[分享]菜鸟整理的一份综合教程！！！（转）

黑基的所有朋友：
     大家好！身为一名电脑入门者，一个超级菜鸟。我想，最迫切的应该就是希望找到一篇容易上手，并且综合了电脑各方面知识的教程，看完之后就永远的与菜鸟两字脱离关系，成为一个电脑高手；或者是找到一个什么都懂的师傅，一步一步的带自己入门。但这似乎都是不可能的事。因为：没有一份教程能包罗万象，也没有一名师傅能毫无保留的把自己的经验无私的全授于你。所以，关键还是靠自己，只有当你有了一定的基础，再加上别人的帮助，你才能真正的成为一名电脑高手。作为我，最悲哀的是：已经接触电脑快三年的我，网龄却不到半年。一直都想找个师傅，但谈何容易，除了读书就没多少时间来上网交流了，自然没一个师傅会收一个不是“网虫”的人做徒弟了。但我真的很希望能找到一个师傅，他不需要什么都懂，也不需要一步一步的教我，只要能时时的指定我应该学啥，为我做好一份学习的计划，我已经心满意足了。记得刚入黑基时，大概也就是网龄才一个多月的时候吧，因为刚接触网络这个大家庭，所以很多事都不懂。多亏的T哥、不爱美女和帅帅可乐以及黑基所有的朋友，是你们让我真正的感到了黑基的温暖与网络的真实性。在这里向你们说声：“谢谢！”。好了，废话就说到这。这贴的主要是为所有的菜鸟提供一份综合教程，这全是我上网以来一直保存下来的资料，但可惜我并没有好好的学习，这也是我一直以来都感到最遗憾的事了.过两天就要放暑假了,到家后可能就没多少时间来上网了.今天特地的整理些教程,献给黑基的所有朋友.希望对你们有所帮助.恩```废话说过头了,下面一起学习吧.
    由于教程全是以前保存下来的,所以很多可能与以前朋友发的相同,大家可跳过,还有,因为教程是个人整理,所以有点乱,(个人觉得这些教程都是我们菜鸟们应该掌握。)给大家带来的不便请见谅.最后,希望在我还没标明"教程完"的字样时,请不要发贴,以保证版面的整洁,谢谢大家的配合。
--------------------------------------------------------------------
以下是整个教程的“目录”：
2 楼：DOS常用命令详解
3-14楼：网络常用命令详解
运行命令全集
Win2000命令全集
PC$命令详解  
ipc$详细解释大全
ipc$常见问题

98蓝屏代码详解
2000蓝屏代码详解
Windows 死机密码
2000系统进程总列表详解
Windows系统进程应用小知识
转载BIOS通用密码修改
恢复Win2000/XP管理员密码
修改Win2000注册表加强安全

常见端口说明
常见端口关闭方法
特洛伊木马常用端口

关于木马的手工清除  
常见木马的手工清除方法

TCP/IP协议的简单说明
如何诊断排除基本的 TCP/IP 问题
IP网络路由技术
如何选择局域网中的通信协议
OSI七层模型介绍
子网掩码和ip地址的关系
E5的漏洞及其防护
防范NetBIOS漏洞攻击的五种方法
网上防黑指南
个人电脑防黑15条基本法
注册表防黑实例问答
关于IE浏览器被恶意修改后的恢复
IE主页被修改的处理方法

黑客入侵常见方法
网上攻略：黑客入侵惯用伎俩
黑客最初步的技术
黑客常用兵器之扫描器篇
黑客常用兵器之木马篇
八种扫描器-系统的大敌
网吧常见漏洞及利用
  IIS攻击大全
  网吧攻击的几种方法
如何突破各种防火墙的防护

未完待续。先不要回复。

[这个贴子最后由绿茶之星在 2005/05/18 02:17am 第 1 次编辑] 关于木马的手工清除 PWSteal.Lemir.Gen 在看文章之前：我想说前几天由于我个人的疏忽，接了一个广告。但是我完全不知道其站包含木马？只能说隐藏的非常的好，单看源代码是根本找不出，并且代码还经过加密。后来经过我再三的研究才发现。但是我知道这已经导致很多网吧中了木马，我也完全无能为力，所以只能提供这篇文章针对我犯的错误。打奇迹的朋友不用担心，改木马是完全针对传奇的！所以请网吧管理员进行手动清楚，以免后来者倒霉。 PWSteal.Lemir.Gen 还分好几种变种，以下是针对Expl0rer.exe，另外可能进程中还有是internet.exe这种。 首先下载：最新木马查杀软件进行检查 http://www.57sf.com/9_repentip/News200403210583.htm这里提供的都是很不错的。 另外介绍手工清楚方法，可以不通过软件。 * 提示：PWSteal.Lemir.Gen 是对一类窃号木马的统称，这个方法只适用于木马主本文件为 Expl0rer.exe 的 PWSteal.Lemir.Gen 木马，在使用此方法前请先确保自己遇到的是这个木马才可以 有许多用户反应一些杀毒软件在发现 PWSteal.Lemir.Gen(SysModule32.DLL,SysModule64.DLL) 木马后遇到无法隔离、删除或是清除后反复出现的问题。下面就告诉大家一个清除此木马简单有效的方法： 由此此木马会将自己注册为系统 Explorer 组件，即使删除后也会自动生成，所以一般的杀毒软件较难直接清除掉它，但费尔托斯特安全可以完全彻底清除掉此木马，并且删除后不会再次出现，所以如果手上有费尔托斯特安全的正式版可以使用它删除（建议先升级到最新版的病毒库）。如果没有也可以用下面的方法手工清除它（注意以下方法测试于Windows2000/XP/2003/NT，9x/me下可能有些略有不同，这时建议使用费尔托斯特安全清除）： 一、请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下（如果系统已经做了此设置可以跳过这一步）： 打开“我的电脑”； 依次打开菜单“工具/文件夹选项”； 然后在弹出的“文件夹选项”对话框中切换到“查看”页； 去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态； 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项； 去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态； 最后点击“确定”。 二、按“Ctrl+Alt+Del”键弹出任务管理器，找到EXPL0RER.EXE进程（注意第5个字母是数字0不是字母O），找到它后选中它并点击“结束进程”以结束掉木马进程。然后迅速做下面一步，只所以要迅速是因为如果动作慢的话，木马可能会自动恢复而再次运行起来，这样就无法删除掉其他木马文件了（如果EXPL0RER.EXE进程再次运行起来需要重做这一步）； 三、打开资源管理器进入到 “系统目录\Winnt\System32”下（如果您的win2000/nt/xp安装在C盘则就是 C:\Winnt\System32）。找到EXPL0RER.EXE文件（注意第5个字母是数字0不是字母O）、SysModule32.dll文件，然后直接删除它们。如果这时报告“文件正在使用无法删除”的类似提示则说明木马已经再次恢复了，需要从第二步开始重复做，并且从第二步到第三步一定要迅速，这里建议可以先打开资源管理器选中这几个待删除的文件，在做第二步即刚结束掉EXPL0RER.EXE进程后马上转过来删除这2个文件，这样一般就可以成功了； 四、同样在 “系统目录\Winnt\System32”目录下找到 SysModule64.dll 文件，尝试删除它，不过如果这时报告“此文件正在使用中无法删除”等类似提示也没有关系，稍后在第七步将介绍如何删除此文件； 五、打开资源管理器进入到 “系统目录\Winnt”下，找到一个 MFCD3O.DLL 文件，手工删除它； 六、打开“开始/运行”，输入“regedit”后“确定”以打开注册表编辑器，找到“HKEY_CLASSES_ROOT\CLSID\{081FE200-A103-11D7-A46D-C770E4459F2F}”键，把整个“{081FE200-A103-11D7-A46D-C770E4459F2F}”键全部删除。 七、注销当前用户或重新登录或重启电脑。之后再按第四步的方法删除掉 SysModule64.dll 文件，如果一切正常此时应该可以删除掉它了。 至此，如果一切顺利 PWSteal.Lemir.Gen 木马就应该完全从您系统中清除干净了。 --------------------------------------------------------- Backdoor.D.WinSys 最近网络中总是充斥着一种网页木马 Backdoor.D.WinSys，此木马是以隐藏在网页中来传播的，并且主要是在一些音乐、电影网站中，只要用户访问这种网页就会自动下载并生成隐藏文件 WINSYS.cer、WINSYS.vbs 木马文件，接着会执行它，并且会在下次电脑启动时再次自动执行，由于隐藏在网页中所以流传甚广，危害很大。 不过费尔托斯特安全用户只要平时注意打开实时防护一般都可以有效阻止它的感染。但现在有一些新的传播形式，可以逃过检查，现在告诉大家一个窍门，使用此方法不但可以阻止这个木马而且可以极为有效的阻止这一类木马的感染和传播（费尔托斯特安全的未注册版用户虽然在发现此木马时不显示具体的名称，但使用下面的方法设置后同样可以起到防护作用）：
费尔托斯特安全用户解决办法（未注册版同样有效）：

打开费尔托斯特安全的“文件”面板
在左边的“实时扫描文件类型”中分别手工新增 PL、HTR、HTA、CER 文件类型
重启费尔托斯特安全（停止托斯特->启动托斯特）
这样，当再访问到含有这类破坏代码的网页时就会被费尔托斯特安全实时拦截到 HTML.Shell.Virus 病毒并报警，从而阻止它的运行。

普通用户解决办法：

先手工把这个 C:\$NtuninstallqXXXXXX$ 目录整个删除，这里要注意这个目录的一般并不固定，但它的总体形式一般总是“$NtuninstallqXXXXXX”的形式。如果您在资源管理中看不到也许是因为您的系统没有打开“查看隐藏文件”的设置，请再这样设置一下：
打开“我的电脑”
依次打开菜单“工具/文件夹选项”
然后在弹出的“文件夹选项”对话框中切换到“查看”页
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项
最后点击“确定”
做了这几步后您再找一下这个形式的目录，如果找到就把它整个删除掉
在“开始/运行”中运行 regedit.exe 命令打开注册表编译器，然后直接 F3 键打开搜索窗口，并选择“查看“中的”“项”、“值”、“数据”项，在中间输入“winsys.cer”并搜索。这样只要在注册表中发现有此内容的您全部把它删除掉，直到搜索完毕找不到有关值。
在未联接到 Internet 的情况下打开IE，并依次打开“工具/Internet选项/删除文件”，然后在弹出的对话框中选中“删除所有脱机内容”选项，然后点击“确定”。做完这一步之后先别着急关闭这个“Internet选项”对话框，请接着按下面的步骤继续做
查看“Internet选项”对话框中“主页”处的地址，如果它不是您自己设置的网站主页或是一个非常陌生的网址则记下这个网址（只记 http:// 之后的内容，可以用鼠标选中后使用 Ctrl+C 键直接复制），然后按照第2步的方法从注册表全部搜索出并删除有关这个网址的注册表键或值
这样就可以清除掉此木马了。 --------------------------------------------------------- Backdoor.livup(msstart.exe) 最近有许多用户反应一些杀毒软件在发现 Backdoor.livup(msstart.exe) 木马后遇到无法隔离、删除或是清除后反复出现的问题。下面就告诉大家一个清除此木马简单有效的方法：

费尔托斯特安全可以完全彻底清除掉此木马，如果手上有它的正式版可以使用它删除（建议先升级到最新版的病毒库）。如果没有也可以用下面的方法手工清除它（注意以下方法测试于Windows2000/XP/2003/NT，9x/me下可能有些略有不同，这时建议使用费尔托斯特安全清除）：

一、请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下（如果系统已经做了此设置可以跳过这一步）：

打开“我的电脑”；
依次打开菜单“工具/文件夹选项”；
然后在弹出的“文件夹选项”对话框中切换到“查看”页；
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态；
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；
去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；
最后点击“确定”。

二、按“Ctrl+Alt+Del”键弹出任务管理器，找到名是“msstart.exe”的进程，找到后选中它并点击“结束进程”以结束掉木马进程；

三、打开资源管理器进入到 “系统目录\Winnt\System32”下（如果您的win2000/nt/xp安装在C盘则就是 C:\Winnt\System32），找到 msstart.exe 文件然后直接删除它；或者您也可以通过系统搜索（窗口键+F）功能来找出系统中所有的 msstart.exe 文件，然后全部删除掉。

至此，如果一切顺利您就应该可以清除掉此木马了。 --------------------------------------------------------- Backdoor.PWStealer 费尔托斯特安全可以完全清除掉此病毒（托斯特显示病毒名为“Backdoor.PWStealer”），如果手上有它的正式版可以使用它扫描并删除。如果当前没有也可以用下面的方法手工清除它（注意以下方法测试于Windows2000/XP/2003/NT，9x/me下可能有些略有不同，这时您可以使用费尔托斯特安全清除）：

一、请先去把系统设置为“显示隐藏文件”，因为病毒以隐藏属性伪装，不做此设置将无法看到它，设置的方法如下（如果系统已经做了此设置可以跳过这一步）：

打开“我的电脑”；
依次打开菜单“工具/文件夹选项”；
然后在弹出的“文件夹选项”对话框中切换到“查看”页；
去掉“隐藏受保护的操作系统文件(推荐)”前面的对钩，让它变为不选状态；
在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项；
去掉“隐藏已知文件类型的扩展名”前面的对钩，也让它变为不选状态；
最后点击“确定”。

二、打开“开始/运行”，输入“regedit”后“确定”以打开注册表编辑器，进入到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键下，在右边列中，找到一个名为“;Rundll”的值，如果找到请双击打开看，查看并记下“数值数据”中指示的文件及路径名，一般为“C:\WINNT\System32\XXXX.exe”的形式（但并不固定，这要根据具体的环境而变化），注意其中的“XXXX.exe”代表的是任意值，并不固定，而不是4个X，所以这时一定要记清这个“XXXX.exe”所代表的文件名，记下后然后从注册表中删除这个“;Rundll”值；

三、按“Ctrl+Alt+Del”键弹出任务管理器，找到在上面第二步中记下的“XXXX.exe”的进程（注意这里的XXXX.exe是具体的名称而不是4个X）。找到有相同的进程后选中它并点击“结束进程”以结束掉木马进程；

四、打开资源管理器进入到 “系统目录\Winnt\System32”下（如果您的win2000/nt/xp安装在C盘则就是 C:\Winnt\System32）。找到XXXX.exe和XXXX.dll文件然后直接删除它们（当然，这里的XXXX所代表的仍然不是4个X，而是具体的名称）；如果在删除过程中发现XXXX.dll删除不掉，而是报告“文件正在使用中无法删除”，则可以注销或重启一下电脑，然后再按此方法找到并删除它就可以了。

至此，如果一切顺利您就应该可以清除掉此木马了。

特洛伊木马常用端口
下面的列表给出了现有木马和他们所用端口的对应表。低端口常用来窃取口令并传送给黑客。
高端口常用来通过网络远程控制木马程序。
The problem with Remote Access trojans or trojans trying to steal passwords
is fairly new. Today there are no programs, antivirus or antitrojan programs,
which can detect unknown trojan horses. The programs claiming to defend you can
usually only find a fraction of all the trojans out there - 17 written in 1997,
81 constructed the following year, and at least 156 new trojans thus far in1999.
Port
Trojan
21
FTP Open Server Port
21
Blade Runner, Doly Trojan, Fore, Invisible, FTP, WebEx, WinCrash
23
Tiny Telnet Server
25
Antigen, Email Password Sender, Haebu, Coceda, Shtrilitz, Stealth,
Terminator, WinPC, WinSpy
25
SMTP
31
Master Paradise.80 Port
31
Hackers Paradise
53
Bonk (DoS Exploit) Port
80
Executer 1.0a Port
80
Executor, WWW
110
POP3
121
BO jammerkillah Port
137
Name Service (Netbios over IP) Windows
138
Datagram Service (Netbios over IP) Windows
139
WinNuke / Landc (DoS Exploit) Port
139
Session Service (Netbios over IP) Windows
456
Hackers Paradise Port
456
Hackers Paradise
555
Stealth Spy Port
555
Phase0 Port
555
IniKiller, Phase Zero, Stealth Spy
666
Attack FTP Port
666
Satanz Backdoor
777
AIM Spy
1000
Der Spaeher3, Insane Network
1001
Der Spaeher3, Insane Network
1001
Silencer Port
1001
WebEx Port
1001
Silencer, WebEx
1003
BackDoor.200 Port
1003
BackDoor.201 Port
1003
BackDoor.202 Port
1010
Doly trojan v1.35 Port
1011
Doly Trojan Port
1011
Doly Trojan
1011
Trojan Dolly Version 1.1/1.2
1015
Doly trojan v1.5 Port
1015
Trojan Dolly Version 1.5
1016
Trojan Dolly Version 1.6/1.7
1024
1025 NetSpy.698 Port
1029
InCommand
1033
Netspy Port
1035
Trojan Dolly Version 1.35
1042
Bla1.1 Port
1047
GateCrasher.b Port
1047
GateCrasher.c Port
1050
MiniCommand 1.2
1080
Wingate Port
1170
Psyber Stream Server, Voice
1207
SoftWar
1234
Ultors Trojan
1243
SubSeven Port
1243
Sub 7.2
1245
Vodoo Port
1245
VooDoo Doll
1269
Maverick';s Matrix Port
1492
BackOriffice.FTP Port
1492
FTP99CMP (BO.FTP) Port
1492
FTP99CMP
1509
Streaming Server Port
1600
Shiv Port
1600
Shivka
1807
SpySender Port
1807
SpySender
1981
ShockRave Port
1981
Shockrave
1999
Transmission of Scout v. 1.1
1999
Backdoor Port
1999
BackDoor.200 Port
1999
BackDoor.201 Port
1999
BackDoor.202 Port
1999
BackDoor.203 Port
1999
BackDoor
2000
Der Spaeher3, Insane Network
2001
Der Spaeher3, Insane Network
2001
TrojanCow Port
2001
Trojan Cow
2023
Pass Ripper Port
2023
Ripper
2115
Bugs
2140
DeepThroat.10 Port
2140
Invasor Port
2140
The Invasor Port
2140
Deep Throat, The Invasor
2283
Rat Port
2565
Striker Port
2583
Wincrash2 Port
2716
The Prayer
2773
SubSeven Key Logger
2801
Phineas Port
2801
Phineas Phucker
3024
WinCrash
3128
Squid Proxy
3129
MastersParadise.92 Port
3129
Masters Paradise
3150
DeepThroat.10 Port
3150
Invasor Port
3150
Deep Throat, The Invasor
3700
Portal of Doom
4092
WinCrash
4567
FileNail Port
4590
ICQTrojan
4950
IcqTrojan Port
5000
Blazer 5 Port
5000
Sockets de Troie
5001
Sockets de Troie
5031
NetMetropolitan2
5032
NetMetropolitan2
5321
Firehotcker Port
5321
Firehotcker
5400
BackConstruction1.2 Port
5400
BladeRunner Port
5400
Blade Runner
5401
Blade Runner
5402
Blade Runner
5550
Xtcp Port
5569
RoboHack Port
5569
RoboHack
5636
PC Crasher
5637
PC Crasher
5698
BackDoor.203 Port
5714
Wincrash3 Port
5741
Wincrash3 Port
5742
Wincrash Port
5742
WinCrash
6000
The Thing
6400
The Thing Port
6666
TCPShell.c
6669
Host Control
6669
Vampire Port
6670
Deep Throat Port
6670
DeepThroat
6671
Deep Throat Port
6767
NT Remote Control Port
6771
DeepThroat
6883
DeltaSource
6883
DeltaSource Port
6939
Indoctrination Port
6969
Gatecrasher.a Port
6969
GateCrasher, Priority
7000
Remote Grab
7215
SubSeven Matrix (Changeable)
7300
NetMonitor
7301
NetMonitor
7306
NetMonitor Port
7306
NetMonitor
7307
NetMonitor
7308
NetMonitor
7789
ICQKiller Port
7789
ICKiller
8080
Proxy
9872
Portal of Doom Port
9872
al of Doom
9873
al of Doom
9874
al of Doom
9875
Portal of Doom Port
9875
al of Doom
9989
InIkiller Port
9989
iNiKiller
9999
The Praye
10067
al of Doom
10167
Portal Of Doom Port
10167
al of Doom
10607
Coma Port
11000
Senna Spy Trojans Port
11000
Senna Spy
11050
Host Control
11223
ProgenicTrojan Port
11223
Progenic trojan
12076
Gjamer Port

常见端口关闭方法
113端口木马的清除（仅适用于windows系统）：
这是一个基于irc聊天室控制的木马程序。
1.首先使用netstat -an命令确定自己的系统上是否开放了113端口
2.使用fport命令察看出是哪个程序在监听113端口
fport工具下载
例如我们用fport看到如下结果：
Pid Process Port Proto Path
392 svchost -> 113 TCP C:\WINNT\system32\vhos.exe
我们就可以确定在监听在113端口的木马程序是vhos.exe而该程序所在的路径为
c:\winnt\system32下。
3.确定了木马程序名（就是监听113端口的程序）后，在任务管理器中查找到该进程，
并使用管理器结束该进程。
4.在开始-运行中键入regedit运行注册表管理程序，在注册表里查找刚才找到那个程序，
并将相关的键值全部删掉。
5.到木马程序所在的目录下删除该木马程序。（通常木马还会包括其他一些程序，如
rscan.exe、psexec.exe、ipcpass.dic、ipcscan.txt等，根据
木马程序不同，文件也有所不同，你可以通过察看程序的生成和修改的时间来确定与
监听113端口的木马程序有关的其他程序）
6.重新启动机器。
3389端口的关闭：
首先说明3389端口是windows的远程管理终端所开的端口，它并不是一个木马程序，请先
确定该服务是否是你自己开放的。如果不是必须的，请关闭该服务。
win2000关闭的方法：
win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，
选中属性选项将启动类型改成手动，并停止该服务。
win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services
服务项，选中属性选项将启动类型改成手动，并停止该服务。
winxp关闭的方法：
在我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。
4899端口的关闭：
首先说明4899端口是一个远程控制软件（remote administrator)服务端监听的端口，他不能
算是一个木马程序，但是具有远程控制功能，通常杀毒软件是无法查出它来的，请先确定该服
务是否是你自己开放并且是必需的。如果不是请关闭它。
关闭4899端口：
请在开始-->运行中输入cmd(98以下为command),然后cd C:\winnt\system32(你的系统
安装目录），输入r_server.exe /stop后按回车。
然后在输入r_server /uninstall /silence
到C:\winnt\system32(系统目录）下删除r_server.exe admdll.dll radbrv.dll三个文件

5800，5900端口：
1.首先使用fport命令确定出监听在5800和5900端口的程序所在位置（通常会是c:\winnt\fonts\
explorer.exe)
2.在任务管理器中杀掉相关的进程（注意有一个是系统本身正常的，请注意！如果错杀可以重新
运行c:\winnt\explorer.exe)
3.删除C:\winnt\fonts\中的explorer.exe程序。
4.删除注册表HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中的
Explorer项。
5.重新启动机器。
6129端口的关闭：
首先说明6129端口是一个远程控制软件（dameware nt utilities)服务端监听得端口，他不是
一个木马程序，但是具有远程控制功能，通常的杀毒软件是无法查出它来的。请先确定该服务
是否是你自己安装并且是必需的，如果不是请关闭。
关闭6129端口：
选择开始-->设置-->控制面板-->管理工具-->服务
找到DameWare Mini Remote Control项点击右键选择属性选项，将启动类型改成禁用后
停止该服务。
到c:\winnt\system32(系统目录）下将DWRCS.EXE程序删除。
到注册表内将HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWMRCS表项删除。
1029端口和20168端口：
这两个端口是lovgate蠕虫所开放的后门端口。
蠕虫相关信息请参见：Lovgate蠕虫：http://it.rising.com.cn/newSite/ ... rus/Antivirus_Base/
TopicExplorerPagePackage/lovgate.htm
你可以下载专杀工具：http://it.rising.com.cn/service/ ... ovGate_download.htm
使用方法：下载后直接运行，在该程序运行结束后重起机器后再运行一遍该程序。
45576端口：
这是一个代理软件的控制端口，请先确定该代理软件并非你自己安装（代理软件会给你的机器带
来额外的流量）
关闭代理软件：
1.请先使用fport察看出该代理软件所在的位置
2.在服务中关闭该服务（通常为SkSocks），将该服务关掉。
3.到该程序所在目录下将该程序删除。
对于139端口攻击的防范针对不同系统的设置也有所不同，下面就来分别描述。
　　针对使用Windows 9x系统拨号上网用户，可以不必登录到NT局域网络环境，打开控制面板，然后双击“网络”图标，在“主网络登录”中选择“Microsoft友好登录”，不必选择“Windows网络用户”方式。此外，也不必设置“文件打印共享”
　　对于Windows NT用户，可以取消NetBIOS与TCP/IP协议的绑定，打开“控制面板”，然后双击“网络”图标，在“NetBIOS接口”中选择“WINS客户(TCP/IP)”为“禁用”，并重新启动计算机即可。
Windows 2000用户可以使用鼠标右键单击“网络邻居”图标，然后选择“属性”命令，打开“网络和拨号连接”对话框，用鼠标右键单击“本地连接”图标，然后执行“属性”命令，打开“本地连接属性”对话框。双击“Internet协议(TCP/IP)”，在打开的对话框中单击［高级］按钮。打开“高级TCP/IP设置”对话框，选择“选项”选项卡，在列表中单击选中“TCP/IP筛选”选项
　　单击［属性］按钮，在“只允许”单击［添加］按钮，填入除了139之外要用到的端口。
对于个人上网用户可以使用“天网防火墙”定制防火墙规则。启动“天网个人防火墙”，选择一条空规则，设置数据包方向为“接收”，对方IP地址选“任何地址”，协议设定为“TCP”，本地端口设置为“139到139”，对方端口设置为“0到0”，设置标志位为“SYN”，动作设置为“拦截”，最后单击［确定］按钮，并在“自定义IP规则”列表中勾选此规则即可启动拦截139端口攻击了.了解139端口是为了更好地
经常不用的端口可以通过关闭139端口的方法来关闭。

[这个贴子最后由绿茶之星在 2005/05/18 02:05am 第 1 次编辑]

常见端口说明
http://www.thysea.com/lb/cgi-bin/topic.cgi?forum=1&topic=3251

修改Win2000注册表加强安全
1)设置生存时间
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
DefaultTTL REG_DWORD 0-0xff(0-255 十进制,默认值128)
说明:指定传出IP数据包中设置的默认生存时间(TTL)值.TTL决定了IP数据包在到达
目标前在网络中生存的最大时间.它实际上限定了IP数据包在丢弃前允许通过的路由
器数量.有时利用此数值来探测远程主机操作系统.
2)防止ICMP重定向报文的攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
EnableICMPRedirects REG_DWORD 0x0(默认值为0x1)
说明:该参数控制Windows 2000是否会改变其路由表以响应网络设备(如路由器)发送给
它
的ICMP重定向消息,有时会被利用来干坏事.Win2000中默认值为1,表示响应ICMP重定向
报
文.
3)禁止响应ICMP路由通告报文
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Inter
faces\interface
PerformRouterDiscovery REG_DWORD 0x0(默认值为0x2)
说明:“ICMP路由公告”功能可造成他人计算机的网络连接异常,数据被窃听,计算机被
用于流量攻击等严重后果.此问题曾导致校园网某些局域网大面积,长时间的网络异常.
因此建议关闭响应ICMP路由通告报文.Win2000中默认值为2,表示当DHCP发送路由器发
现选项时启用.
4)防止SYN洪水攻击
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
SynAttackProtect REG_DWORD 0x2(默认值为0x0)
说明:SYN攻击保护包括减少SYN-ACK重新传输次数,以减少分配资源所保留的时
间.路由缓存项资源分配延迟,直到建立连接为止.如果synattackprotect=2,
则AFD的连接指示一直延迟到三路握手完成为止.注意,仅在TcpMaxHalfOpen和
TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施.
5) 禁止C$、D$一类的缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareServer、REG_DWORD、0x0
6) 禁止ADMIN$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters
AutoShareWks、REG_DWORD、0x0
7) 限制IPC$缺省共享
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
restrictanonymous REG_DWORD 0x0 缺省
0x1 匿名用户无法列举本机用户列表
0x2 匿名用户无法连接本机IPC$共享
说明:不建议使用2，否则可能会造成你的一些服务无法启动，如SQL Server
8)不支持IGMP协议
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IGMPLevel REG_DWORD 0x0(默认值为0x2)
说明:记得Win9x下有个bug,就是用可以用IGMP使别人蓝屏,修改注册表可以修正这个
bug.Win2000虽然没这个bug了,但IGMP并不是必要的,因此照样可以去掉.改成0后用
route print将看不到那个讨厌的224.0.0.0项了.
9)设置arp缓存老化时间设置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
ArpCacheLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为120秒)
ArpCacheMinReferencedLife REG_DWORD 0-0xFFFFFFFF(秒数,默认值为600)
说明:如果ArpCacheLife大于或等于ArpCacheMinReferencedLife,则引用或未引用的ARP
缓存项在ArpCacheLife秒后到期.如果ArpCacheLife小于ArpCacheMinReferencedLife,
未引用项在ArpCacheLife秒后到期,而引用项在ArpCacheMinReferencedLife秒后到期.
每次将出站数据包发送到项的IP地址时,就会引用ARP缓存中的项。
10)禁止死网关监测技术
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
EnableDeadGWDetect REG_DWORD 0x0(默认值为ox1)
说明:如果你设置了多个网关,那么你的机器在处理多个连接有困难时,就会自动改用备
份
网关.有时候这并不是一项好主意,建议禁止死网关监测.
11)不支持路由功能
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x0(默认值为0x0)
说明:把值设置为0x1可以使Win2000具备路由功能,由此带来不必要的问题.
12)做NAT时放大转换的对外端口最大值
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services:\Tcpip\Parameters
MaxUserPort REG_DWORD 5000-65534(十进制)(默认值0x1388--十进制为5000)
说明:当应用程序从系统请求可用的用户端口数时,该参数控制所使用的最大端口数.正
常
情况下,短期端口的分配数量为1024-5000.将该参数设置到有效范围以外时,就会使用最
接近的有效数值(5000或65534).使用NAT时建议把值放大点.
13)修改MAC地址
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\
找到右窗口的说明为"网卡"的目录,
比如说是{4D36E972-E325-11CE-BFC1-08002BE10318}
展开之,在其下的0000,0001,0002...的分支中找到"DriverDesc"的键值为你网卡的说明
,
比如说"DriverDesc"的值为"Intel(R) 82559 Fast Ethernet LAN on Motherboard"
然后在右窗口新建一字符串值,名字为"Networkaddress",内容为你想要的MAC值，比如
说
是"004040404040"
然后重起计算机，ipconfig /all看看.

恢复Win2000/XP管理员密码
一、删除SAM文件，清除Administrator账号密码
Windows 2000所在的Winnt\System32\Config目录下有个SAM文件（即账号密码数据库文件），它保存了Windows 2000中所有的用户名和密码。当你登录的时候，系统就会把你键入的用户名和密码，与SAM文件中的加密数据进行校对，如果两者完全符合，则会顺利进入系统，否则将无法登录，因此我们可以使用删除SAM文件的方法来恢复管理员密码。
　　删除SAM文件后重新启动，此时管理员Administrator账号已经没有密码了，这时你可以用Administrator账户登录系统，不用输入任何密码，进入系统后再重新设置你的管理员账户密码即可。
　　二、从SAM文件中找密码
　　这里需要的工具是LC4，运行LC4，打开并新建一个任务，然后依次点击“IMPORT→Import from SAM file”，打开已待破解的SAM文件，此时LC4会自动分析此文件，并显示出文件中的用户名；之后点击“Session→Begin Audit”，即可开始破解密码。如果密码不是很复杂的话，很短的时间内就会得到结果。
　　不过，如果密码比较复杂的话，需要时间会很长，这时我们就需要用下面的方法了。
　　三、用密码重设盘设新密码
　　在没有使用“欢迎屏幕”登录方式的情况下登录到Windows XP后，按下“Ctrl + Alt + Del”组合键，出现“Windows 安全”窗口，点击选项中“更改密码”按钮，出现更改密码窗口（图1）。这个窗口中，将当前用户的密码备份，点击左下角“备份”按钮，激活“忘记密码向导”，按照提示创建密码重设盘。
　　如果在Windows XP的登录窗口输入了错误的密码，就会弹出“登录失败”窗口（图2），如果你的确想不起来自己的密码是什么时，可点击“重设”按钮，启动密码重设向导，通过刚才所创建的密码重设盘，重新设定密码，登录Windows XP。
　　四、使用软件修改密码
　　Windows Key 5.0和Windows XP/2000/NT Key这两款软件可以自动把Administrator密码修改为12345，重启系统后用此账号登录，然后在“控制面板”用户中，再重新修改管理员密码即可。
　　软件名：Windows Key 5.0
　　使用方法：运行之后会生成3个文件：txtsetup.oem、winkey.sys和winkey.inf，把它们拷贝到一张软盘中，制作成一张Windows Key盘。然后使用Windows XP安装光盘启动电脑，启动过程中按F6键让系统安装第三方的驱动程序。此时，放入Windows Key软盘就会自动跳到WindowsKey的界面，这时它会强行把Administrator的密码换成“12345”。
　　软件名：Windows XP/2000/NT Key
　　使用方法：用它制作一张驱动软盘；然后用安装光盘启动电脑，启动过程中按“S”，插入该驱动软盘，系统管理员账号administrator的密码就会被改为12345。

BIOS通用密码修改
电脑信息的保密一直是一个重要的话题。众所周知，在BIOS设置菜单中，有两个密码设置栏目：Supervisor Password(超级用户密码)和User Password(一般用户密码)，可以说是电脑资料保密的第一道防线。这两组密码搭配BIOS Features Setup菜单中的Security Option设置，可产生多种等级的保护。
　　主板BIOS的通用密码可算是绕过BIOS密码的偏方秘技，万一你忘记了自己所设的BIOS
密码进不了系统，就可以试试用通用密码进入。通用密码一般是由主板厂家设置的，以便于主板厂家向用户提供技术支持。不需要知道用户设定的密码，就可以打开电脑进行维护等。本来这部分可以算是秘密，但因为某些原因被外界获知并通过各种渠道传递，成为众所周知的秘密了。
　　通用密码在理论上是不应该存在的，因为密码的设置就是为了阻止非法使用者，如果真要预留这个后门，便丧失了原始设计的意义，给某些保密性比较强的行业以及一些电脑发烧友带来一定的苦恼。另外，虽然通用密码可以解决一时的燃眉之急，但却会随厂商而异，万一时运不济，所有的通用密码都不适合，你也只好望“码”兴叹了。究竟有没有方法修改这个通用密码呢？答案是肯定的，就是修改主板的BIOS。下面分别介绍一下Award BIOS和AMI BIOS的修改方法。
　　Award BIOS
　　修改Award的BIOS使用的是modbin.exe软件。另外，由于最后还要把BIOS代码文件写入到主板的BIOS芯片中，所以还要有相应的BIOS的刷新工具以及主板BIOS的代码文件。主板的BIOS代码文件可以在主板厂家的网站下载，也可用刷新工具将主板上的BIOS保存下来。实验用的主板是EPoX的3VCA主板，从网上下载的BIOS升级文件为3vca.39，将其更名为3vca.bin，因为modbin默认识别的BIOS文件扩展名为bin。由于以下操作会改变BIOS文件，请最好先做一个备份。一切准备好之后可进行下一步工作。
　　在MS-DOS窗口下运行modbin软件，使用其“Load File”菜单项装入BIOS文件，这里选择装入3vca.bin文件即可。此外也可利用ALT+L快捷键载入BIOS在内存中的映像，但这里推荐使用保存在硬盘上的BIOS代码文件。
　　装载成功后，可以在modbin软件的版本和版权下面一行看到BIOS的ID代码：“09/06/2000-694X-686A-2A6LJPA9C-00”，该ID代码中包含了你主板的芯片组和BIOS的日期以及厂商的信息，和电脑启动时在显示器左下方看到的文字应该一样。
　　移动光标键到“Change BIOS Options”(更改BIOS选项)处回车，在进入的程序画面中，可以看到有一行为“Security Default Password”(安全默认密码)，默认为“********”，这就是厂家在该BIOS中已经设置好的通用密码，也就是我们要修改的地方。在此处敲回车，直接输入新的通用密码即可，密码的长度最多为8位(图1)。其下面一行为“Security Number of Retry”，意思是默认密码输入错误可以重试的次数，默认为20次。允许重试次数太多了当然不安全，可改为3次。按两次回车保存，按ESC键退出该画面。其他的选项不要乱改，否则可能会引起问题。

最后，使用第一个菜单项“Update File”，保存修改的BIOS文件。进行该操作会自动退出modbin软件。你也可以再次把BIOS文件调入，看一下你修改的内容有没有保存到BIOS代码文件里。
　　AMI BIOS
　　上面介绍的modbin工具只适用于使用Award BIOS的主板，amibcp.exe是AMI BIOS的修改工具，尽管现在它的功能还不及modbin.exe，但利用它也可以轻松修改AMI BIOS的通用密码。
　　从网上下载amibcp压缩包，解压后得到amibcp.exe程序。在纯DOS模式下直接运行该程序，程序在进入前会提示输入BIOS的路径及文件名。在本次操作中，使用的是一款采用SiS630芯片组的主板，其BIOS文件名为sis630.bin。进入程序后，会出现类似AMI 8.26版刷新程序的界面(如图2)。

Amibcp程序的主菜单里面的选项比较多，有加载BIOS、保存BIOS到磁盘、BIOS模块编辑、修改PCI设备中断路由表等选项。对各个选项做一下研究，我们就可以看到各个选项是由一些模块组成的，屏幕上列出了各个模块的模块名、原文件大小、在文件包中的大小、地址信息等。这跟Award的BIOS十分相似，说明AMI的BIOS也是通过将各个模块分别压缩后再组成一个BIOS文件包的。
　　我们主要研究的是其中第九项：“Configure BIOS Features”，用方向键把光标移到该项，按回车后进入，可以看到菜单中只有“ROM Password”和“Sign On Message”两项允许修改，把光标移到“ROM Password”处回车，输入要设定的密码即可(图3)。该选项设定的密码权限比较高，一旦把密码设定，则每次启动机器或进入SETUP程序时，都要输入密码才能进入。敲Esc键返回到主菜单，把光标移到“Save BIOS To Disk File”项，敲回车保存文件后退出。

不论是Award还是AMI的BIOS，最后都要把修改过的BIOS刷进主板，修改才会起作用。升级BIOS的过程，大家都已很熟悉了，在此不再赘述。
　　结束语
　　如果真的害怕修改后忘记密码，建议事先保留一份原始的BIOS代码。无论你的设置有多乱，只要还能进入操作系统，就可认将原始的BIOS代码写入到BIOS芯片中，回到无密码的状态。
　　BIOS通用密码对系统安全性的真正危害在于，它可以在用户毫无察觉的情况下进入系统。对硬件略微有些了解的人都知道可以通过对CMOS进行放电进入有BIOS密码保护的电脑，但是这样做不仅需要开启机箱，同时BIOS的各种选项也都因为放电恢复到了系统默认值。这样一来，至少有经验的用户会知道有人动过自己的机器。而使用通用密码就相对容易很多，入侵者留下的痕迹也更少。所以，如果系统是依赖BIOS密码保护的话，更改默认的后门密码就显得很必要了。
　　此外，我们也想在这里提醒读者，利用BIOS密码保护系统还是有很大的局限性。即便是更改了通用密码也还存在不少安全漏洞。因此，对于一些敏感数据我们推荐读者采用第三方的加密手段，尤其是采用基于硬件的保密措施，如我们曾经向大家介绍过的爱国者加密王就是可靠的加密存储产品
.
进入BIOS时的通用口令
对于Award BIOS,试一下下面的几个单词：
AWARD_SW SKY_FOX j256
j262 BIOSTAR AWARD?SW
HLT lkwpeter LKWPETER
SER CONCAT Syxz
ALFAROME awkward aLLy
589721 589589 j64
　 AWARD_SW j322
?award awkward lkw peter
01322222 BIOS lkwpeter
1EAAh bios* PASSWORD
256256 biosstar SER
589589 biostar setup
589721 CONCAT SKY_FOX
admin condo SWITCHES_SW
alfarome CONDO Sxyz
aLLy djonet SZYX
aPAf efmukl t0ch20x
award g6PJ t0ch88
AWARD SW h6BB TTPTHA
award.sw HELGA-S ttptha
AWARD?SW HEWITT RAND TzqF
award_? HLT wodj
award_ps j09F ZAAADA
zbaaaca zjaaadc j262
AWARD_PW j256 　

对于AMI BIOS试一下下面的单词：
AMI BIOS
PASSWORD HEWITT RAND
AMI SW AMI_SW
LKWPETER A.M.I
589589 AMI
aammii AMI!SW
AMIPSWD AMI.KEY
amipswd ami.kez
AMISETUP AMI~
bios310 ami?
BIOSPASS amiami
CMOSPWD amidecod
HEWITT RAND KILLCMOS
对于phoenix BIOS试一下下面的单词：phoenix
其它品牌机上的万用密码：
Biostar Biostar ：Q54arwms
Compaq： Compaq
Concord ：last
CTX International ：CTX_123
CyberMax ：Congress
Daewoo：Daewuu
Daytek ：Daytec
Dell ：Dell
Digital Equipment： komprie
Enox ：xo11nE
Epox ：central
Freetech： Posterie
HP Vectra ：hewlpack
IBM ：IBM MBIUO sertafu
Iwill ：iwill
JetWay： spoom1
Joss Technology： 57gbz6 technolgi
M Technology： mMmM
MachSpeed： sp99dd
Magic-Pro： prost
Megastar ：star
Micron ：sldkj754 xyzall
Micronics： dn_04rjc
Nimble： xdfk9874t3
Packard Bell： bell9
QDI： QDI
Quantex： teX1 xljlbj
Research ：Col2ogro2
Shuttle： Spacve
Siemens Nixdorf ：SKY_FOX
SpeedEasy： lesarot1
SuperMicro： ksdjfg934t
Tinys： tiny
TMC： BIGO
Toshiba ：24Banc81 Toshiba toshy99
Vextrec Technology ：Vextrex
Vobis： merlin
WIMBIOSnbsp BIOS v2.10： Compleri
Zenith： 3098z Zenith
ZEOS： zeosx

56.mysqld－nt － mysqld－nt.exe － 进程信息
进程文件: mysqld－nt or mysqld－nt.exe
进程名称: MySQL Daemon
描述: MySQL Daemon控制访问MySQL数据库。
常见错误: N/A
是否为系统进程: 否
57.navapsvc － navapsvc.exe － 进程信息
进程文件: navapsvc or navapsvc.exe
进程名称: Norton AntiVirus Auto－Protect Service
描述: Norton Anti－Virus扫描你的文件和email中的病毒。
常见错误: N/A
是否为系统进程: 否
58.navapw32 － navapw32.exe － 进程信息
进程文件: navapw32 or navapw32.exe
进程名称: Norton AntiVirus Agent
描述: Norton Anti－Virus扫描你的文件和email中的病毒。
常见错误: N/A
是否为系统进程: 否
59.ndetect － ndetect.exe － 进程信息
进程文件: ndetect or ndetect.exe
进程名称: ICQ Ndetect Agent
描述: ICQ Ndetect Agent是ICQ用来侦测网络连接的程序。
常见错误: N/A
是否为系统进程: 否
60.netscape － netscape.exe － 进程信息
进程文件: netscape or netscape.exe
进程名称: Netscape
描述: Netscape网络浏览器通过HTTP浏览WWW万维网。
常见错误: N/A
是否为系统进程: 否
61.notepad － notepad.exe － 进程信息
进程文件: notepad or notepad.exe
进程名称: Notepad
描述: Notepad字符编辑器用于打开文档。在Windows中附带。
常见错误: N/A
是否为系统进程: 否
---crystalsky911【见习成员】 J
扑(28):62.ntbackup － ntbackup.exe － 进程信息
进程文件: ntbackup or ntbackup.exe
进程名称: Windows Backup
描述: Windows备份工具用于备份文件和文件夹。
常见错误: N/A
是否为系统进程: 否
63.ntvdm － ntvdm.exe － 进程信息
进程文件: ntvdm or ntvdm.exe
进程名称: Windows 16－bit Virtual Machine
描述: Windows Virtual Machine是为了兼容旧的16位Windows和DOS程序而设置的虚拟机。
常见错误: N/A
是否为系统进程: 否

64.nvsvc32 － nvsvc32.exe － 进程信息
进程文件: nvsvc32 or nvsvc32.exe
进程名称: NVIDIA Driver Helper Service
描述: NVIDIA Driver Helper Service在NVIDA显卡驱动中被安装。
常见错误: N/A
是否为系统进程: 否
65.nwiz － nwiz.exe － 进程信息
进程文件: nwiz or nwiz.exe
进程名称: NVIDIA nView Control Panel
描述: NVIDIA nView控制面板在NVIDA显卡驱动中被安装，用于调整和设定。
常见错误: N/A
是否为系统进程: 否

66.osa － osa.exe － 进程信息
进程文件: osa or osa.exe
进程名称: Office Startup Assistant
描述: Microsoft Office启动助手，随Windows启动，增强启动、Office字体、命令和Outlook事务提醒等特性。
常见错误: N/A
是否为系统进程: 否
67.outlook － outlook.exe － 进程信息
进程文件: outlook or outlook.exe
进程名称: Microsoft Outlook
描述: Microsoft Outlook是一个Email客户端包括在Microsoft Office。
常见错误: N/A
是否为系统进程: 否

68.photoshop － photoshop.exe － 进程信息
进程文件: photoshop or photoshop.exe
进程名称: Adobe Photoshop
描述: Adobe Photoshop是一个图像编辑软件，能够打开和编辑照片和其它更多类型格式的图片。
常见错误: N/A
是否为系统进程: 否

69.point32 － point32.exe － 进程信息
进程文件: point32 or point32.exe
进程名称: Microsoft Intellimouse Monitor
描述: Microsoft Intellimouse Monitor添加一个鼠标设定图标在工具栏。
常见错误: N/A
是否为系统进程: 否

70.powerpnt － powerpnt.exe － 进程信息
进程文件: powerpnt or powerpnt.exe
进程名称: Microsoft PowerPoint
描述: Microsoft PowerPoint是一个演示软件包括在Microsoft Office。
常见错误: N/A
是否为系统进程: 否
71.pstores － pstores.exe － 进程信息
进程文件: pstores or pstores.exe
进程名称: Protected Storage Service
描述: Microsoft Protected Storage服务控制保密的内容密码。
常见错误: N/A
是否为系统进程: 否
72.qttask － qttask.exe － 进程信息
进程文件: qttask or qttask.exe
进程名称: Quick Time Tray Icon
描述: Quick Time任务栏图标在你运行Quick Time的时候启动。
常见错误: N/A
是否为系统进程: 否
73.realplay － realplay.exe － 进程信息
进程文件: realplay or realplay.exe
进程名称: Real Player
描述: Real Player是一个媒体播放器用来打开和播放音乐、声音和Real Media格式的视频文件。
常见错误: N/A
是否为系统进程: 否

74.rnaapp － rnaapp.exe － 进程信息
进程文件: rnaapp or rnaapp.exe
进程名称: Windows Modem Connection
描述: Windows Modem连接控制用以控制拨号modem连接。
常见错误: N/A
是否为系统进程: 否
75.rtvscan － rtvscan.exe － 进程信息
进程文件: rtvscan or rtvscan.exe
进程名称: Norton AntiVirus
描述: Norton Anti－Virus用以扫描你的文件和email中的病毒。
常见错误: N/A
是否为系统进程: 否
76.rundll32 － rundll32.exe － 进程信息
进程文件: rundll32 or rundll32.exe
进程名称: Windows RUNDLL32 Helper
描述: Windows Rundll32为了需要调用DLLs的程序。
常见错误: N/A
是否为系统进程: 否
77.sndrec32 － sndrec32.exe － 进程信息
进程文件: sndrec32 or sndrec32.exe
进程名称: Windows Sound Recorder
描述: Windows录音机用以播放和录制声音文件(.wav)。
常见错误: N/A
是否为系统进程: 否
78.sndvol32 － sndvol32.exe － 进程信息
进程文件: sndvol32 or sndvol32.exe
进程名称: Windows Volume Control
描述: Windows声音控制进程在任务栏驻留用以控制音量和声卡相关。
常见错误: N/A
是否为系统进程: 否
79.spoolss － spoolss.exe － 进程信息
进程文件: spoolss or spoolss.exe
进程名称: Printer Spooler Subsystem
描述: Windows打印机控制子程序用以调用需要打印的内容从磁盘到打印机。
常见错误: N/A
是否为系统进程: 否

80.starter － starter.exe － 进程信息
进程文件: starter or starter.exe
进程名称: Creative Labs Ensoniq Mixer Tray icon
描述: 状态栏图标在Creative Sound Mixer中被安装。为了Creative声卡 (Soundblaster)。
常见错误: N/A
是否为系统进程: 否
81.systray － systray.exe － 进程信息
进程文件: systray or systray.exe
进程名称: Windows Power Management
描述: Windows电源管理程序用以控制节能和恢复启动。
常见错误: N/A
是否为系统进程: 否
82.tapisrv － tapisrv.exe － 进程信息
进程文件: tapisrv or tapisrv.exe
进程名称: TAPI Service
描述: Windows Telephony (TAPI) 的后台服务程序。
常见错误: N/A
是否为系统进程: 否
83.userinit － userinit.exe － 进程信息
进程文件: userinit or userinit.exe
进程名称: UserInit Process
描述: UserInit程序运行登陆脚本，建立网络连接和启动Shell壳。
常见错误: N/A
是否为系统进程: 否
84.visio － visio.exe － 进程信息
进程文件: visio or visio.exe
进程名称: Microsoft Visio
描述: Microsoft Visio是一个图形化管理软件。
常见错误: N/A
是否为系统进程: 否
85.vptray － vptray.exe － 进程信息
进程文件: vptray or vptray.exe
进程名称: Norton AntiVirus
描述: Norton Anti－Virus扫描你的文件和email中的病毒。
常见错误: N/A
是否为系统进程: 否
86.vshwin32 － vshwin32.exe － 进程信息
进程文件: vshwin32 or vshwin32.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用以扫描你的文件和email中的病毒。
常见错误: N/A
是否为系统进程: 否
87.vsmon － vsmon.exe － 进程信息
进程文件: vsmon or vsmon.exe
进程名称: True Vector Internet Monitor
描述: True Vector Internet Monitor是ZoneAlarm个人防火墙的一部分，用以监视网络流经数据和攻击。
常见错误: N/A
是否为系统进程: 否
88.vsstat － vsstat.exe － 进程信息
进程文件: vsstat or vsstat.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用以扫描你的文件和email中的病毒。
常见错误: N/A
是否为系统进程: 否
89.wab － wab.exe － 进程信息
进程文件: wab or wab.exe
进程名称: Address Book
描述: 在Outlook中的地址薄。用来存放email地址、联系信息。
常见错误: N/A
是否为系统进程: 否
90.webscanx － webscanx.exe － 进程信息
进程文件: webscanx or webscanx.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用以扫描你的文件和email中的病毒。
常见错误: N/A
是否为系统进程: 否
91.winamp － winamp.exe － 进程信息
进程文件: winamp or winamp.exe
进程名称: WinAmp
描述: WinAmp Media Player是一个用来打开音乐、声音和视频文件以及用以管理Mp3文件的软件。
常见错误: N/A
是否为系统进程: 否
92.winhlp32 － winhlp32.exe － 进程信息
进程文件: winhlp32 or winhlp32.exe
进程名称: Windows Help
描述: Windows帮助文件察看程序，用来打开帮助文档。该程序被包括在很多的Windows程序中。
常见错误: N/A
是否为系统进程: 否
93.winoa386 － winoa386.mod － 进程信息
进程文件: winoa386 or winoa386.mod
进程名称: MS－DOS Console
描述: Windows MS－DOS控制台用以DOS命令和脚本。
常见错误: N/A
是否为系统进程: 否
94.winproj － winproj.exe － 进程信息
进程文件: winproj or winproj.exe
进程名称: Microsoft Project
描述: Microsoft Project是一个项目计划编制程序。
常见错误: N/A
95.winroute － winroute.exe － 进程信息
进程文件: winroute or winroute.exe
进程名称: WinRoute
描述: WinRoute是一个基于Windows的防火墙/路由/连接共享软件。
常见错误: N/A
是否为系统进程: 否
96.winword － winword.exe － 进程信息
进程文件: winword or winword.exe
进程名称: Microsoft Word
描述: Microsoft Word是一个字处理程序包括在Microsoft Office。
常见错误: N/A
是否为系统进程: 否

97.winzip32 － winzip32.exe － 进程信息
进程文件: winzip32 or winzip32.exe
进程名称: WinZip
描述: WinZip是一个文件压缩工具，用于创建，打开和解压zip文件。
常见错误: N/A
是否为系统进程: 否
98.wkcalrem － wkcalrem.exe － 进程信息
进程文件: wkcalrem or wkcalrem.exe
进程名称: Microsoft Works Calendar Reminder
描述: Microsoft Works Calendar Reminders工作日程提醒，在后台处理和显示弹出计划的工作日志提醒。
常见错误: N/A
是否为系统进程: 否
99.wkqkpick － wkqkpick.exe － 进程信息
进程文件: wkqkpick or wkqkpick.exe
进程名称: WinZip traybar icon
描述: WinZip的状态栏图标，被允许在Winzip启动时启动。
常见错误: N/A
是否为系统进程: 否
100.wmplayer － wmplayer.exe － 进程信息
进程文件: wmplayer or wmplayer.exe
进程名称: Windows Media Player
描述: Windows Media Player是一个用来打开和播放音乐，声音和视频的软件。
常见错误: N/A
是否为系统进程: 否

101.wordpad － wordpad.exe － 进程信息
进程文件: wordpad or wordpad.exe
进程名称: Wordpad
描述: Wordpad是一个字符编辑器用以打开和编辑txt和rtf档。
常见错误: N/A
是否为系统进程: 否
102.wowexec － wowexec.exe － 进程信息
进程文件: wowexec or wowexec.exe
进程名称: Windows On Windows Execution Process
描述: Windows On Windows Execution Support Process和ntvdm.exe作用类似，为了兼容16位应用程序。
常见错误: N/A
是否为系统进程: 否
103.ypager － ypager.exe － 进程信息
进程文件: ypager or ypager.exe
进程名称: Yahoo Messenger Helper
描述: Yahoo Messenger的状态栏图标，随Yahoo Messenger运行，是其一部分。
常见错误: N/A
是否为系统进程: 否

21.ctsvccda － ctsvccda.exe － 进程信息
进程文件: ctsvccda or ctsvccda.exe
进程名称: Create CD－ROM Services
描述: 在Win9X创建CD－ROM访问服务。
常见错误: N/A
是否为系统进程: 否
22.cutftp － cutftp.exe － 进程信息
进程文件: cutftp or cutftp.exe
进程名称: CuteFTP
描述: CuteFTP是一个流行的FTP客户端用于从FTP服务器上传/下载文件。
常见错误: N/A
是否为系统进程: 否
23.defwatch － defwatch.exe － 进程信息
进程文件: defwatch or defwatch.exe
进程名称: Norton AntiVirus
描述: Norton Anti－Virus扫描你的文件和email以检查病毒。
常见错误: N/A
是否为系统进程: 否
24.devldr32 － devldr32.exe － 进程信息
进程文件: devldr32 or devldr32.exe
进程名称: Create Device Loader
描述: Creative Device Loader属于Create Soundblaster驱动。
常见错误: N/A
是否为系统进程: 否
25.directcd － directcd.exe － 进程信息
进程文件: directcd or directcd.exe
进程名称: Adaptec DirectCD
描述: Adaptec DirectCD是一个用文件管理器式的界面，烧录文件到光盘的软件。
常见错误: N/A
是否为系统进程: 否
26.dreamweaver － dreamweaver.exe － 进程信息
进程文件: dreamweaver or dreamweaver.exe
进程名称: Macromedia DreamWeaver
描述: Macromedia DreamWeaver是一个HTML编辑器用于创建站点和其它类别的HTML文档。
常见错误: N/A
是否为系统进程: 否
27.em_exec － em_exec.exe － 进程信息
进程文件: em_exec or em_exec.exe
进程名称: Logitech Mouse Settings
描述: 这是Logitech MouseWare状态栏图标的进程，用于用户访问控制鼠标属性和察看MouseWare帮助。
常见错误: N/A
是否为系统进程: 否
28.excel － excel.exe － 进程信息
进程文件: excel or excel.exe
进程名称: Microsoft Excel
描述: Microsoft Excel是一个电子表格程序包括在Microsoft Office中。
常见错误: N/A
是否为系统进程: 否
29.findfast － findfast.exe － 进程信息
进程文件: findfast or findfast.exe
进程名称: Microsoft Office Indexing
描述: Microsoft Office索引程序，用于提高Microsoft Office索引Office文档的速度。
常见错误: N/A
是否为系统进程: 否
---crystalsky911【见习成员】 J
猫(27):30.frontpage － frontpage.exe － 进程信息
进程文件: frontpage or frontpage.exe
进程名称: Microsoft FrontPage
描述: Microsoft FrontPage是一个HTML编辑器用于创建站点和其它类别的HTML文档。
常见错误: N/A
是否为系统进程: 否
31.gmt － gmt.exe － 进程信息
进程文件: gmt or gmt.exe
进程名称: Gator Spyware Component
描述: Gator Spyware是一个广告插件，随Gator安装和启动。
常见错误: N/A
是否为系统进程: 否
32.hh － hh.exe － 进程信息
进程文件: hh or hh.exe
进程名称: Gator Windows Help
描述: Windows Help程序用以打开帮助文件和文档，包括在很多Windows程序中。
常见错误: N/A
是否为系统进程: 否
33.hidserv － hidserv.exe － 进程信息
进程文件: hidserv or hidserv.exe
进程名称: Microsoft Human Interface Device Audio Service
描述: 后台服务，用来支持USB音效部件和USB多媒体键盘。
常见错误: N/A
是否为系统进程: 否
34.icq － icq.exe － 进程信息
进程文件: icq or icq.exe
进程名称: ICQ
描述: ICQ是一个在线聊天和即时通讯客户端。
常见错误: N/A
是否为系统进程: 否
35.iexplore － iexplore.exe － 进程信息
进程文件: iexplore or iexplore.exe
进程名称: Internet Explorer
描述: Microsoft Internet Explorer网络浏览器透过HTTP访问WWW万维网。
常见错误: N/A
是否为系统进程: 否
36.irmon － irmon.exe － 进程信息
进程文件: irmon or irmon.exe
进程名称: Windows Infrared Port Monitor
描述: Windows IRMon进程用以监视红外线端口设备。
常见错误: N/A
是否为系统进程: 否
37.kodakimage － kodakimage.exe － 进程信息
进程文件: kodakimage or kodakimage.exe
进程名称: Imaging
描述: Kodak Imaging是一个图片察看软件。包括在Windows，用以打开图像文件。
常见错误: N/A
是否为系统进程: 否
38.loadqm － loadqm.exe － 进程信息
进程文件: loadqm or loadqm.exe
进程名称: MSN Queue Manager Loader
描述: MSN Queue Manager Loader被随着MSN Explorer和MSN Messenger安装。他在一些时候会占用很多系统资源。
常见错误: N/A
是否为系统进程: 否
39.loadwc － loadwc.exe － 进程信息
进程文件: loadwc or loadwc.exe
进程名称: Load WebCheck
描述: Load WebCheck用以定制一些Internet Explorer的设定，添加、删除或者更新用户profiles设定。
常见错误: N/A
是否为系统进程: 否
40.mad － mad.exe － 进程信息
进程文件: mad or mad.exe
进程名称: System Attendant Service
描述: System Attendant Service是Microsoft Exchange Server的后台程序。它用以读取Microsoft Exchange的DLLs文件，写log信息和生成离线地址薄。
常见错误: N/A
是否为系统进程: 否
41.mcshield － mcshield.exe － 进程信息
进程文件: mcshield or mcshield.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用以扫描你的文件和email中的病毒。
常见错误: N/A
是否为系统进程: 否
42.mgabg － mgabg.exe － 进程信息
进程文件: mgabg or mgabg.exe
进程名称: Matrox BIOS Guard
描述: Matrox BIOS守护进程。
常见错误: N/A
是否为系统进程: 否
43.mmc － mmc.exe － 进程信息
进程文件: mmmc or mmc.exe
进程名称: Microsoft Management Console
描述: Microsoft Management Console管理控制程序集成了很多的系统控制选项。例如设备管理（系统、硬件）或者计算机权限控制（Administrative管理工具）。
常见错误: N/A
是否为系统进程: 否
44.mobsync － mobsync.exe － 进程信息
进程文件: mobsync or mobsync.exe
进程名称: Microsoft Synchronization Manager
描述: Internet Explorer的一个组成部分，用以在后台同步离线察看页面。
常见错误: N/A
是否为系统进程: 否
45.mplayer － mplayer.exe － 进程信息
进程文件: mplayer or mplayer.exe
进程名称: Windows Media Player
描述: Windows Media Player是一个用以打开音乐、声音和视频文件的软件。
常见错误: N/A
是否为系统进程: 否
46.mplayer2 － mplayer2.exe － 进程信息
进程文件: mplayer2 or mplayer2.exe
进程名称: Windows Media Player
描述: Windows Media Player是一个用以打开音乐、声音和视频文件的软件。
常见错误: N/A
是否为系统进程: 否
47.msaccess － msaccess.exe － 进程信息
进程文件: msaccess or msaccess.exe
进程名称: Microsoft Access
描述: Microsoft Access是一个数据库软件包括在Microsoft Office。
常见错误: N/A
是否为系统进程: 否
48.msbb － msbb.exe － 进程信息
进程文件: msbb or msbb.exe
进程名称: MSBB Web3000 Spyware Application
描述: MSBB Web3000 Spyware是包括在一些adware产品中，利用注册表随Windows启动。
常见错误: N/A
是否为系统进程: 否
49.msdtc － msdtc.exe － 进程信息
进程文件: msdtc or msdtc.exe
进程名称: Distributed Transaction Coordinator
描述: Microsoft Distributed Transaction Coordinator控制多个服务器的传输，被安装在Microsoft Personal Web Server和Microsoft SQL Server。
常见错误: N/A
是否为系统进程: 否

50.msiexec － msiexec.exe － 进程信息
进程文件: msiexec or msiexec.exe
进程名称: Windows Installer Component
描述: Windows Installer的一部分。用来帮助Windows Installer package files (MSI)格式的安装文件。
常见错误: N/A
是否为系统进程: 否

51.msimn － msimn.exe － 进程信息
进程文件: msimn or msimn.exe
进程名称: Microsoft Outlook Express
描述: Microsoft Outlook Express是一个Email和新闻组客户端包括在Microsoft Windows。
常见错误: N/A
是否为系统进程: 否
52.msmsgs － msmsgs.exe － 进程信息
进程文件: msmsgs or msmsgs.exe
进程名称: MSN Messenger Traybar Process
描述: MSN Messenger是一个在线聊天和即时通讯客户端。
常见错误: N/A
是否为系统进程: 否
53.msoobe － msoobe.exe － 进程信息
进程文件: msoobe or msoobe.exe
进程名称: Windows Product Activation
描述: Windows XP License的Product Activation产品激活程序。
常见错误: N/A
是否为系统进程: 否
54.mspaint － mspaint.exe － 进程信息
进程文件: mspaint or mspaint.exe
进程名称: Microsoft Paint
描述: Microsoft Paint画图是一个图像编辑器包括在Microsoft Windows，它能够编辑bmp图像。
常见错误: N/A
是否为系统进程: 否
55.mspmspsv － mspmspsv.exe － 进程信息
进程文件: mspmspsv or mspmspsv.exe
进程名称: WMDM PMSP Service
描述: Windows Media Player 7需要安装的Helper Service。
常见错误: N/A
是否为系统进程: 否

21.spool32 － spool32.exe － 进程信息
进程文件: spool32 or spool32.exe
进程名称: Printer Spooler
描述: Windows打印任务控制程序，用以打印机就绪。
常见错误: N/A
是否为系统进程: 是
22.spoolsv － spoolsv.exe － 进程信息
进程文件: spoolsv or spoolsv.exe
进程名称: Printer Spooler Service
描述: Windows打印任务控制程序，用以打印机就绪。
常见错误: N/A
是否为系统进程: 是
23.stisvc － stisvc.exe － 进程信息
进程文件: stisvc or stisvc.exe
进程名称: Still Image Service
描述: Still Image Service用于控制扫描仪和数码相机连接在Windows。
常见错误: N/A
是否为系统进程: 是
24.svchost － svchost.exe － 进程信息
进程文件: svchost or svchost.exe
进程名称: Service Host Process
描述: Service Host Process是一个标准的动态连接库主机处理服务。
常见错误: N/A
是否为系统进程: 是
25.system － system － 进程信息
进程文件: system or system
进程名称: Windows System Process
描述: Microsoft Windows系统进程。
常见错误: N/A
是否为系统进程: 是
26.taskmon － taskmon.exe － 进程信息
进程文件: taskmon or taskmon.exe
进程名称: Windows Task Optimizer
描述: windows任务优化器监视你使用某个程序的频率，并且通过加载那些经常使用的程序来整理优化硬盘。
常见错误: N/A
是否为系统进程: 是
27.tcpsvcs － tcpsvcs.exe － 进程信息
进程文件: tcpsvcs or tcpsvcs.exe
进程名称: TCP/IP Services
描述: TCP/IP Services Application支持透过TCP/IP连接局域网和Internet。
常见错误: N/A
是否为系统进程: 是
28.winlogon － winlogon.exe － 进程信息
进程文件: winlogon or winlogon.exe
进程名称: Windows Logon Process
描述: Windows NT用户登陆程序。
常见错误: N/A
是否为系统进程: 是
29.winmgmt － winmgmt.exe － 进程信息
进程文件: winmgmt or winmgmt.exe
进程名称: Windows Management Service
描述: Windows Management Service透过Windows Management 包含umentation data (WMI)技术处理来自应用客户端的请求。
常见错误: N/A
是否为系统进程: 是

一般程序
1.absr － absr.exe － 进程信息
进程文件: absr or absr.exe
进程名称: Backdoor.Autoupder Virus
描述: 这个进程是Backdoor.Autoupder后门病毒程序创建的。
常见错误: N/A
是否为系统进程: 否
2.acrobat － acrobat.exe － 进程信息
进程文件: acrobat or acrobat.exe
进程名称: Adobe Acrobat
描述: Acrobat Writer用于创建PDF文档。
常见错误: N/A
是否为系统进程: 否
3.acrord32 － acrord32.exe － 进程信息
进程文件: acrord32 or acrord32.exe
进程名称: Acrobat Reader
描述: Acrobat Reader是一个用于阅读PDF文档的软件。
常见错误: N/A
是否为系统进程: 否
4.agentsvr － agentsvr.exe － 进程信息
进程文件: agentsvr or agentsvr.exe
进程名称: OLE automation server
描述: OLE Automation Server是Microsoft Agent的一部分。
常见错误: N/A
是否为系统进程: 否
5.aim － aim.exe － 进程信息
进程文件: aim or aim.exe
进程名称: AOL Instant Messenger
描述: AOL Instant Messenger是一个在线聊天和即时通讯IM软件客户端。
常见错误: N/A
是否为系统进程: 否
6.airsvcu － airsvcu.exe － 进程信息
进程文件: airsvcu or airsvcu.exe
进程名称: Microsoft Media Manager
描述: OLE 这是一个用于在硬盘上建立索引文件和文件夹，在Microsoft Media Manager媒体管理启动时运行的进程。它可以在控制面板被禁用。
常见错误: N/A
是否为系统进程: 否
7.alogserv － alogserv.exe － 进程信息
进程文件: alogserv or alogserv.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E－mail中的病毒。
常见错误: N/A
是否为系统进程: 否
8.avconsol － avconsol.exe － 进程信息
进程文件: avconsol or avconsol.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E－mail中的病毒。
常见错误: N/A
是否为系统进程: 否
9.avsynmgr － avsynmgr.exe － 进程信息
进程文件: avsynmgr or avsynmgr.exe
进程名称: McAfee VirusScan
描述: McAfee VirusScan是一个反病毒软件用于扫描你的文档和E－mail中的病毒。
常见错误: N/A
是否为系统进程: 否
10backWeb － backWeb.exe － 进程信息
进程文件: backWeb or backWeb.exe
进程名称: Backweb Adware
描述: Backweb是一个Adware（广告插件，一般是由于安装某些免费软件而伴随安装上的程序）来自Backweb Technologies。
常见错误: N/A
是否为系统进程: 否
11.bcb － bcb.exe － 进程信息
进程文件: bcb or bcb.exe
进程名称: Borland C++ Builder
描述: Borland C++ Builder
常见错误: N/A
是否为系统进程: 否
12.calc － calc.exe － 进程信息
进程文件: calc or calc.exe
进程名称: Calculator
描述: Microsoft Windows计算器程序
常见错误: N/A
是否为系统进程: 否
13.ccapp － ccapp.exe － 进程信息
进程文件: ccapp or ccapp.exe
进程名称: Symantec Common Client
描述: Symantec公用应用客户端包含在Norton AntiVirus 2003和Norton Personal Firewall 2003。
常见错误: N/A
是否为系统进程: 否
14.cdplayer － cdplayer.exe － 进程信息
进程文件: cdplayer or cdplayer.exe
进程名称: CD Player
描述: Microsoft Windows包含的CD播放器
常见错误: N/A
是否为系统进程: 否
15.charmap － charmap.exe － 进程信息
进程文件: charmap or charmap.exe
进程名称: Windows Character Map
描述: Windows字符映射表用来帮助你寻找不常见的字符。
常见错误: N/A
是否为系统进程: 否
16cidaemon － cidaemon.exe － 进程信息
进程文件: cidaemon or cidaemon.exe
进程名称: Microsoft Indexing Service
描述: 在后台运行的Windows索引服务，用于帮助你搜索文件在下次变得更快。
常见错误: N/A
是否为系统进程: 否
17.cisvc － cisvc.exe － 进程信息
进程文件: cisvc or cisvc.exe
进程名称: Microsoft Index Service Helper
描述: Microsoft Index Service Helper监视Microsoft Indexing Service (cidaemon.exe) 的内存占用情况，如果cidaemon.exe内存使用超过了40M，则自动重新启动该进程。
常见错误: N/A
是否为系统进程: 否
18.cmd － cmd.exe － 进程信息
进程文件: cmd or cmd.exe
进程名称: Windows Command Prompt
描述: Windows控制台程序。不像旧的command.com，cmd.exe是一个32位的命令行使用在WinNT/2000/XP。
常见错误: N/A
是否为系统进程: 否
19.cmesys － cmesys.exe － 进程信息
进程文件: cmesys or cmesys.exe
进程名称: Gator GAIN Adware
描述: Gator GAIN是一个Adware插件（广告插件，一般是由于安装某些免费软件而伴随安装上的程序）。
常见错误: N/A
是否为系统进程: 否
20.ctfmon － ctfmon.exe － 进程信息
进程文件: ctfmon or ctfmon.exe
进程名称: Alternative User Input Services
描述: 控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。
常见错误: N/A
是否为系统进程: 否

Windows系统进程应用小知识
你知道系统优先级是怎么调整的么？System Idle Process为何物？Phonetic.exe进程为何如此多？哪些进程可以删除？就让专家为你揭开答案。
－－－－－－－－－－－－－－－－－－－－－－－－
利用优先级
问：进程中有一个“设置优先级”，我查看了一下，发现都是“标准”，那么是不是需要对那些进程手工调整一下呢？
答：优先级是系统自动来调整的，一般无需我们自己调整。不过遇到特殊情况，调整一下对电脑使用有好处。比如你想一边看电影一边打文字或干别的什么话，那么就调整那个电影播放器的进程，设置为“低于标准”，系统提示“可能会导致系统不稳定”，不要管它，选“是”继续。这样前台程序就会比后台程序（播放软件）优先，系统会让前台程序优先执行，前台程序空闲的时候再让后台程序满负荷工作。这样就可以充分占用前台程序剩下的系统资源，达到对系统资源的高效利用。
System Idle Process为何物
问：在使用Windows XP的过程中，按“Ctrl+Alt+Del”键调出任务管理器，在进程中我发现一个名为“System Idle Process”的进程，它往往占用了大部分CPU资源，经常是80％以上，请问为什么它占用了那么多资源？
答：你误解了“System Idle Process”进程的意思了，这里的80％并不是你所想的占用CPU的资源，恰恰相反的是这里的80％以上是CPU资源空闲了出来的。这里的数字越大表示CPU可用资源越多，数字越小则表示CPU资源越紧张。该进程是系统必须的，不能禁止哦。
Phonetic.exe进程为何如此多
问：我使用的是Windows XP系统，最近在查看系统进程时发现进程中“Phonetic.exe”很多，大概有四个左右，请问它们是做什么的？是不是病毒啊？
答：Phonetic.exe文件对那些从动态连接库中运行的服务来说是一般性的宿主进程。电脑在启动的时候，Phonetic.exe检查注册表中的位置来构建需要加载的服务列表，加上运行软件时启动的DLL文件需要依附到Phonetic.exe进程上，这就会使多个Phonetic.exe在同一时间运行。不过，很多病毒也会利用这个进程，如前段时间的冲击波病毒，中招了就会提示“Phonetic.exe出现错误”。
哪些进程可以删除
问：我总是感觉系统进程中的进程太多了，这其中应该有不少是无用的吧？请问哪些我们可以禁止掉呢？
答：对于我们个人用户来说，系统中的进程的确有一些是用不到的。比如：systray.exe（显示系统托盘小喇叭图标）、ctfmon.exe（微软Office输入法）、mstask.exe（计划任务）、winampa.exe等，这些都是可有可无的进程，我们完全可以禁止它们，而不会影响到系统的正常运行。推荐“进程杀手”这款小软件，它具有自动精简进程功能，可自动中止系统基本进程以外的所有进程的功能，另外对木马和病毒进程也有一定清除作用。
同时运行许多Phonetic进程

【system process】 － 【system process】 － 进程信息

1.【system process】 － 【system process】 － 进程信息
进程文件: 【system process】 or 【system process】
进程名称: Windows内存处理系统进程
描述: Windows页面内存管理进程，拥有0级优先。
常见错误: N/A
是否为系统进程: 是
2.alg － alg.exe － 进程信息
进程文件: alg or alg.exe
进程名称: 应用层网关服务
描述: 这是一个应用层网关服务用于网络共享。
常见错误: N/A
是否为系统进程: 是

3.csrss － csrss.exe － 进程信息
进程文件: csrss or csrss.exe
进程名称: Client/Server Runtime Server Subsystem
描述: 客户端服务子系统，用以控制Windows图形相关子系统。
常见错误: N/A
是否为系统进程: 是
4.ddhelp － ddhelp.exe － 进程信息
进程文件: ddhelp or ddhelp.exe
进程名称: DirectDraw Helper
描述: DirectDraw Helper是DirectX这个用于图形服务的一个组成部分。
常见错误: N/A
是否为系统进程: 是
5.dllhost － dllhost.exe － 进程信息
进程文件: dllhost or dllhost.exe
进程名称: DCOM DLL Host进程
描述: DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。
常见错误: N/A
是否为系统进程: 是
6.explorer － explorer.exe － 进程信息
进程文件: explorer or explorer.exe
进程名称: 程序管理
描述: Windows Program Manager或者Windows Explorer用于控制Windows图形Shell，包括开始菜单、任务栏，桌面和文件管理。
常见错误: N/A
是否为系统进程: 是
7.inetinfo － inetinfo.exe － 进程信息
进程文件: inetinfo or inetinfo.exe
进程名称: IIS Admin Service Helper
描述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug调试除错。
常见错误: N/A
是否为系统进程: 是
8.internat － internat.exe － 进程信息
进程文件: internat or internat.exe
进程名称: Input Locales
描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。
常见错误: N/A
是否为系统进程: 是
9.kernel32 － kernel32.dll － 进程信息
进程文件: kernel32 or kernel32.dll
进程名称: Windows壳进程
描述: Windows壳进程用于管理多线程、内存和资源。
常见错误: N/A
是否为系统进程: 是
10.lsass － lsass.exe － 进程信息
进程文件: lsass or lsass.exe
进程名称: 本地安全权限服务
描述: 这个本地安全权限服务控制Windows安全机制。
常见错误: N/A
是否为系统进程: 是
11.mdm － mdm.exe － 进程信息
进程文件: mdm or mdm.exe
进程名称: Machine Debug Manager
描述: Debug除错管理用于调试应用程序和Microsoft Office中的Microsoft 脚本 Editor脚本编辑器。
常见错误: N/A
是否为系统进程: 是
12.mmtask － mmtask.tsk － 进程信息
进程文件: mmtask or mmtask.tsk
进程名称: 多媒体支持进程
描述: 这个Windows多媒体后台程序控制多媒体服务，例如MIDI。
常见错误: N/A
是否为系统进程: 是
13.mprexe － mprexe.exe － 进程信息
进程文件: mprexe or mprexe.exe
进程名称: Windows路由进程
描述: Windows路由进程包括向适当的网络部分发出网络请求。
常见错误: N/A
是否为系统进程: 是
14.msgsrv32 － msgsrv32.exe － 进程信息
进程文件: msgsrv32 or msgsrv32.exe
进程名称: Windows信使服务
描述: Windows信使服务调用Windows驱动和程序管理在启动。
常见错误: N/A
是否为系统进程: 是
15.mstask － mstask.exe － 进程信息
进程文件: mstask or mstask.exe
进程名称: Windows计划任务
描述: Windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。
常见错误: N/A
是否为系统进程: 是
16.regsvc － regsvc.exe － 进程信息
进程文件: regsvc or regsvc.exe
进程名称: 远程注册表服务
描述: 远程注册表服务用于访问在远程计算机的注册表。
常见错误: N/A
是否为系统进程: 是
17.rpcss － rpcss.exe － 进程信息
进程文件: rpcss or rpcss.exe
进程名称: RPC Portmapper
描述: Windows 的RPC端口映射进程处理RPC调用(远程模块调用)然后把它们映射给指定的服务提供者。
常见错误: N/A
是否为系统进程: 是
18.services － services.exe － 进程信息
进程文件: services or services.exe
进程名称: Windows Service Controller
描述: 管理Windows服务。
常见错误: N/A
是否为系统进程: 是
19.smss － smss.exe － 进程信息
进程文件: smss or smss.exe
进程名称: Session Manager Subsystem
描述: 该进程为会话管理子系统用以初始化系统变量，MS－DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。
常见错误: N/A
是否为系统进程: 是
20.snmp － snmp.exe － 进程信息
进程文件: snmp or snmp.exe
进程名称: Microsoft SNMP Agent
描述: Windows简单的网络协议代理（SNMP）用于监听和发送请求到适当的网络部分。
常见错误: N/A
是否为系统进程: 是

2000系统进程总列表详解
最基本的系统进程（也就是说，这些进程是系统运行的基本条件，有了这些进程，系统就能正常运行）
smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) 产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) ->netlogon
svchost.exe 包含很多系统服务 !!!->eventsystem,
(SPOOLSV.EXE 将文件加载到内存中以便迟后打印。)
explorer.exe 资源管理器
(internat.exe 托盘区的拼音图标)  
==================================================================== 附加的系统进程（这些进程不是必要的，你可以根据需要通过服务管理器来增加或减少）
mstask.exe 允许程序在指定时间运行。(系统服务)->schedule
regsvc.exe 允许远程注册表操作。(系统服务)->remoteregister
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe->msftpsvc,w3svc,iisadmn
tlntsvr.exe->tlnrsvr
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务)
termsrv.exe ->termservice
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)

=================================================================
以下全是系统服务,并且很少会用到，如果你暂时用不着,应该关掉(对安全有害 )
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务)->simptcp
支持以下 TCP/IP 服务：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库.->rpclocator(区 RpcSs)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”，以便可以从远程剪贴簿查阅剪贴页面。(系统服务)
msdtc.exe 并列事务，是分布于两个以上的数据库，消息队列，文件系统，或其它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)!!!
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件，并且将重复文件指向一个数据存储点，以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息，然后将消息传递到运行在这台计算机上 SNMP 管理程序。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)

Windows 死机密码
使用Windows出现蓝色屏幕是经常的事，而且每每因为不清楚错误的来源而频繁重新安装系统，劳神费时。下列收集了一些Windows死机密码，供大家参考。
0x0000 操作完成
0x0001 不正确的函数
0x0002 系统找不到指定的文件
0x0003 系统找不到指定的路径
0x0004 系统无法打开文件
0x0005 拒绝存取
0x0006 无效的代码
0x0007 内存控制模块已损坏
0x0008 内存空间不足，无法处理这个指令
0x0009 内存控制模块地址无效
0x000a 环境不正确
0x000b 尝试载入一个格式错误的程序
0x000c 存取码错误
0x000d 资料错误
0x000e 内存空间不够，无法完成这项操作
0x000f 系统找不到制定的硬盘
0x0010 无法移除目录
0x0011 系统无法将文件移到其他的硬盘
0x0012 没有任何文件
0x0019 找不到指定的扇区或磁道
0x001a 指定的磁盘或磁片无法存取
0x001b 磁盘找不到要求的扇区
0x001c 打印机没有纸
0x001d 系统无法将资料写入制定的磁盘
0x001e 系统无法读取指定的装置
0x001f 连接到系统的某个装置没有作用
0x0021 文件的一部分被锁定
0x0024 开启的分享文件数量太多
0x0026 到达文件结尾
0x0027 磁盘已满
0x0036 网络繁忙
0x003b 网络发生意外的错误
0x0043 网络名称找不到
0x0050 文件已经存在
0x0052 无法建立目录或文件
0x0053 int24失败
0x006b 因为代用的磁盘尚未插入，所以程序已经停止
0x006c 磁盘正在使用中或被锁定
0x006f 文件名太长
0x0070 硬盘空间不足
0x007f 找不到指定的程序
0x045b 系统正在关机
0x045c 无法种植系统关机，因为没有关机的动作在进行中
0x046a 可用服务器储存空间不足，无法处理这项指令
0x047e 指定的程序需要新的Windows版本
0x047f 指定的程序不是Windows或MS-DOS程序
0x0480 指定的程序已经启动，无法再启动一次
0x0481 指定的程序是为旧版的Windows所写的
0x0482 执行此应用程序所需的程序库文件之一毁坏
0x0483 没有应用程序与此项操作的指定文件建立关联
0x0484 传送指令到应用程序发生错误
0x04b0 指定的装置名称无效
0x05a2 窗口不是子窗口
0x05aa 系统资源不足，无法完成所要求的服务
0x05ab 系统子还不足，无法完成所需要的服务
0x05ac 系统资源不足，无法完成所要求的服务
0x06b9 资源不足，无法完成操作