进程杀手 进程结束

各位朋友，你是否对进程杀手和进程结束的相关问题感到好奇？别担心，我将为你揭示这些问题的答案，帮助你更好地理解和应用这些知识。让我们一起探索吧！

一、怎样中止恶意进程

进程管理器结束不了的恶意进程，在常规模式下一般不能清除。

原因在于他一般还有关联的进程，你把他杀掉，另外一个关联他的进程会自动再重启它。

最好的方法是到安全模式下搜索注册表关键字恶意进程的名称（比如 bupdate.exe）找到的项删除

在我的电脑中找到文件删除即可。

二、怎样查看木马进程

第一步：打开任务管理器。根据和常见进程比较，很明显会发现两个“熟悉的陌生人”(和系统基本进程名称相似，但不相同)：“internet.exe”和“systemtray.exe”。请和上一实例中的”配角“进程比较。

第二步：打开“系统信息”的“软件环境→正在运行任务”，查看路径信息，两者均指向WindowsSystem32目录，而且文件大小、日期均相同，但从文件日期来看并不属于微软的系统文件。进入资源管理器查看其版本属性，虽然公司标明为Microsoft，但与系统文件中的微软公司名称书写并不相同，基本可断定是非法进程，并且为双进程模式。

第三步：在尝试结束进程时，第一次选择“systemtray.exe”来结束进程树，结果进程马上就再生了，任务管理器中又显示出这两个进程！于是再次选择“internet.exe”，然后结束进程树●。进程没有再生，从而将木马进程从系统中清除。

实例三：真真假假系统进程

许多病毒和木马为避免从进程名称中发现它们的踪影，往往会采用“障眼法”，使用和系统文件或系统进程名称类似的进程名称。

1.文件名伪装

(1)修改常见程序或进程个别字符

例如，上面介绍的“Falling Star”木马的进程名称“internet.exe”就与输入法进程“internat.exe”十分相似。“WAY无赖小子”的服务端进程名称为“msgsvc.exe”，与系统基本进程“msgsrv32.exe”类似，还有Explorer.exe和Exp1orer.exe的区别，不仔细的话你能看出来吗？(数字“1”取代了字母“l”)

(2)修改扩展名

著名的冰河木马的服务端进程为Kernel32.exe，乍一看很熟悉，好像是哪个系统进程，其实系统根本不存在这样一个文件，Windows 9x的基本进程中却有一个叫做“Kernel32.dll”的。诸如此类的还有“Shell32.exe”的木马进程是从“Shell32.dll”这个大家都很熟悉的文件“演变”而来的，实际在系统中都是不存在的。

2.路径伪装

Windows目录和System目录是系统核心文件所在地，一般是“闲人免进”。因此，出入它们的文件一般都被人们认为是系统文件，而病毒和木马就借机将源文件放在这两个目录中。对于这类情况，一般只需要通过系统信息找到其源文件路径，打开文件的属性，从日期(这个非常重要，可以看是否与系统文件日期一样)、版本、公司名称信息中即可看出破绽。没有哪个病毒、木马文件能设计得与系统文件完全一致。

实例四：优化系统从进程开始

除系统运行必须的基本进程外，每个程序运行后都会在系统中生成进程，每个进程都会占用一定的CPU资源和内存资源。过多的进程和一些设计不良的进程就会导致系统变慢、性能下降，这时可对它们进行一下优化。

1.精简进程

系统中的一些进程并不是必须的，结束它们并不会对系统造成什么损害。

比如：internat.exe(显示输入法图标)、systray.exe(显示系统托盘小喇叭图标)、ctfmon.exe(微软Office输入法)、mstask.exe(计划任务)、sysexplr.exe(超级解霸伺服器)、winampa.exe(Winamp代理)、wzqkpick.exe(WinZip助手)等。

有一款叫做“进程杀手”的免费小工具，具备自动精简进程功能，可自动中止系统基本进程以外的所有进程。在怀疑电脑运行了某些黑客进程或病毒进程但又不能确定是哪一个时，该软件就可以有效清除那些非法进程。不过它只适合Windows 9x/Me。下载地址。

2.杀死不良进程

有时你会发现系统运行速度特别慢，这时可打开任务管理器，单击“进程”标签，点击“CPU”列标签让进程按CPU资源占用排序，可以很明显地看到资源占用最高的程序。同样方法，可以点击“内存”列标签，查看那些内存占用大户，及时结束进程。

这里有一种情况比较特殊：在查看CPU占用率时，一个叫做“System Idle Process”的进程会一直显示在90%左右。不必担心，实际上它并没有占用这么多系统资源，单击“性能”标签可看到其实际的CPU资源占用情况。

★对于Windows 9x，使用任务管理器是无法像Windows 2000/XP那样看到所有进程以及CPU、内存占用情况，推荐使用Process Explorer(下载地址)。

★如果某个16位程序影响了系统运行，而且死活也关不掉，可进入任务管理器的进程选项卡，找到NTVDM.exe进程，将其关掉即可杀掉所有16位应用程序，而不用重启。

3.优化软件或游戏性能

你还可以通过改变软件和游戏进程优先级来提高其性能，这样能使它们运行得更快，当然负作用就是可能影响到其他正在运行的进程。比如，为避免刻录缓存溢出问题造成刻录失败，可进入任务管理器的进程选项卡，找到并右击刻录软件的进程项，选择“设置优先级”，然后在弹出的子菜单中选择“高”。如果你不想每次都这样设置，可使用下面的方法。

第一步：打开软件或游戏所在目录，比如：D:/game，在这里新建一个文本文件，在其中输入以下语句：

echo off

start/priority game.exe

说明：将priority替换为所需的CPU优先级，建议使用high(高)、abovenormal(高于标准)，因为它们的效果最好。将game.exe替换为软件或游戏的可执行文件名称，比如：stvoy.exe。

第二步：做完以上修改后将其保存为game.bat，现在就能通过这个文件来启动游戏或软件，而它将会使游戏或软件具有更高的CPU优先级。不过要注意的是，该文件必须要保存在游戏或软件所在目录

三、关于电脑进程的问题

windows常用进程

进程文件： alg or alg.exe

进程名称： Application Layer Gateway Service

alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。

出品者：Microsoft Corp.

属于：Microsoft Windows Operating System

系统进程：Yes

后台程序：Yes

网络相关：Yes

常见错误：N/A

内存使用：N/A

安全等级(0-5): 0

间谍软件：No

广告软件：No

病毒：No

木马：No

进程文件： conime或者 conime.exe

进程名称： BFGhost 1.0

描述：

conime.exe是BFGhost 1.0远程控制后门程序的一部分。这个后门程序能够运行攻击者访问你的计算机，窃取密码和个人数据。这个进程的安全等级是建议立即进行删除。

出品者：未知N/A

属于： BFGhost 1.0

系统进程：否

后台程序：是

使用网络：是

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级(0-5): 4

间谍软件：否

广告软件：否

病毒：否

木马：是

进程文件： csrss或者 csrss.exe

进程名称： Microsoft Client/Server Runtime Server Subsystem

描述：

csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。注意：csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播，当你打开附件时，即被感染。该蠕虫会在受害者机器上建立**TP服务，用以自身传播。该病毒允许攻击者访问你的计算机，窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。

出品者： Microsoft Corp

属于： Microsoft Windows Operating System

系统进程：是

后台程序：是

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级(0-5): 0

间谍软件：否

广告软件：否

病毒：否

木马：否

进程文件： ctfmon or ctfmon.exe

进程名称： Alternative User Input Services

进程类别：其他进程

中文参考：

ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序，和微软Office XP语言条。这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

出品者：Microsoft Corp.

属于：Microsoft Office Suite

系统进程：Yes

后台程序：Yes

网络相关：No

常见错误：N/A

内存使用：N/A

安全等级(0-5): 0

间谍软件：No

广告软件：No

病毒：No

木马：No

进程文件： explorer or explorer.exe

进程名称： Microsoft Windows Explorer

进程类别：其他进程

中文参考：

explorer.exe是Windows程序管理器或者Windows资源管理器，它用于管理Windows图形壳，包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致Windows图形界面无法适用。注意：explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播，当你打开病毒发送的附件时，即被感染。该病毒会在受害者机器上建立**TP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。该进程的安全等级是建议删除。<

出品者：Microsoft Corp.

属于：Microsoft Windows Operating System

系统进程：Yes

后台程序：No

网络相关：Yes

常见错误：N/A

内存使用：N/A

安全等级(0-5): 0

间谍软件：No

广告软件：No

病毒：No

木马：No

进程文件： FrameworkService or FrameworkService.exe

进程名称： Network Associates EPOAgent

进程类别：应用进程

中文参考：

FrameworkService.exe是是Network Associates公司的E-policy反病毒套装的一部分。

出品者：Network Associates

属于：McAfee Internet Security Suite

系统进程：No

后台程序：No

网络相关：Yes

常见错误：N/A

内存使用：N/A

安全等级(0-5): 0

间谍软件：No

广告软件：No

病毒：No

木马：No

进程文件： iexplorer or iexplorer.exe

进程名称： RapidBlaster parasite

进程类别：系统进程

中文参考：

iexplorer.exe是RapidBlaster病毒下载器的一部分，会在用户上网时下载和显示广告。这个进程的安全等级是建议立即进行删除。

出品者：N/A

属于：N/A

系统进程：No

后台程序：No

网络相关：Yes

常见错误：N/A

内存使用：N/A

安全等级(0-5): 4

间谍软件：No

广告软件：No

病毒：Yes

木马：No

进程文件：LocalSch.EXE、QIPCLNT.EXE、residentAgent.exe、SDISTHK.EXE、SoftMon.exe(LANDesk Software Monitor)、tmcsvc.exe

是桌面安全系统的程序

进程文件： lsass或者 lsass.exe

进程名称： Local Security Authority Service

进程名称： lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意：lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的，病毒通过软盘、群发邮件和P2P文件共享进行传播。

出品者： Microsoft Corp.

属于： Microsoft Windows Operating System

如果你的启动菜单里有个lsass.exe启动项，那就证明你得lsass.exe木马病毒，中毒后，会在windows里产生lsass.exe和exert.exe两个病毒文件，还会在D盘根目录下产生command.com和autorun.inf两个文件，同时侵入注册表破坏系统文件关联，以下说一下本人对该病毒的杀法，以WIN98为例:打开IE属性删除cookies和所有脱机内容,启动进程杀手终止lsass.exe和exert.exe两个进程，然后到windows目录下删除这两个文件，这两个文件是隐藏的，再到D：删除command.com和autorun.inf两个文件，最后重启电脑到DOS运行，用scanreg/restore命令来恢复注册表，（如果不会的或者是XP系统不能用的可以用瑞星注册表修复程序之类的软件修复一下注册表），重启后进到WINDOWS桌面用杀毒软件（本人用金山毒霸2006）全面杀毒，清除余下的病毒！

在进程里可以见到有两个相同的进程，分别是lsass.exet和LSASS.EXE.同时在windows下生成LSASS.EXE和exert.exe两个可执行文件，且在后台运行。LSASS.EXE管理exe类执行文件，exert.exe管理程序退出。下载个进程管理器，找出问题进程的路径，手动终止LSASS.EXE和exert.exe两个进程（管理器不能终止LSASS.EXE,提示系统进程不能终止），打开msconfig.exe取消LSASS.EXE启动项。删除C:\Documents and Settings\Administrator\Local Settings\tempt和Temporary Internet Files下的文件,断开网络后再删除C:\Program Files\Common Files\update文件夹，这里exe类文件已不能运行，新建一个reg文件，输入如下内容：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe]

@="exefile"

"Content Type"="％1，%*"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.exe\PersistentHandler]

@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

或用工具恢复注册表。

进程文件： mcshield或者 mcshield.exe

进程名称： McAfee VirusScan

描述： mcshield.exe是McAfee网络安全套装的一部分。

出品者： Network Associates, Inc

属于： McAfee's Internet Security suite

系统进程：否

后台程序：是

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级(0-5): 0

间谍软件：否

广告软件：否

Virus:否

木马:否

进程文件： mdm或者 mdm.exe

进程名称： Machine Debug Manager

描述： mdm.exe is是微软Windows进程除错程序。用于使用可视化脚本工具对Internet Explorer除错。注意：该进程同时可能是Win32.Lydra.a木马，该木马允许攻击者访问你的计算机，窃取密码和个人数据。

出品者： Microsoft Corp.

属于： Microsoft Windows Operating System

系统进程：否

后台程序：否

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级(0-5): 0

间谍软件：否

广告软件：否

Virus:否

木马:否

进程文件：nhldaemn.EXE、nminder.exe

Lotus Notes加载的程序

进程文件： naprdmgr或者 naprdmgr.exe

进程名称： McAfee ePolicy Orchestrator

描述： naprdmgr.exe是McAfee ePolicy产品管理相关程序。

出品者： McAfee

属于： McAfee Internet Security Suite

系统进程：否

后台程序：否

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级(0-5): 0

间谍软件：否

广告软件：否

Virus:否

木马:否

进程文件： pds or pds.exe

进程名称： Intel Ping Discovery Service

描述：

pds.exe是Intel LANDesk管理套装软件的一部分，用于在你的计算机上注册其产品。

出品者： Intel Corporation.

属于： Intel Ping Discovery Service

系统进程：否

后台程序：是

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级(0-5): 0

间谍软件：否

广告软件:否

广告软件：否

木马:否

进程文件： services或者 services.exe

进程名称： Windows Service Controller

描述：

services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意：services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P(储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。

出品者： Microsoft Corp.

属于：Microsoft Windows Operating System

系统进程：是

后台程序：是

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级(0-5): 0

间谍软件：否

Adware:否

广告软件：否

木马:否

进程文件： shstat or shstat.exe

进程名称： McAfee VirusScan Shstat

进程类别：应用进程

中文参考：

shstat.exe是McAfee反病毒相关程序。

出品者：Network Associates, Inc.

属于：McAfee VirusScan

系统进程：No

后台程序：Yes

网络相关：No

常见错误：N/A

内存使用：N/A

安全等级(0-5): 0

间谍软件：No

广告软件：No

病毒：No

木马：No

进程文件: **ss or **ss.exe

进程名称: Session Manager Subsystem

描述:该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。

简介：这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，**ss.exe就会让系统停止响应（就是挂起）。

进程文件： soundman或者 soundman.exe

进程名称： Realtek Avance Logic Inc

描述：

soundman.exe是Realtek声卡相关程序。该进程在系统托盘驻留，用于进行快速访问和诊断。

出品者： Realtek Avance Logic Inc.

属于：Realtek Avance Logic Inc

系统进程：否

后台程序：是

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级(0-5): 0

间谍软件：否

Adware:否

病毒：否

木马:否

进程文件： spoolsv or spoolsv.exe

进程名称： Microsoft Printer Spooler Service

描述：

spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全级别是建议立即删除。

出品者： Microsoft Corp.

属于：Microsoft Windows 2000 and later

系统进程：是

后台程序：是

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级(0-5): 0间谍软件：否

Adware:否病毒：否木马:否

进程文件： svchost或者 svchost.exe

进程名称： Microsoft Service Host Process

描述：

svchost.exe是一个属于微软Windows操作系统的系统程序，用于执行DLL文件。这个程序对你系统的正常运行是非常重要的。注意：svchost.exe也有可能是W32.Welchia.Worm病毒，它利用Windows LSASS漏洞，制造缓冲区溢出，导致你计算机关机。

进程文件： System Idle Process或者 System Idle Process

进程名称： System Idle Counter

描述：

System Idle不是一个进程，更多用于统计剩余的CPU资源情况。无法删除该进程。

出品者： Microsoft

属于： Microsoft Windows Operating System

系统进程：是

后台程序：是

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级(0-5): 0

间谍软件：否

Adware:否

病毒：否

木马：否

进程文件： taskmgr或者 taskmgr.exe

进程名称： The Windows Task Manager.

描述：

taskmgr.exe用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开，这不是纯粹的系统程序，但是如果终止它，可能会导致不可知的问题。

出品者： Microsoft Corp.

属于： Windows

系统进程：是

后台程序：是

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级(0-5): 0间谍软件：否

Adware:否病毒：否木马：否

进程文件： timplatform or timplatform.exe

进程名称： timplatform

进程类别：

英文描述：

Sorry,No English Decription for this Process.

中文参考：

TIMPlatform.exe是QQ和Tencent Messenger共同使用的外部应用开发接口管理程序，属于QQ 2004不可或缺的底层核心模块。如果删除该程序，QQ 2004将丧失与周边功能模块以及外部应用程序相互调用的功能。据说结合TIMPlatform.exe外部应用接口的开发将为大家带来更加丰富多彩的各种应用！

出品者：腾迅

属于：Tencent

系统进程：No

后台程序：No

网络相关：Yes

常见错误：N/A

内存使用：N/A

安全等级(0-5): 0

间谍软件：No

广告软件：No

病毒：No

木马：No

进程文件： updaterui或者 updaterui.exe

进程名称： McAfee Updater UI

描述：

updaterui.exe是McAfee杀毒企业版软件7.0相关程序。

出品者： Network Associates, Inc.

属于： McAfee Enterprise

系统进程：否

后台程序：是

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级(0-5): 0

间谍软件：否

Adware:否

病毒：否

木马：否

进程文件： vstskmgr or vstskmgr.exe

进程名称： McAfee VirusScan Task Manager

进程类别：应用进程

中文参考：

vstskmgr.exe是McAfee Internet Security网络安全套装的一部分，用于保护你的计算机免受网络安全威胁。

出品者：McAfee

属于：McAfee Internet Security Suite

系统进程：No

后台程序：Yes

网络相关：Yes

常见错误：N/A

内存使用：N/A

安全等级(0-5): N/A

间谍软件：No

广告软件：No

病毒：No

木马：No

进程文件： VTTimer或者 VTTimer.exe

进程名称： VIA Graphics Card Driver

描述：

VTTimer.exe是VIA芯片显卡相关程序，用于显卡诊断和功能设置。

出品者： VIA Technologies

属于： VIA Graphics Multimedia

系统进程：否

后台程序：否

使用网络：否

硬件相关：是

常见错误：未知N/A

内存使用：未知N/A

安全等级(0-5):未知N/A

间谍软件：否

Adware:否

病毒：否

木马：否

进程文件：VTtrayp或者 VTtrayp.exe

进程名称： S3 Screentoys Helper

描述：

VTtrayp.exe是S3公司显示卡相关程序，用于硬件设备配置。

出品者： S3 Graphics

属于： S3 Multimedia

系统进程：否

后台程序：否

使用网络：否

硬件相关：是

常见错误：未知N/A

内存使用：未知N/A

安全等级(0-5): 2

间谍软件：否

广告软件：否

病毒：否

木马：否

进程文件： wdfmgr或者 wdfmgr.exe

进程名称： Windows Driver Foundation Manager

描述： wdfmgr.exe是微软Microsoft Windows media player 10播放器的一部分。该进程用于减少兼容性问题。

出品者： Microsoft

属于： Microsoft Wnidows Media Player

系统进程：否

后台程序：是

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级(0-5): 0

间谍软件：否

Adware:否

病毒：否

木马：否

进程文件： winlogon or winlogon.exe

进程名称： Microsoft Windows Logon Process

描述：

WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意：winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播，当你打开病毒发送的附件时，即会被感染。该病毒会创建**TP引擎在受害者的计算机上，群发邮件进行传播。该病毒允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议删除。

出品者： Microsoft Corp.

属于： Microsoft Windows Operating System

系统进程：是

后台程序：是

使用网络：否

硬件相关：否

常见错误：未知N/A

内存使用：未知N/A

安全等级(0-5): 0

间谍软件：否

Adware:否

病毒：否

木马：否

进程文件： wmiprvse or wmiprvse.exe

进程名称： Microsoft Windows Management Instrumentation

进程类别：其他进程

中文参考：

wmiprvse.exe是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。这个程序对你系统的正常运行是非常重要的。

出品者：Microsoft

文章到此结束，希望我们对于进程杀手的问题能够给您带来一些启发和解决方案。如果您需要更多信息或者有其他问题，请随时联系我们。