黑客技术群

请问这些进程分别是什么？并且请说明哪一些可以关掉！在此谢过诸位！请点击图片看大图！

ScannerFinder...

hpqbam08.exe

TencentUpdate...

ekrn.exe

ppspa.exe

xdaemon.exe

hpqgpc01.exe

xnet2.exe

hpswp_cli...

hpwuschd2.exe

mpsvcc.exe

hnceng.exe

都可以关掉 不影响系统

其实你可以点 用户名 administration 的除了explorer.exe不关其余的都可以关

最好还是用360查看下 有详细的解释每个进程是干什么的

最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）:

smss.exe Session Manager

csrss.exe 子系统服务器进程

winlogon.exe 管理用户登录

services.exe 包含很多系统服务

lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)

产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)

svchost.exe 包含很多系统服务

SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)

explorer.exe 资源管理器

internat.exe 托盘区的拼音图标

附加的系统进程(附加的服务都对安全有害，如果不是必要的应该关掉)（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）:

mstask.exe 允许程序在指定时间运行。(系统服务)

regsvc.exe 允许远程注册表操作。(系统服务)

winmgmt.exe 提供系统管理信息(系统服务)。

inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)

tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务) 允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)

tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一。

(系统服务)

termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话

以及运行在服务器上的基于 Windows 的程序。(系统服务)

dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)

以下服务很少会用到

tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务) 支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)

ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)

ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)

wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)

llssrv.exe License Logging Service(system service)

ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)

RsSub.exe 控制用来远程储存数据的媒体。(系统服务)

locator.exe 管理 RPC 名称服务数据库。(系统服务)

lserver.exe 注册客户端许可证。(系统服务)

dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)

clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)

msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)

faxsvc.exe 帮助您发送和接收传真。(系统服务)

cisvc.exe Indexing Service(system service)

dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)

mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)

netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)

smlogsvc.exe 配置性能日志和警报。(系统服务)

rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)

RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)

RsFsa.exe 管理远程储存的文件的操作。(系统服务)

grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)

SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)

snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)

snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序

。(系统服务)

UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)

msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

详细说明：

win2k运行进程

Svchost.exe

Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。

Svchost.exe 组是用下面的注册表值来识别。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost

每个在这个键下的值代表一个独立的Svchost组，并且当你正在看活动的进程时，它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名，这个服务的参数值包含了一个ServiceDLL 值。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

explorer.exe

这是一个用户的shell（我实在是不知道怎么翻译shell），在我们看起来就像任务条，桌面等等。这个进程并不是像你想象的那样是作为一个重要的进程运行在windows中，你可以从任务管理器中停掉它，或者重新启动。通常不会对系统产生什么负面影响。

internat.exe

这个进程是可以从任务管理器中关掉的。

internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置

HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。

internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。

lsass.exe

这个进程是不可以从任务管理器中关掉的。

这是一个本地的安全授权服务，并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。

mstask.exe

这个进程是不可以从任务管理器中关掉的。这是一个任务调度服务，负责用户事先决定在某一时间运行的任务的运行。

smss.exe

这个进程是不可以从任务管理器中关掉的。这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动,包括已经正在运行的Winlogon,Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。

spoolsv.exe

这个进程是不可以从任务管理器中关掉的。 缓冲（spooler）服务是管理缓冲池中的打印和传真作业。

service.exe

这个进程是不可以从任务管理器中关掉的。大多数的系统核心模式进程是作为系统进程在运行。

System Idle Process

这个进程是不可以从任务管理器中关掉的。这个进程是作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。

winlogon.exe

这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。

winmgmt.exe

winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化

taskmagr.exe

这个进程就是任务管理器

网络上很多 这个资料很久前就收录了 忘记了谁的了

当时复制没复制作者。。

这个是什么病毒！！？怎么这么厉害！！

看了你电脑的症状，很有可能是中了磁碟机病毒，下面的内容是百科上贴过来的，希望对你有用。

磁碟机病毒又名dummycom病毒，是近一个月来传播最迅速，变种最快，破坏力最强的病毒。据360安全中心统计每日感染磁碟机病毒人数已逾100,1000用户！“磁碟机”现已经出现100余个变种，目前病毒感染和传播范围正在呈现蔓延之势。病毒造成的危害及损失10倍于“熊猫烧香”。

这个病毒主要通过U盘和局域网ARP攻击传播，如果当你无法访问各个安全软件站点，或者从安全站点的官网上下载的安装程序有问题的话，极有可能是已经中了磁碟机病毒

“磁碟机”（又名“千足虫”），病毒感染系统可执行文件，能够利用多种手段终止杀毒软件运行，并可导致被感染计算机系统出现蓝屏、死机等现象，严重危害被感染计算机的系统和数据安全。与其它关闭杀毒软件的病毒不同的是，该病毒利用了多达六种强制关闭杀毒软件和干扰用户查杀的反攻手段，许多自身保护能力不够强壮的杀毒软件在病毒面前纷纷被折。

病毒在每个磁盘下生成pagefile.exe和Autorun.inf文件，并每隔几秒检测文件是否存在，修改注册表键值，破坏“显示系统文件”功能。

每隔一段时间会检测自己破坏过的显示文件、安全模式、Ifeo、病毒文件等项，如被修改则重新破坏。病毒执行后，会删除病毒主体文件。

病毒会监控lsass.exe、smss.exe、dnsq.dll文件，如果假设不存在的话则重新生成。当拷贝失败后，病毒会调用rd /s /q命令删除原来的文件，再重新写入。病毒会连接恶意网址下载大量木马病毒。

该病毒运行后会在系统目录中COM目录（默认为c:\windows\system32\com）下生成名为lsass.exe及smss.exe文件。该病毒会感染除windows及program files目录下所有的EXE格式可执行文件，会造成用户计算机运算速度缓慢，甚至造成系统蓝屏、死机。由于该病毒编写存在一些问题，可能会造成用户安装的软件被损坏，无法使用。

【磁碟机病毒特征】

磁碟机病毒是一个下载者病毒，会关闭一些安全工具和杀毒软件并阻止其运行运行，并会不断检测窗口来关闭一些杀毒软件及安全辅助工具，破坏安全模式，删除一些杀毒软件和实时监控的服务，远程注入到其它进程来启动被结束进程的病毒。

【磁碟机病毒危害】

(1)修改系统默认加载的DLL 列表项来实现DLL 注入。通过远程进程注入，并根据以下关键字关闭杀毒软件和病毒诊断等工具。

(2)修改注册表破坏文件夹选项的隐藏属性修改,使隐藏的文件无法被显示。

(3)自动下载最新版本和其它的一些病毒木马到本地运行。

(4)不断删除注册表的关键键值来来破坏安全模式和杀毒软件和主动防御的服务, 使很多主动防御软件和实时监控无法再被开启。

(5)病毒并不主动添加启动项，而是通过重启重命名方式。这种方式自启动极为隐蔽，现有的安全工具很难检测出来。

(6)病毒会感染除SYSTEM32 目录外其它目录下的所有可执行文件，并且会感染压缩包内的文件。

【主要症状】

1、系统运行缓慢、频繁出现死机、蓝屏、报错等现象；

2、进程中出现两个lsass.exe和两个smss.exe ,且病毒进程的用户名是当前登陆用户名；（如果只有1个lsass.exe和1个smss.exe，且对应用户名为system，则是系统正常文件，请不用担心）

3、杀毒软件被破坏，多种安全软件无法打开，安全站点无法访问；

4、系统时间被篡改，无法进入安全模式，隐藏文件无法显示；

5、病毒感染.exe文件导致其图标发生变化；

6、会对局域网发起ARP攻击，并篡改下载链接为病毒链接；

7、弹出钓鱼网站

【主要传播渠道】

1、U盘/移动硬盘/数码存储卡

2、局域网ARP攻击

3、感染文件

4、恶意网站下载

5、其它木马下载器下载

如何免疫磁碟机病毒：

【免疫方法】

1、使用360安全卫士“清理恶评插件”功能先进行检测，在弹出的免疫提示框中选择确定

2、下载360磁碟机病毒专杀工具，选择“开启免疫”

【免疫原理】

1、通过host表屏蔽磁碟机病毒升级及下载站点

2、通过免疫文件保护防止磁碟机病毒文件创建

U[font color=#0000cc][/font]/U

【评论】

江民反病毒工程师经提取病毒样本分析后认为，多数企业都是因为遭受了同一病毒“千足虫”（又名磁碟机）病毒侵害。统计显示，目前“磁碟机”病毒及其变种已感染超过5万台电脑，被感染的电脑分布在政府、企事业等。

反毒专家何公道认为，“磁碟机”病毒是近几年以来发现的病毒技术含量最高、破坏性最强的病毒，其破坏能力、自我保护和反杀毒软件能力均10倍于“熊猫烧香”，所以建议引起反病毒同行以及各大企事业单位网管员的高度重视。

总结：

其实，磁碟机现在并没有什么可怕的。假如使用受限制用户运行的话，磁碟机对您的破坏相当的有限。

请问这是什么病毒

svchost.exe不是病毒，它是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。

大家对windows操作系统一定不陌生，但你是否注意到系统中“svchost.exe”这个文件呢？细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。

发现

在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。

如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。

svchost中可以包含多个服务

深入

windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss（remote procedure call）服务为例，进行讲解。

从启动参数中可见服务是靠svchost来启动的。

实例

以windows xp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。

在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项，找到类型为“reg_expand_sz”的键“magepath”，其键值为“%systemroot%system32svchost -k rpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“servicedll”的键，其值为“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。

解惑

因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

5个也是正常的范围,现在我的进程里有六个.

电脑任务管理器上怎么看那些是病毒？

1.你首先要对常见的系统进程比较了解,其次就是你的正在运行的一些进程,排除了这些以后,其它的进程都是直得怀疑的. 这时候你就可以用一些杀毒软件,如360,进行你的进程检测.

2.

这个主要是熟悉正常进程有哪些，如果有未知进程就在百度上一搜，主要来说系统进程有：

csrss.exe 子系统服务器进程

winlogon.exe 管理用户登录

services.exe 包含很多系统服务

lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)

产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)

svchost.exe 包含很多系统服务

svchost.exe

SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)

explorer.exe 资源管理器

internat.exe 托盘区的拼音图标

附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）:

mstask.exe 允许程序在指定时间运行。(系统服务)

regsvc.exe 允许远程注册表操作。(系统服务)

winmgmt.exe 提供系统管理信息(系统服务)。

inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)

tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)

允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)

tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)

termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基

于 Windows 的程序。(系统服务)

dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)

以下服务很少会用到，上面的服务都对安全有害，如果不是必要的应该关掉

tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)

支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)

ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)

ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)

wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)

llssrv.exe License Logging Service(system service)

ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)

RsSub.exe 控制用来远程储存数据的媒体。(系统服务)

locator.exe 管理 RPC 名称服务数据库。(系统服务)

lserver.exe 注册客户端许可证。(系统服务)

dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)

clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)

msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)

faxsvc.exe 帮助您发送和接收传真。(系统服务)

cisvc.exe Indexing Service(system service)

dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)

mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)

netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)

smlogsvc.exe 配置性能日志和警报。(系统服务)

rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)

RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)

RsFsa.exe 管理远程储存的文件的操作。(系统服务)

grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)

SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)

snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)

snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序

。(系统服务)

UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)

msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

一般来说cpu和内存占用率高的进程要么是杀软的进程要么是未响应的程序进程，和病毒进程

请问怎么知道哪个是病毒？木马？然后它们通常在出没在哪里？

可以在任务管理器的进程中找到

一般的正常进程有

进程名描述

* 　smss.exe　Session　Manager

* 　csrss.exe 子系统服务器进程

* 　winlogon.exe　管理用户登录

* 　services.exe　包含很多系统服务

*　 lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。

* 　svchost.exe　 Windows 2000/XP 的文件保护系统 (2000一般是2个,XP默认是4个)

SPOOLSV.EXE 　将文件加载到内存中以便迟后打印。)

* 　explorer.exe　资源管理器

internat.exe　托盘区的拼音图标)

mstask.exe允许程序在指定时间运行。

regsvc.exe允许远程注册表操作。(系统服务)-remoteregister

* 　winmgmt.exe 　提供系统管理信息(系统服务)。

inetinfo.exe　msftpsvc,w3svc,iisadmn

tlntsvr.exe 　tlnrsvr

tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。

termsrv.exe 　termservice

dns.exe 　应答对域名系统(DNS)名称的查询和更新请求。

tcpsvcs.exe 　提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。

ismserv.exe 　允许在 Windows Advanced Server 站点间发送和接收消息。

ups.exe 　管理连接到计算机的不间断电源(UPS)。

wins.exe　为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。

llssrv.exe证书记录服务

ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。

RsSub.exe 控制用来远程储存数据的媒体。

locator.exe 　管理 RPC 名称服务数据库。

lserver.exe 　注册客户端许可证。

dfssvc.exe管理分布于局域网或广域网的逻辑卷。

clipsrv.exe 　支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。

msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统或其它事务保护护资源管理器。

faxsvc.exe帮助您发送和接收传真。

cisvc.exe 索引服务

dmadmin.exe 　磁盘管理请求的系统管理服务。

mnmsrvc.exe 　允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。

netdde.exe提供动态数据交换 (DDE) 的网络传输和安全特性。

smlogsvc.exe　配置性能日志和警报。

rsvp.exe　为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功功能。

RsEng.exe 协调用来储存不常用数据的服务和管理工具。

RsFsa.exe 管理远程储存的文件的操作。

grovel.exe扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间（只对 NTFS 文件系统有用）。

SCardSvr.ex 　对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。

snmp.exe　包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。

snmptrap.exe　接收由本地或远程 SNMP 代理程序产生的陷阱（trap）消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序。

UtilMan.exe 　从一个窗口中启动和配置辅助工具。

msiexec.exe　依据 .MSI 文件中包含的命令来安装、修复以及删除软件。

* SYSTEM IDLE PROCESS 显示的是系统空闲的资源！当然是数值越高越好

* SYSTEM WINDOWS 页面内存管理进程，拥有0级优先权。没有它系统无法启动。

总结：以上打“*”的进程是2000和XP启动是必须的进程，我现在的2000系统开机登陆后就只有12个进程。发现可疑进程的秘诀就是要多看任务管理器中的进程列表，看多了以后，一眼就可以发现可可疑进程，就象找一群熟悉人中的陌生人一样。

如果还有另外的一些进程，就可能是病毒了