xp系统看多少位的实用word文档 11页.docx

1、xp系统看多少位的实用word文档 11页本文部分内容来自网络整理，本司不为其真实性负责，如有异议或侵权请及时联系，本司将立即删除！= 本文为word格式，下载后可方便编辑和修改！ = xp系统看多少位的篇一：XP系统几个重要进程的 总结 smss.exe Session Managercsrss.exe 子系统服务器进程winlogon.exe 管理用户登录services.exe 包含很多系统服务lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务)产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket

2、)。(系统服务)svchost.exe 包含很多系统服务SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)explorer.exe 资源管理器internat.exe 托盘区的拼音图标 1、alg.exealg.exe进程文件是微软Windows操作系统自带的程序，用于处理微软Windows网络连接共享和网络连接防火墙。应用程序网关服务，为Internet连接共享和Windows防火墙提供第三方协议插件的支持。alg.exe进程文件是微软Windows操作系统自带的程序，用于处理微软Windows网络连接共享和网络连接防火墙，应用程序网关服务，为Internet连接共享和Wi

3、ndows防火墙提供第三方协议插件的支持。alg.exe进程文件内存使用约4000KB左右。在Windows XP中，该进程文件位于C:Windowssystem32系统目录之下，这个程序对你系统的正常运行非常重要的，最好不要结束此进程。如果此文件出现在C:windowsalg.exe系统目录下，则可能是病毒。另外，当alg.exe(或alg)为大写ALG.exe(或ALG)时，将无法上网(多为无线上网)。只需将用户注销后重新登录即可。2、spoolsv.exespoolsv.exe 是Print Spooler的进程，管理所有本地和网络打印队列及控制所有打印工作。如果此服务被停用，本地计算机

4、上的打印将不可用。该进程属 Windows 系统服务。木马spoolsv进程信息:描述:这个垃圾软件利用将msicnmsibm.dll插入多个进程的方法对系统进行监控，在system32下创建如下的东西：wmpdrm.dll1116msicnmsibm.dllmsicnube.exemsicnpluginsspoolsvspoolsv.exe(这个还长得像微软打印服务，shit！）注册表加入如下垃圾：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunspoolsv=%System%spoolsvspoolsv.exe -pri

5、nterHKEY_CLASSES_ROOTCLSIDInprocServer32=%System%wmpdrm.dllHKEY_CLASSES_ROOTwmpdrm.cfsbhoHKEY_CLASSES_ROOTwmpdrm.cfsbho.1HKEY_CLASSES_ROOTTypeLibHKEY_CLASSES_ROOTInterface然后每隔4秒左右对以上东西进行监控，前后互相照应，让你无从下手启动项 c:/windows/system32/spoolsv/spoolsv.exe -printercfs2 相关文件、目录：%System%wmpdrm.dll%System%1116%Sy

6、stem%msicnmsibm.dll%System%msicnube.exe%System%msicnplugins%System%spoolsvspoolsv.exe%System%spoolsvspoolsv.exe，有一个启动项：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunspoolsv=%System%spoolsvspoolsv.exe -printer运行后会调用%System%msicnmsibm.dll，创建%System%1116目录，备份用。%System%1116目录是备份目录，里面是%Syste

7、m%wmpdrm.dll、%System%msicn和%System%spoolsvspoolsv.exe的备份。%System%msicnmsibm.dll，会插入多个指定进程，大约每4秒钟监视恢复文件（从%System%1116目录）和注册表信息（启动项、BHO）：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunspoolsvHKEY_CLASSES_ROOTCLSIDInprocServer32=%System%wmpdrm.dll注：spoolsv的数据不会被监视，所以修改它的数据也不会被恢复，只有删除spoolsv

8、才会被恢复。还可能会从远程服务器下载文件：secp.exe是个安装程序，安装以下文 件：%System%wmpdrm.dll%System%msicnube.exe%System%msicnplugins（目录里4个dll文件）%System%wmpdrm.dll是一个BHO，%System%msicnube.exe像是卸载程序。另外，在%System%和%System%msicn目录里还有有一些从远程下载来的cpz、vxd文件，比如：ava.vxdguid.vxdplgset.vxdsafep.vxd%System%wmpdrm.dll作为BHO被调用后，会尝试调用%System%spool

9、svspoolsv.exe和%System%msicnmsibm.dll。注：如果%System%spoolsvspoolsv.exe没有被运行或被调用，也就不会备份还原，好像它就是用来备份的。另外在“开始菜单”“程序”里 可能 会有一项“NavAngel”，里面(来自:WwW. : xp系统看多少位的 )有个快捷方式NavAngel.lnk，指向：%System%spoolsvspoolsv.exe -ctrlfun:4,3“添加/删除程序”里有一项“NavAngel”，对应命令是：%System%spoolsvspoolsv.exe -ctrlfun:4,2还有一项“WinDirected

10、 2.0”，对应命令是：%System%spoolsvspoolsv.exe -uninst还可能会有mscache目录，从名字看像是存放临时缓存文件的。BHO相关注册表信息： HKEY_CLASSES_ROOTCLSIDHKEY_CLASSES_ROOTwmpdrm.cfsbhoHKEY_CLASSES_ROOTwmpdrm.cfsbho.1HKEY_CLASSES_ROOTTypeLibHKEY_CLASSES_ROOTInterface判别自己是否中毒1、点开始运行，输入msconfig，回车，打开实用配置程序，选择“启动”， 感染以后会在启动项里面发现运行Spoolsv.exe的启动项

11、， 每次进入windows会有NTservice的对话框。2、打开系统盘，假设C盘，看是否存在C:WINDOWSsystem32spoolsv文件夹，里面有个spoolsv.exe文件，有“傲讯浏览器辅助工具”的字样说明，正常的spoolsv.exe打印机缓冲池文件应该在C:WINDOWSsystem32目录下。3，打开任务管理器，会发现spoolsv.exe进程，而且CPU占用率很高。 清除方法1、重新启动，开机按F8进入安全模式。2、点开始运行，输入cmd，进入dos。利用rd命令删除以下目录（如果存在）（ 在dos窗口下输入：rd(空格）C:WINDOWSsystem32spoolsv/

12、s，回车，出现提示，输入y回车，即可删除整个目录。）：C:WINDOWSsystem32msibmC:WINDOWSsystem32spoolsvC:WINDOWSsystem32bakcfsC:WINDOWSsystem32msicn利用del命令删除下面的文件（如果存在）（比如在dos窗口下输入：del(空格）C:windowssystem32spoolsv.exe，回车，即可删除被感染的spoolsv.exe，这个文件可以在杀毒结束后在别的正常的机器上复制正常的spoolsv.exe粘贴到C:windowssystem32文件夹。）：C:windowssystem32spoolsv.ex

13、eC:WINDOWSsystem32wmpdrm.dll3、重启按F8再次进入安全模式。（1）桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击NTservice，选择“属性”，修改启动类型为“禁用”。、（2）点开始，运行，输入regedit，回车打开注册表，点菜单上的编辑，选择查找，查找含有spoolsv.exe的注册表项目，删除。可以利用F3继续查找，将含有spoolsv.exe的注册表项目全部删除。4、若以上操作完成后,仍然有该进程。请桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”，右键点击print spooler，选择“属性”，先点“

14、停止”然后修改启动类型为手动或“禁用”。随后重复以上步骤。另外解决方案 直接删除C:WINDOWSsystem32spoolPRINTERS 下的文件即可我还遇到一种情况：经检查，不是以上所描述的病毒，但经常占CPU 100，但是连续关进程几次，便不再出现，奇怪。如上所述，在system32里有 spool文件夹。直接把 PRINTERS 下的文件删除，便解决了这个问题。这可能不是“病毒”问题，而是系统的故障，但出现了还是很麻烦的。 杀毒后处理病毒清了后你的SPOOLSV.EXE文件就没有了，且在服务里你的后台打印print spooler也不能启动了，当然打印机也不能运行了，在运行里输入“s

15、ervices.msc”后，在“print spooler”服务中的“常规”项里的“可执行文件路径”也变得不可用，如启动会显示“错误3:找不到系统路径”的错误，这是因为你的注册表的相关项也删了，（在上面清病毒的时候）解决方法：1:在安装光盘里I386目录下把SPOOLSV.EX_文件复制到SYSTEM32目录下改名为spoolsv.exe,当然也可以在别人的系统时把这个文件拷过来，还可以用NT/XP的文件保护功能，即在CMD里键入SFC/SCANNOW全面修复，反正你把这个文件恢复就可以了。2:修改注册表即可：进入“HKEY_LOCAL_MACHINESYSTEMCurrentControlS

16、etServicesSpooler”目录下，新建一个可扩充字符串值，取名：“ImagePath”，其值为：“C:WINDOWSsystem32spoolsv.exe”（不要引号）再进入控制面板中启动打印服务即可。1 3、csrss.execsrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的4、iexplore.exeiexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪，和访问本地Interanet网络。这不是纯粹的系统程序，但是如果终止它

17、，可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分，这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒，该病毒会终止你的反病毒软件，和一些Windows系统工具，该进程 出品者：Microsoft Corp.属于：Microsoft Internet Explorer系统进程：Yes后台程序：No网络相关：Yes常见错误：N/A内存使用：N/A安全等级 (0-5): 0间谍软件：No广告软件：No病毒：No木马：No5、lsass.exe进程文件: lsass or lsas

18、s.exe进程名称: 本地安全权限服务描述: 这个本地安全权限服务控制Windows安全机制。常见错误: N/A是否为系统进程: 是6、services.exeservices.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。 正常的services.exe应位于%System%文件夹中,也就是在进程里用户名显示为“system”，不过services也可能是W32.Randex.R(储存在%systemroot%system32目录)和Sober.P (储存在%systemroot%Co

19、nnection WizardStatus目录)木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。 7、SMSS.EXESMSS.EXE:Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon

20、或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（挂起）。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是%WINDIR%SMSS.EXE，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在WINDOWS项中加入RUN = %WINDIR%SMSS.EXE。手工清除时请先结束病毒进程smss.exe，再删除%WIND

21、IR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。smss.exe进程文件: smss or smss.exe进程名称: Session Manager Subsystem描 述: 该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。简 介：这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32（Csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者

22、Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂起）。 8、taskmgr.exetaskmgr.exe进程文件用于Windows任务管理器，它显示你系统中正在运行的进程。在Windows XP中，该进程文件位于C:Windowssystem32系统目录之下。该程序使用Ctrl+Alt+Del打开，这不是纯粹的系统程9、kwmv.exe进程文件: KwMV.exe进程名称: KwMV.exe英文描述: N/A进程分析: 酷我(KooWo)相关程序。酷我(KooWo)MP3伴侣是一款音乐识别软件。它应用KooWo音频指纹

23、技术，根据旋律准确识别歌名、歌手、专辑名等信息。识别后的歌曲无论在音乐播放软件中，还是在MP3播放器中都会显示正确信息。千千静听配合酷我使用，能大大提高歌词查找的成功率。 进程位置:酷我音乐盒安装目录程序用途: 酷我音乐盒传输进程作者:酷我音乐盒属于: 酷我音乐盒安全等级 (0-5): N/A (N/A无危险 5最危险)间谍软件: 否广告软件: 否病毒: 否木马: 否系统进程: 否应用程序: 否后台程序: 是使用访问: 否访问互联网: 是篇二：让32位XP系统真正使用4G内存让32位XP系统真正使用4G内存 复制链接楼主发表于201X-1-10 14:59:58|只看该作者|倒序浏览游侠论坛【

24、动作大区】版主招募（鬼泣，古墓，恶魔城，GTA，合金装备，大作陆续登场）本文转自Free SpaceThe Record Grows Trail前言：此文章为转帖，并非原创，由此文引发的任何异议与本人无关。本人对系统没什么研究，在寻觅32位xp使用4G内存的方法途中发现此贴，转到此一是让各位达人看看其设置方法是否有效，二是如果有效就当给不知道如何用32的XP使用4G内存方法的朋友分享一下啦 1,首先检查主板是否支持下载everest检测软件，在主板内存一项中，Physical Address Extension（PAE）查看“操作系统支持”“处理器支持”是否为“是”，如果是“否”的话代表主板不

25、支持，不要玩了，如果是“是”的话，“活动”一项是“否”也有可以修改的可能，那么接下来2,我的电脑属性高级启动和故障恢复设置编辑，这里编辑操作的是c盘根目录下隐藏的boot.ini文件，各位也可以通过在c盘显示隐藏文件的方法找到它，我的boot.ini里的内容如下：boot loadertimeout=5default=multi(0)disk(0)rdisk(0)partition(1)WINDOWSoperating systemsmulti(0)disk(0)rdisk(0)partition(1)WINDOWS=Microsoft Windows XPProfessional /noex

26、ecute=optin /fastdetect那么接下来在“multi(0)disk(0)rdisk(0)partition(1)WINDOWS=MicrosoftWindows XP Professional /noexecute=optin /fastdetect”的表明操作系统的“Microsoft Windows XP Professional ”加上“/PAE”即“multi(0)disk(0)rdisk(0)partition(1)WINDOWS=Microsoft WindowsXP Professional /PAE /noexecute=optin /fastdetect”这

27、样保存关闭，系统就打开了PAE我的是xp sp2系统，其他系统没有测试，大家不要乱来这样，重新启动后，电脑属性的下方多了“ 物理 地址扩展”几个字，虽然显示 的还是3.25g内存，但实际上4g内存已经完全启用了，但怎么证明这一点呢？就用ramdisk虚拟硬盘软件来测试ramdisk是一款将内存转换为虚拟硬盘的小软件，内存的速度是硬盘的几十倍，所以在我处理ps等需要大量暂存盘的软件时，通常都会用它来充当软件的暂存盘，这样软件的速度会倍增，在系统没有开启PAE只能识别3.25g内存的情况下，使用ramdisk会直接占用这3.25g的内存，而开启PAE后，用ramdisk设置768mb的内存作为虚拟

28、硬盘，再调出任务管理器，会发现内存使用丝毫没有减少，也就是说，ramdisk调用的768mb内存是系统没有显示出来的768mb，还而言之，系统已经找到了4g内存啦。篇三：WindowsXp各个版本信息Windows XP Service Pack 3 (x86) - CD (Chinese-Simplified)文件名 zh-hans_windows_xp_service_pack_3_x86_cd_x14-60563.iso发布日期 (UTC): 6/30/201X 7:08:44 AMSHA1: 5566D7949E45C453964708831E16BCD73547F73B 上次更新日期

29、 (UTC): 7/3/201X 6:48:06 PM ISO/CRC: N/A 201X/6/30 查看不可用Available to Levels: MSDN OS (VL); VS Pro with MSDN Pro (VL); VS Pro with MSDN Premium (Empower); MSDN OS (Retail); Developer AA; VS Pro with MSDN (Retail); MSDN Universal (Retail); VSTS Team Suite (VL); VSTS Architecture (VL); VS Premium with

30、MSDN (MPN); VSTS Test (VL); VS Pro with MSDN Premium (MPN); MSDN Universal (VL); VSTS Database (VL); VS Pro with MSDN Premium (Retail); VSTS Test (Retail); VSTS Development (Retail); VSTS Architecture (Retail); VSTS Team Suite (Retail); VSTS Database (Retail); BizSpark Admin; BizSpark; VS Pro with M

31、SDN Embedded (Retail); VS Pro with MSDN Embedded (VL); VS Test Pro with MSDN (VL); VS Ultimate with MSDN (VL); VS Premium with MSDN (VL); VS Pro with MSDN (VL); VS Test Pro with MSDN (Retail); VS Premium with MSDN (Retail); VS Ultimate with MSDN (Retail); Expression Professional (Retail); Expression Professional (VL); (VL); VS Premium with MSDN (MPN); VSTS Test (VL); VS Pr