好像用debug编译了一个程序。这年头很少用debug，这大概不是什么好事，因为商业程序员都是用Delphi，PB等大程序写软件。

组装大约需要1分钟，在12:39，生成了netstart.exe、WinSocks.dll、netserv.exe和一个0字节的tmp.out文件。Netstart.exe大小是117786字节，另外两个大小也是52736字节。前两个位于C:\Windows\System32下，后两个位于当前用户的Temp文件夹中。

所以我知道为什么我的系统没有感染的迹象。Netstart.exe并没有一直运行，因为我没有在任务管理器中看到它。要把这些文件全部删除，我的方法是用winrar压缩，完成后删除源文件，然后在rar文件的评论里说明，放到一个文件夹里，以后学习。这个监狱里全是我的战利品，但还是很少。

现在特洛伊这匹马已经被清除了。用搜索引擎查找关于csrss.exe的内容，我找到了很多结果，包括QQ病毒，传奇盗号木马，新浪游戏病毒，但文件大小与我的不同。netstart.exe只有一个日文网站，也是特洛伊马。

这个病毒是怎么进入我的电脑的？搜索时发现65438年2月9日12: 36生成了一个名为dos71cd.zip的快捷方式。那天是我从某网站下载的一张DOS7.11启动光盘，当时下载失败。现在看来完全不是失败，因为这个网站的链接本来就是网页注入程序，点击后直接下载了病毒。

4.explorer.exe

Explorer.exe是一个Windows程序管理器或Windows资源管理器，用于管理Windows图形外壳，包括开始菜单、任务栏、桌面和文件管理。删除此程序将使Windows图形界面不适用。Explorer.exe也可能是一种病毒，如w32.Codered。该病毒通过电子邮件传播。当病毒发送的附件被打开时，它就被感染了。SMTP服务将在受害者的机器上建立，允许攻击者访问您的计算机并窃取密码和个人数据。

路径:(系统安装目录盘)C:\ Windows \ explorer.exe C:\ Windows \ System32 \ DLlcache(Windows的文件保护机制备份)在(系统安装目录盘)C:\ Windows \ service pack files \ I386的路径下，这个文件也存在。(所以，当你的桌面没有启动的时候，你可以用这里的explorer.exe来启动它，而且最好备份一份到C:\windows\，因为系统默认会在这里启动explorer.exe。)

命令和应用

Explorer.exe的命令参数及其应用我们经常需要打开CMD命令行下的文件夹。除了开始命令，我们还可以使用explorer.exe打开文件夹，并且有许多参数可以方便我们的操作。以下是我在微软官网找到的EXPLORER的使用方法。

5.lsass.exe

Lsass.exe是一个系统进程，用于Microsoft Windows系统的安全机制。它用于本地安全和登录策略。注:lsass.exe也可能是Windang.worm，irc.ratsou.b，Webus创建的。b，MyDoom。我，兰迪斯。AR、Nimos.worm，病毒通过软盘、群发邮件、P2P文件共享等方式传播。

生产过程说明

本地安全权限服务控制Windows安全机制。管理IP安全策略和启动ISAKMP/奥克利(IKE)和IP安全驱动程序是一个本地安全授权服务，它将为使用winlogon服务的授权用户生成一个进程。这个过程是通过使用一个授权的包来执行的，例如默认的msgina.dll。如果授权成功，lsass将生成用户的入口令牌，而不是使用初始shell。其他用户启动的进程将继承此令牌。而windows Active Directory的远程堆栈溢出漏洞正是由于对用户使用LDAP 3的搜索请求功能提交的请求缺乏正确的缓冲区边界检查，构造了超过1000个“和”请求并发送到服务器，导致堆栈溢出、Lsass.exe服务崩溃和系统在30秒内重启。

病毒

介绍和扣押

该病毒是一种窃取日期的特洛伊木马，可在WIN9X/NT/2000/XP等操作系统上运行。病毒会强行终止各种杀毒软件的进程，使其无法正常运行。它会经常检查“传奇”客户端的窗口。如果窗口存在，就会获取当前鼠标位置，记录键盘信息，最后将记录的信息发送到指定邮箱，从而盗取用户的游戏账号和密码。

诊断

如果你的启动菜单里有lsass.exe启动项(开始-运行-输入“msconfig”)，证明你的lsass.exe是特洛伊病毒。中毒后，你可以看到在这个过程中有两个相同的过程，即lsass.exe和LSASS.EXE。同时，在windows下生成LSASS.exe和exert.exe两个可执行文件，并在后台运行。LSASS.EXE管理EXE可执行文件，exert.exe退出。另外，在D盘根目录下生成command.com和autorun.inf两个文件，同时入侵注册表破坏系统文件关联。

编辑这段病毒清除。

这种病毒比较恶毒，人工清除比较复杂。请务必严格按照步骤操作，否则很可能无法清洗干净。建议一般用户使用杀毒软件清除此病毒。

WIN98

打开IE属性删除cookies和所有离线内容，启动进程杀手终止lsass.exe和exert.exe进程，然后在windows目录下删除这两个文件，再去D:删除command.com和autorun.inf文件，最后重启电脑在DOS下运行。使用scanreg/restore命令还原注册表。(如果不行或者XP系统不行，可以用瑞星注册表修复程序等软件修复注册表。)重启后进入WINDOWS桌面，使用杀毒软件彻底杀毒，清除剩余病毒。

Windows XP

一.准备工作

打开“我的电脑”——工具——文件夹选项——视图a，勾选“隐藏受保护的操作系统文件(推荐)”和“隐藏已知文件类型的扩展名”；b .勾选“显示所有文件和文件夹”。2.结束进程使用Ctrl+Alt+Del调用windows事务管理器。通过右键单击当前用户名的lsass.exe来结束该过程是不可行的。会弹出一个提示框，提示该流程不能作为系统流程结束。进入任务管理器进程面板，点击菜单，查看-选择列，在弹出的对话框中选择PID(进程标识符)，点击确定。找一个镜像名为“LSASS.exe”，用户名不是“SYSTEM”的项目，记住它的PID号。点击“开始”-运行，输入“CMD”，点击“确定”打开命令行控制台。输入“NTSD-CQ-P(红色部分填的是LSASS的编号。EXE的PID一栏你在任务管理器看到的，是当前用户名进程的PID，不要搞错了)”，比如在我的电脑上输入“NTSD-CQ-p 1064”，进程就结束了。(如果结束后还会出现，最好用下面的方法。)

第三，删除病毒文件

删除以下文件:(不同于WIN2000的目录)

c:\ program files \ common files \ int explore . pif(有些没有. pif)

c:\ Program Files \ Internet Explorer \ Intel Explorer . com

c:\ WINDOWS \ impose . exe(或EXERT.exe)

C:\WINDOWS\IO。系统BAK C:\WINDOWS\LSASS.exe

c:\ WINDOWS \ Debug \ Debug program . exe

C:\WINDOWS\system32\dxdiag.com

C:\WINDOWS\system32\MSCONFIG。计算机输出缩微胶片

c:\ WINDOWS \ system32 \ regedit . com

在D:盘上点击鼠标右键，选择“打开”。删除这个分区根目录下的Autorun.inf和command.com文件。

删除注册表中的其他垃圾信息。

将C:\WINDOWS目录中的“regedit.exe”重命名为“regedit.com”并运行，然后删除以下项目:

1、HKEY _类_根\窗口文件

2、HKEY _当前_用户\软件\VB和VBA程序设置

3.检查HKEY当前用户软件下的关联。

4、HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Clients \ StartMenuInternet \ in explore . pif

5.HKEY _本地_机器\软件\微软\ Windows \当前版本\运行下的顶部项目。

修复注册表中被篡改的键值。

1.更改HKEY类根的默认值。exe到“exefile”(原来是windowsfile)。

2.将HKEY _类_根\应用程序\ iexplore.exe \ shell \ open \ command的默认值改为“c:\ program files \ Internet Explorer \ ie xplore . exe”% 1(原intexplore.com)。

3.将HKEY _类_根\ clsid \ { 871c 5380-42 A0-1069-A2A-08002 b 30309d } \ shell \ open home page \ command的默认值更改为“C:\ Program files \ Internet Explorer。

4.将HKEY _ classes _ root \ FTP \ shell \ open \ command和HKEY _ classes _ root \ html file \ shell \ open new \ command的默认值更改为“c:\ program files \ Internet Explorer \ Iexplore.exe”% 1(原来的值是INTEXPLORE.pif和INTEXPLORE.pif)。

5.将HKEY _类_根\ htmlfile \ shell \ open \ command和HKEY _类_根\ http \ shell \ open \ command的默认值改为“c:\ program files \ Internet Explorer \ ie xplore . exe”——无home。

6.将HKEY _本地_机器\软件\客户端\开始菜单Internet的默认值更改为“IEXPLORE”。EXE”(原文为INTEXPLORE.pif)。

第六，点睛之笔

关闭注册表编辑器。

将C:\WINDOWS目录中的regedit.com改回regedit.exe。如果系统提示您存在重名文件且无法更改，您可以先删除重名的regedit.exe，然后将regedit.com更改为regedit.exe。

6.lsm.exe

文件名:lsm.exe。

显示名称:Microsoft Windows操作系统。

描述:本地会话管理器服务

出版商:微软公司

数字签名者:Microsoft Windows验证PCA

文件类型:应用程序

自动启动:否。

文件路径:C:\Windows\system32\lsm.exe文件大小:210432。

随操作系统提供:是

工艺文件:lsm.exe

进程位置:C:\Windows\System32，其中C是系统驱动器号。

进程名称:本地会话管理器服务，本地会话管理服务。

中文描述:不适用

中文描述:

作者:微软

属于:widnows vista操作系统

文件大小:224 KB

文件版本:6.0.6001.18000。

MD5值:4774 ad 6 c 447 e 02e 954 BD 9 a 793614 ebec。

系统流程:没有。

应用:否。

后台程序:没有。

使用权限:否。

上网:没有。

安全级别(0-5):不适用(不适用表示不危险，5表示最危险)

盘间软件:没有。

广告软件:没有。

病毒:没有。

特洛伊·霍斯:不

7.system.exe

工艺文件:system.exe

流程位置:系统

程序名:Backdoor.bifrose

程序用途:后门特洛伊病毒用于窃取机密和远程控制。

系统流程:没有。

后台程序:是

使用网络:是

硬件相关:没有。

安全级别:低

过程分析:特洛伊病毒，如GAOBOT。AO，网络管理员，特洛伊/PSW。WyHunt，Worm_Bbeagle。k和灰鸽也会生成这个文件，它基本上属于后门蠕虫特洛伊，被恶意攻击者用于远程控制。该病毒修改注册表创建系统服务系统实现自启动，并注入病毒模块systemKey.DLL，system_HOOk。DLL到要运行的进程中。该病毒模块可以记录键盘动作来窃取帐户密码，并允许恶意攻击者远程控制计算机。

Troj_adware.mopo广告特洛伊，病毒修改注册表实现自启动，运行后可启动mopo弹窗广告。当你不知道系统是进程还是病毒的时候，可以下载一个可以显示路径的工具SREng，看到具体路径就知道是什么了。

如何手动杀死system.exe病毒？

1，使用任务管理器停止所有system.exe进程；

2.运行cmd并键入del/f/a % d % \ recycler \ system。Exedel/f/a% d%: \ system。Exe删除所有硬盘根目录下的autorun.inf和回收站里的system.exe和system.exe文件；

3.删除“开始/程序/开始”下的按键图标；

4.运行regedit，找到并删除system.exe的所有键值，然后重启电脑，确定。