xp系统看多少位的实用word文档 11页.docx
《xp系统看多少位的实用word文档 11页.docx》由会员分享,可在线阅读,更多相关《xp系统看多少位的实用word文档 11页.docx(13页珍藏版)》请在冰豆网上搜索。
xp系统看多少位的实用word文档11页
本文部分内容来自网络整理,本司不为其真实性负责,如有异议或侵权请及时联系,本司将立即删除!
==本文为word格式,下载后可方便编辑和修改!
==
xp系统看多少位的
篇一:
XP系统几个重要进程的总结
smss.exeSessionManager
csrss.exe子系统服务器进程
winlogon.exe管理用户登录
services.exe包含很多系统服务
lsass.exe管理IP安全策略以及启动ISAKMP/Oakley(IKE)和IP安全驱动程序。
(系统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。
(系统服务)
svchost.exe包含很多系统服务
SPOOLSV.EXE将文件加载到内存中以便迟后打印。
(系统服务)
explorer.exe资源管理器
internat.exe托盘区的拼音图标1、alg.exe
alg.exe进程文件是微软Windows操作系统自带的程序,用于处理微软Windows网络连接共享和网络连接防火墙。
应用程序网关服务,为Internet连接共享和Windows防火墙提供第三方协议插件的支持。
alg.exe进程文件是微软Windows操作系统自带的程序,用于处理微软Windows网络连接共享和网络连接防火墙,应用程序网关服务,为Internet连接共享和Windows防火墙提供第三方协议插件的支持。
alg.exe进程文件内存使用约4000KB左右。
在WindowsXP中,该进程文件位于
C:
\Windows\system32\系统目录之下,这个程序对你系统的正常运行非常重要的,最好不要结束此进程。
如果此文件出现在C:
\windows\alg.exe系统目录下,则可能是病毒。
另外,当alg.exe(或alg)为大写ALG.exe(或ALG)时,将无法上网(多为无线上网)。
只需将用户注销后重新登录即可。
2、spoolsv.exe
spoolsv.exe是PrintSpooler的进程,管理所有本地和网络打印队列及控制所有打印工作。
如果此服务被停用,本地计算机上的打印将不可用。
该进程属Windows系统服务。
木马spoolsv进程信息:
描述:
这个垃圾软件利用将msicn\msibm.dll插入多个进程的方法对系统进行监控,在system32下创建如下的东西:
wmpdrm.dll1116\msicn\msibm.dll
msicn\ube.exemsicn\plugins\spoolsv\spoolsv.exe(这个还长得像微软打印服务,shit!
!
)注册表加入如下垃圾:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"spoolsv"="%System%\spoolsv\spoolsv.exe-printer"
[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]@="%System%\wmpdrm.dll"
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1][HKEY_CLASSES_ROOT\TypeLib\]
[HKEY_CLASSES_ROOT\Interface\]然后每隔4秒左右对以上东西进行监控,前后互相照应,让你无从下手启动项c:
/windows/system32/spoolsv/spoolsv.exe-printercfs2……相关文件、目
录:
%System%\wmpdrm.dll%System%\1116\%System%\msicn\msibm.dll%System%\msicn\ube.exe%System%\msicn\plugins\%System%\spoolsv\spoolsv.exe%System%\spoolsv\spoolsv.exe,有一个启动项:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"spoolsv"="%System%\spoolsv\spoolsv.exe-printer"运行后会调
用%System%\msicn\msibm.dll,创建%System%\1116\目录,备份用。
%System%\1116\目录是备份目录,里面是%System%\wmpdrm.dll、%System%\msicn\
和%System%\spoolsv\spoolsv.exe的备份。
%System%\msicn\msibm.dll,会插入多个指定进程,大约每4秒钟监视恢复文件(从%System%\1116\目录)和注册表信息(启动项、BHO):
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"spoolsv"[HKEY_CLASSES_ROOT\CLSID\\InprocServer32]
@="%System%\wmpdrm.dll"注:
"spoolsv"的数据不会被监视,所以修改它的数据也不会被恢复,只有删除"spoolsv"才会被恢复。
还可能会从远程服务器下载文件:
secp.exe是个安装程序,安装以下文
件:
%System%\wmpdrm.dll%System%\msicn\ube.exe%System%\msicn\plugins\(目录里4个dll文件)%System%\wmpdrm.dll是一个
BHO,%System%\msicn\ube.exe像是卸载程序。
另外,在%System%\
和%System%\msicn\目录里还有有一些从远程下载来的cpz、vxd文件,比如:
ava.vxdguid.vxdplgset.vxdsafep.vxd%System%\wmpdrm.dll作为BHO被调用后,会尝试调用%System%\spoolsv\spoolsv.exe和%System%\msicn\msibm.dll。
注:
如
果%System%\spoolsv\spoolsv.exe没有被运行或被调用,也就不会备份还原,好像它就是用来备份的。
另外……在“开始菜单”>>“程序”里可能会有一项“NavAngel”,里面(来自:
WwW.:
xp系统看多少位的)有个快捷方式NavAngel.lnk,指向:
%System%\spoolsv\spoolsv.exe-ctrlfun:
4,3“添加/删除程序”里有一项“NavAngel”,对应命令是:
%System%\spoolsv\spoolsv.exe-ctrlfun:
4,2还有一项“WinDirected2.0”,对应命令是:
%System%\spoolsv\spoolsv.exe-uninst还可能会有mscache\目录,从名字看像是存放临时缓存文件的。
BHO相关注册表信息:
[HKEY_CLASSES_ROOT\CLSID\][HKEY_CLASSES_ROOT\wmpdrm.cfsbho]
[HKEY_CLASSES_ROOT\wmpdrm.cfsbho.1][HKEY_CLASSES_ROOT\TypeLib\]
[HKEY_CLASSES_ROOT\Interface\]
判别自己是否中毒
1、点开始-运行,输入msconfig,回车,打开实用配置程序,选择“启动”,感染以后会在启动项里面发现运行Spoolsv.exe的启动项,每次进入windows会有NTservice的对话框。
2、打开系统盘,假设C盘,看是否存在C:
\WINDOWS\system32\spoolsv文件夹,里面有个spoolsv.exe文件,有“傲讯浏览器辅助工具”的字样说明,正常的spoolsv.exe打印机缓冲池文件应该在C:
\WINDOWS\system32目录下。
3,打开任务管理器,会发现spoolsv.exe进程,而且CPU占用率很高。
清除方法
1、重新启动,开机按F8进入安全模式。
2、点开始-运行,输入cmd,进入dos。
利用rd命令删除以下目录(如果存在)(在dos窗口下输入:
rd(空格)
C:
\WINDOWS\system32\spoolsv/s,回车,出现提示,输入y回车,即可删除整个目录。
):
C:
\WINDOWS\system32\msibmC:
\WINDOWS\system32\spoolsv
C:
\WINDOWS\system32\bakcfsC:
\WINDOWS\system32\msicn利用del命令删除下面的文件(如果存在)(比如在dos窗口下输入:
del(空格)
C:
\windows\system32\spoolsv.exe,回车,即可删除被感染的spoolsv.exe,这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到
C:
\windows\system32文件夹。
):
C:
\windows\system32\spoolsv.exe
C:
\WINDOWS\system32\wmpdrm.dll3、重启按F8再次进入安全模式。
(1)桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击NTservice,选择“属性”,修改启动类型为“禁用”。
、
(2)点开始,运行,输入regedit,回车打开注册表,点菜单上的编辑,选择查找,查找含有spoolsv.exe的注册表项目,删除。
可以利用F3继续查找,将含有spoolsv.exe的注册表项目全部删除。
4、若以上操作完成后,仍然有该进程。
请桌面右键点击我的电脑,选择“管理”,点击“服务和应用程序”-“服务”,右键点击printspooler,选择“属性”,先点“停止”然后修改启动类型为手动或“禁用”。
随后重复以上步骤。
另外解决方案直接删除C:
\WINDOWS\system32\spool\PRINTERS下的文件即可我还遇到一种情况:
经检查,不是以上所描述的病毒,但经常占CPU100%,但是连续关进程几次,便不再出现,奇怪。
如上所述,在system32里有spool文件夹。
直接把\PRINTERS下的文件删除,便解决了这个问题。
这可能不是“病毒”问题,而是系统的故障,但出现了还是很麻烦的。
杀毒后处理
病毒清了后你的SPOOLSV.EXE文件就没有了,且在服务里你的后台打印printspooler也不能启动了,当然打印机也不能运行了,在运行里输入“services.msc”后,在“printspooler”服务中的“常规”项里的“可执行文件路径”也变得不可用,如启动会显示“错误3:
找不到系统路径”的错误,这是因为你的注册表的相关项也删了,(在上面清病毒的时候)解决方法:
1:
在安装光盘里I386目录下把SPOOLSV.EX_文件复制到SYSTEM32目录下改名为spoolsv.exe,当然也可以在别人的系统时把这个文件拷过来,还可以用NT/XP的文件保护功能,即在CMD里键入SFC/SCANNOW全面修复,反正你把这个文件恢复就可以了。
2:
修改注册表即可:
进入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Spooler”目录下,新建一个可扩充字符串值,取名:
“ImagePath”,其值为:
“C:
\WINDOWS\system32\spoolsv.exe”(不要引号)再进入控制面板中启动打印服务即可。
[1]
3、csrss.exe
csrss.exe是微软客户端/服务端运行时子系统。
该进程管理Windows图形相关任务。
这个程序对你系统的正常运行是非常重要的
4、iexplore.exe
iexplore.exe是MicrosoftInternetExplorer的主程序。
这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。
这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。
iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于InternetExplorer的浏览器。
注意iexplore.exe也有可能是Trojan.KillAV.B病毒,该病毒会终止你的反病毒软件,和一些Windows系统工具,该进程
出品者:
MicrosoftCorp.
属于:
MicrosoftInternetExplorer
系统进程:
Yes
后台程序:
No
网络相关:
Yes
常见错误:
N/A
内存使用:
N/A
安全等级(0-5):
0
间谍软件:
No
广告软件:
No
病毒:
No
木马:
No
5、lsass.exe
进程文件:
lsassorlsass.exe
进程名称:
本地安全权限服务
描述:
这个本地安全权限服务控制Windows安全机制。
常见错误:
N/A
是否为系统进程:
是
6、services.exe
services.exe是微软Windows操作系统的一部分。
用于管理启动和停止服务。
该进程也会处理在计算机启动和关机时运行的服务。
这个程序对你系统的正常运行是非常重要的。
正常的services.exe应位于%System%文件夹中,也就是在进程里用户名显示为“system”,不过services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P(储存在%systemroot%\ConnectionWizard\Status\目录)木马。
该木马允许攻击者访问你的计算机,窃取密码和个人数据。
该进程的安全等级是建议立即删除。
7、SMSS.EXE
SMSS.EXE:
SessionManagerSubsystem,该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
它是一个会话管理子系统,负责启动用户会话。
这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。
在它启动这些进程后,它等待Winlogon或者Csrss结束。
如果这些过程时正常的,系统就关掉了。
如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(挂起)。
要注意:
如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,这是一种Windows下的PE病毒,它采用VB6编写,是一个自动访问某站点的木马病毒。
该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在[WINDOWS]项中加入"RUN"=
"%WINDIR%\SMSS.EXE"。
手工清除时请先结束病毒进程smss.exe,再删除%WINDIR%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项即可。
[smss.exe]
进程文件:
smssorsmss.exe
进程名称:
SessionManagerSubsystem
描述:
该进程为会话管理子系统用以初始化系统变量,MS-DOS驱动名称类似LPT1以及COM,调用Win32壳子系统和运行在Windows登陆过程。
简介:
这是一个会话管理子系统,负责启动用户会话。
这个进程是通过系统进程初始化的并且对许多活动的,包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。
在它启动这些进程后,它等待Winlogon或者Csrss结束。
如果这些过程时正常的,系统就关掉了。
如果发生了什么不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。
8、taskmgr.exe
taskmgr.exe进程文件用于Windows任务管理器,它显示你系统中正在运行的进程。
在WindowsXP中,该进程文件位于C:
\Windows\system32\系统目录之下。
该程序使用Ctrl+Alt+Del打开,这不是纯粹的系统程
9、kwmv.exe
进程文件:
KwMV.exe
进程名称:
KwMV.exe
英文描述:
N/A
进程分析:
酷我(KooWo)相关程序。
酷我(KooWo)MP3伴侣是一款音乐识别软件。
它应用KooWo音频指纹技术,根据旋律准确识别歌名、歌手、专辑名等信息。
识别后的歌曲无论在音乐播放软件中,还是在MP3播放器中都会显示正确信息。
千千静听配合酷我使用,能大大提高歌词查找的成功率。
进程位置:
酷我音乐盒安装目录
程序用途:
酷我音乐盒传输进程
作者:
酷我音乐盒
属于:
酷我音乐盒
安全等级(0-5):
N/A(N/A无危险5最危险)
间谍软件:
否
广告软件:
否
病毒:
否
木马:
否
系统进程:
否
应用程序:
否
后台程序:
是
使用访问:
否
访问互联网:
是
篇二:
让32位XP系统真正使用4G内存
让32位XP
系统真正使用4G内存[复制链接]
楼主
发表于
201X-1-1014:
59:
58|只看该作者|倒序浏览
游侠论坛【动作大区】版主招募(鬼泣,古墓,恶魔城,GTA,合金装备,大作陆续登场···)
本文转自FreeSpaceTheRecordGrowsTrail
前言:
此文章为转帖,并非原创,由此文引发的任何异议与本人无关。
本人对系统没什么研究,在寻觅32位xp使用4G内存的方法途中发现此贴,转到此一是让各位达人看看其设置方法是否有效,二是如果有效就当给不知道如何用32的XP使用4G内存方法的朋友分享一下啦~
——————————————————————————————————————————————
1,首先检查主板是否支持
下载everest检测软件,在主板-内存一项中,
PhysicalAddressExtension(PAE)查看“操作系统支持”“处理器支持”
是否为“是”,如果是“否”的话代表主板不支持,不要玩了,如果是“是”
的话,“活动”一项是“否”也有可以修改的可能,那么接下来----
2,我的电脑-属性-高级-启动和故障恢复-设置-编辑,这里编辑操作的是
c盘根目录下隐藏的boot.ini文件,各位也可以通过在c盘显示隐藏文件的方法
找到它,我的boot.ini里的内容如下:
[bootloader]
timeout=5
default=multi(0)disk(0)rdisk(0)partition
(1)\WINDOWS
[operatingsystems]
multi(0)disk(0)rdisk(0)partition
(1)\WINDOWS="MicrosoftWindowsXP
Professional"/noexecute=optin/fastdetect
那么接下来在“multi(0)disk(0)rdisk(0)partition
(1)\WINDOWS="Microsoft
WindowsXPProfessional"/noexecute=optin/fastdetect”的表明操作系
统的“MicrosoftWindowsXPProfessional”加上“/PAE”
即“multi(0)disk(0)rdisk(0)partition
(1)\WINDOWS="MicrosoftWindows
XPProfessional"/PAE/noexecute=optin/fastdetect”
这样保存关闭,系统就打开了PAE
我的是xpsp2系统,其他系统没有测试,大家不要乱来
这样,重新启动后,电脑属性的下方多了“物理地址扩展”几个字,虽然显示
的还是3.25g内存,但实际上4g内存已经完全启用了,但怎么证明这一点呢?
就用ramdisk虚拟硬盘软件来测试
ramdisk是一款将内存转换为虚拟硬盘的小软件,内存的速度是硬盘的几十倍
,所以在我处理ps等需要大量暂存盘的软件时,通常都会用它来充当软件的暂
存盘,这样软件的速度会倍增,在系统没有开启PAE只能识别3.25g内存的情况
下,使用ramdisk会直接占用这3.25g的内存,而开启PAE后,用ramdisk设置
768mb的内存作为虚拟硬盘,再调出任务管理器,会发现内存使用丝毫没有减
少,也就是说,ramdisk调用的768mb内存是系统没有显示出来的768mb,还而
言之,系统已经找到了4g内存啦。
篇三:
WindowsXp各个版本信息
WindowsXPServicePack3(x86)-CD(Chinese-Simplified)
文件名zh-hans_windows_xp_service_pack_3_x86_cd_x14-60563.iso
发布日期(UTC):
6/30/201X7:
08:
44AM
SHA1:
5566D7949E45C453964708831E16BCD73547F73B上次更新日期(UTC):
7/3/201X6:
48:
06PMISO/CRC:
N/A201X/6/30查看不可用
AvailabletoLevels:
MSDNOS(VL);VSProwithMSDNPro(VL);VSProwithMSDNPremium(Empower);MSDNOS(Retail);DeveloperAA;VSProwithMSDN(Retail);MSDNUniversal(Retail);VSTSTeamSuite(VL);VSTSArchitecture(VL);VSPremiumwithMSDN(MPN);VSTSTest(VL);VSProwithMSDNPremium(MPN);MSDNUniversal(VL);VSTSDatabase(VL);VSProwithMSDNPremium(Retail);VSTSTest(Retail);VSTSDevelopment(Retail);VSTSArchitecture(Retail);VSTSTeamSuite(Retail);VSTSDatabase(Retail);BizSparkAdmin;BizSpark;VSProwithMSDNEmbedded
(Retail);VSProwithMSDNEmbedded(VL);VSTestProwithMSDN(VL);VSUltimatewithMSDN(VL);VSPremiumwithMSDN(VL);VSProwithMSDN(VL);VSTestProwithMSDN(Retail);VSPremiumwithMSDN(Retail);VSUltimatewithMSDN(Retail);ExpressionProfessional(Retail);ExpressionProfessional(VL);
(VL);VSPremiumwithMSDN(MPN);VSTSTest(VL);VSPr
升级会员 