开机进程，应该启动哪些服务？

Posted 2023-05-09

我重新装了系统，发现只有10多个进程(以前有20多个），使用部分软件有问题，我用360开启了系统服务，问题得到解决，不过开机一看有40个进程，启动慢，我又关了部分进程，现在25左右，不过问题又来了，有以下问题：
打开网页慢，要等10秒（以前只要2秒左右）；
开机慢，在滚动条处和正在启动处要等很久（分别要30秒左右）；
哪些系统服务应该开哦？要进程少，并且能解决这些问题！
求救！

Windows XP 系统进程说明 以后是复制作的，希望你们认真的看一下,以后不要随便瞎弄

System Idle Process

Windows页面内存管理进程，该进程拥有0级优先。它作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU资源紧张。

System

Microsoft Windows系统进程。

smss.exe
c:\windows\system32\smss.exe

Session Manager Subsystem，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。它是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Winlogon，Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程时正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应(挂起)。要注意：如果系统中出现了不只一个smss.exe进程，而且有的smss.exe路径是"%WINDIR%\SMSS.EXE"，那就是中了TrojanClicker.Nogard.a病毒，这是一种Windows下的PE病毒，它采用VB6编写 ，是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项，还会修改系统文件WIN.INI，并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe，再删除%WINDIR%下的smss.exe文件，然后清除它在注册表和WIN.INI文件中的相关项即可。

csrss.exe
c:\windows\system32\csrss.exe

Client/Server Runtime Server Subsystem，客户端服务子系统，用以控制Windows图形相关子系统。正常情况下在Windows NT4/2000/XP/2003系统中只有一个CSRSS.EXE进程，正常位于System32文件夹中，若以上系统中出现两个(其中一个位于Windows文件夹中)，或在Windows 9X/Me系统中出现该进程，则是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。另外，目前新浪利用了系统漏洞传播的一个类似于病毒的小插件，它会产生名为nmgamex.dll、sinaproc327.exe、csrss.exe三个常驻文件，并且在系统启动项中自动加载，在桌面产生一个名为“新浪游戏总动园”的快捷方式，不仅如此，新浪还将Nmgamex.dll文件与系统启动文件rundll32.exe进行绑定，并且伪造系统文件csrss.exe，产生一个同名的文件与系统绑定加载到系统启动项内，无法直接关闭系统进程后删除。手工清除方法：先先修改注册表，清除名为启动项：NMGameX.dll、csrss.exe，然后删除System32\NMGameX.dll、System32\sinaproc327.exe和Windows\NMWizardA14.exe三个文件，再修改Windows文件夹中的csrss.exe文件为任意一个文件名，从新启动计算机后删除修改过的csrss.exe文件。

winlogon.exe
c:\windows\system32\winlogon.exe

Windows Logon Process，Windows NT用户登陆程序。这个进程是管理用户登录和退出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了，显示安全对话框。

services.exe
c:\windows\system32\services.exe

Windows Service Controller，管理Windows服务。大多数的系统核心模式进程是作为系统进程在运行。打开管理工具中的服务，可以看到有很多服务都是在调用service.exe。

lsass.exe
c:\windows\system32\lsass.exe

本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。而windows活动目录远程堆栈溢出漏洞，正是利用LDAP 3搜索请求功能对用户提交请求缺少正确缓冲区边界检查，构建超过1000个"AND"的请求，并发送给服务器，导致触发堆栈溢出，使Lsass.exe服务崩溃，系统在30秒内重新启动。这里请记住该进程的正常路径为C:\WINDOWS\system32，一些病毒，如W32.Nimos.Worm病毒会在其它位置模仿LSASS.EXE来运行。

svchost.exe
c:\windows\system32\svchost.exe

Service Host Process是一个标准的动态连接库主机处理服务。Svchost.exe文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的Windows\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。Windows 2000一般有2个Svchost进程，一个是RPCSS(Remote Procedure Call)服务进程，另外一个则是由很多服务共享的一个Svchost.exe；而在windows XP中，则一般有4个以上的Svchost.exe服务进程；Windows 2003 server中则更多。Svchost.exe是一个系统的核心进程，并不是病毒进程。但由于Svchost.exe进程的特殊性，所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会在C:\Windows\System32目录下找到一个Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了。

spoolsv.exe
c:\windows\system32\spoolsv.exe

Printer Spooler Service，Windows打印任务控制程序，用以打印机就绪。缓冲(spooler)服务是管理缓冲池中的打印和传真作业。

explorer.exe
c:\windows\explorer.exe

Windows Explorer用于控制Windows图形Shell，包括开始菜单、任务栏，桌面和文件管理。这是一个用户的shell，在我们看起来就像任务条，桌面等等。或者说它就是资源管理器，不相信你在运行里执行它看看。它对Windows系统的稳定性还是比较重要的，而红码也就是找它的麻烦，在c和d根下创建explorer.exe。

ctfmon.exe
c:\windows\system32\ctfmon.exe

Alternative User Input Services，控制Alternative User Input Text Processor (TIP)和Microsoft Office语言条。Ctfmon.exe提供语音识别、手写识别、键盘、翻译和其它用户输入技术的支持。

inetinfo.exe
c:\windows\system32\inetsrv\inetinfo.exe

IIS Admin Service Helper，InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug调试除错。IIS服务进程，蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。

nvsvc32.exe
c:\windows\system32\nvsvc32.exe

NVIDIA Driver Helper Service在NVIDA显卡驱动中被安装。

wdfmgr.exe
c:\windows\system32\wdfmgr.exe

Windows Driver Foundation Manager，Microsoft Windows Media Player 10的一部分,减少Microsoft Windows Media player 10一些问题出现。

wscntfy.exe
c:\windows\system32\wscntfy.exe

Windows安全中心(Windows Security Center)，它负责检查计算机的安全状态，包括防火墙、病毒防护软件、自动更新三个安全要素，这正是系统安全最重要的三个部分。如果系统中没有启用防火墙和自动更新，或者没有安装防病毒软件，默认情况下系统会在托盘区出现“Windows安全警报”的盾形图标，提示系统当前所处的安全状态，双击后可以进入安全中心了解系统提供的安全建议。

alg.exe
c:\windows\system32\alg.exe

应用层网关服务，用于网络共享。

conime.exe
c:\windows\system32\conime.exe

Console IME(IME控制台)，conime.exe是输入法编辑器，允许用户使用标准键盘就能输入复杂的字符与符号。它也是病毒光顾的常客，是否有毒，关键看它是否不可中止或无规律自动激活，如果是，那就是被病毒感染了。 参考技术A 打开网页慢。和网速有很大的关系的。

开机慢，是在检测，这影响不大，可以在注册表里面修改。

你用了360可以用软件管家。高级里面有个开机优化 参考技术B 下一个进程查看器呀。可以看一下每一个进程的作用的！ 参考技术C 360套装装上就可以知道了

linux开机启动会依次加载哪些脚本？

参考技术A 1、相关基础知识点\\x0d\\x0a 1）redhat的启动方式和执行次序是： \\x0d\\x0a加载内核 \\x0d\\x0a执行init程序 \\x0d\\x0a /etc/rc.d/rc.sysinit # 由init执行的第一个脚本 \\x0d\\x0a /etc/rc.d/rc $RUNLEVEL # $RUNLEVEL为缺省的运行模式 \\x0d\\x0a /etc/rc.d/rc.local #相应级别服务启动之后、在执行该文件（其实也可以把需要执行的命令写到该文件中）\\x0d\\x0a /sbin/mingetty # 等待用户登录 \\x0d\\x0a\\x0d\\x0a在Redhat中，/etc/rc.d/rc.sysinit主要做在各个运行模式中相同的初始化工作，包括： \\x0d\\x0a调入keymap以及系统字体 \\x0d\\x0a启动swapping \\x0d\\x0a设置主机名 \\x0d\\x0a设置NIS域名 \\x0d\\x0a检查（fsck）并mount文件系统 \\x0d\\x0a打开quota \\x0d\\x0a装载声卡模块 \\x0d\\x0a设置系统时钟 \\x0d\\x0a\\x0d\\x0a等等。 \\x0d\\x0a /etc/rc.d/rc则根据其参数指定的运行模式(运行级别，你在inittab文件中可以设置)来执行相应目录下的脚本。凡是以Kxx开头的，都以stop为参数来调用；凡是以Sxx开头的，都以start为参数来调用。调用的顺序按xx从小到大来执行。(其中xx是数字、表示的是启动顺序)例如，假设缺省的运行模式是3，/etc/rc.d/rc就会按上述方式调用 /etc/rc.d/rc3.d/下的脚本。 \\x0d\\x0a\\x0d\\x0a值得一提的是，Redhat中的运行模式2、3、5都把/etc/rc.d/rc.local做为初始化脚本中的最后一个，所以用户可以自己在这个文件中添加一些需要在其他初始化工作之后，登录之前执行的命令。 \\x0d\\x0a init在等待/etc/rc.d/rc执行完毕之后（因为在/etc/inittab中/etc/rc.d/rc的 \\x0d\\x0a action是wait），将在指定的各个虚拟终端上运行/sbin/mingetty，等待用户的登录。 \\x0d\\x0a\\x0d\\x0a至此，LINUX的启动结束。\\x0d\\x0a 2、init运行级别及指令\\x0d\\x0a\\x0d\\x0a一、什么是INIT: \\x0d\\x0a　　init是Linux系统操作中不可缺少的程序之一。 \\x0d\\x0a　　所谓的init进程，它是一个由内核启动的用户级进程。 \\x0d\\x0a　　内核自行启动（已经被载入内存，开始运行，并已初始化所有的设备驱动程序和数据结构等）之后，就通过启动一个用户级程序init的方式，完成引导进程。所以,init始终是第一个进程（其进程编号始终为1）。 \\x0d\\x0a　　内核会在过去曾使用过init的几个地方查找它，它的正确位置（对Linux系统来说）是/sbin/init。如果内核找不到init，它就会试着运行/bin/sh，如果运行失败，系统的启动也会失败。\\x0d\\x0a　　二、运行级别 \\x0d\\x0a　　那么，到底什么是运行级呢？ \\x0d\\x0a　　简单的说，运行级就是操作系统当前正在运行的功能级别。这个级别从1到6 ，具有不同的功能。 \\x0d\\x0a　　不同的运行级定义如下 \\x0d\\x0a　　# 0 - 停机（千万不能把initdefault 设置为0 ） \\x0d\\x0a　　# 1 - 单用户模式 # s init s = init 1\\x0d\\x0a　　# 2 - 多用户，没有 NFS \\x0d\\x0a　　# 3 - 完全多用户模式(标准的运行级) \\x0d\\x0a　　# 4 - 没有用到 \\x0d\\x0a　　# 5 - X11 多用户图形模式（xwindow) \\x0d\\x0a　　# 6 - 重新启动 （千万不要把initdefault 设置为6 ） \\x0d\\x0a　　这些级别在/etc/inittab 文件里指定。这个文件是init 程序寻找的主要文件，最先运行的服务是放在/etc/rc.d 目录下的文件。在大多数的Linux 发行版本中，启动脚本都是位于 /etc/rc.d/init.d中的。这些脚本被用ln 命令连接到 /etc/rc.d/rcn.d 目录。(这里的n 就是运行级0-6) \\x0d\\x0a 3）：chkconfig 命令（redhat 操作系统下）\\x0d\\x0a\\x0d\\x0a不像DOS 或者 Windows，Linux 可以有多种运行级。常见的就是多用户的2,3,4,5 ，很多人知道 5 是运行 X-Windows 的级别，而 0 就\\x0d\\x0a是关机了。运行级的改变可以通过 init 命令来切换。例如，假设你要维护系统进入单用户状态，那么，可以使用 init 1 来切换。在 Linux 的运行级的切换过程中，系统会自动寻找对应运行级的目录/etc/rc[0-6].d下的K 和 S 开头的文件，按后面的数字顺序，执行这\\x0d\\x0a些脚本。对这些脚本的维护，是很繁琐的一件事情，Linux 提供了chkconfig 命令用来更新和查询不同运行级上的系统服务。 \\x0d\\x0a\\x0d\\x0a语法为： \\x0d\\x0a chkconfig --list [name] \\x0d\\x0a chkconfig --add name \\x0d\\x0a chkconfig --del name \\x0d\\x0a chkconfig [--level levels] name \\x0d\\x0a chkconfig [--level levels] name \\x0d\\x0a chkconfig 有五项功能：添加服务，删除服务，列表服务，改变启动信息以及检查特定服务的启动状态。 \\x0d\\x0a chkconfig 没有参数运行时，显示用法。如果加上服务名，那么就检查这个服务是否在当前运行级启动。如果是，返回 true，否则返回false。 --level 选项可以指定要查看的运行级而不一定是当前运行级。 \\x0d\\x0a\\x0d\\x0a如果在服务名后面指定了on，off 或者 reset，那么 chkconfig 会改变指定服务的启动信息。on 和 off 分别指服务在改变运行级时的启动和停止。reset 指初始化服务信息，无论有问题的初始化脚本指定了什么。 \\x0d\\x0a\\x0d\\x0a对于 on 和 off 开关，系统默认只对运行级 3，4， 5有效，但是 reset 可以对所有运行级有效。指定 --level 选项时，可以选择特定的运行级。 \\x0d\\x0a \\x0d\\x0a需要说明的是，对于每个运行级，只能有一个启动脚本或者停止脚本。当切换运行级时，init 不会重新启动已经启动的服务，也不会再次去停止已经停止的服务。 \\x0d\\x0a\\x0d\\x0a选项介绍： \\x0d\\x0a --level levels \\x0d\\x0a\\x0d\\x0a指定运行级，由数字 0 到 7 构成的字符串，如： \\x0d\\x0a --level 35 表示指定运行级3 和5。 \\x0d\\x0a\\x0d\\x0a要在运行级别3、4、5中停运 nfs 服务，使用下面的命令：chkconfig --level 345 nfs off \\x0d\\x0a --add name \\x0d\\x0a\\x0d\\x0a这个选项增加一项新的服务，chkconfig 确保每个运行级有一项启动(S) 或者 杀死(K) 入口。如有缺少，则会从缺省的init 脚本自动\\x0d\\x0a建立。 \\x0d\\x0a --del name \\x0d\\x0a\\x0d\\x0a用来删除服务，并把相关符号连接从 /etc/rc[0-6].d 删除。 \\x0d\\x0a --list name \\x0d\\x0a\\x0d\\x0a列表，如果指定了name 那么只是显示指定的服务名，否则，列出全部服务在不同运行级的状态。 \\x0d\\x0a\\x0d\\x0a运行级文件 \\x0d\\x0a\\x0d\\x0a每个被chkconfig 管理的服务需要在对应的init.d 下的脚本加上两行或者更多行的注释。 \\x0d\\x0a\\x0d\\x0a第一行告诉 chkconfig 缺省启动的运行级以及启动和停止的优先级。如果某服务缺省不在任何运行级启动，那么使用 - 代替运行级。 \\x0d\\x0a\\x0d\\x0a第二行对服务进行描述，可以用 跨行注释。 \\x0d\\x0a\\x0d\\x0a例如，random.init 包含三行： \\x0d\\x0a # chkconfig: 2345 20 80 \\x0d\\x0a # description: Saves and restores system entropy pool for \\x0d\\x0a # higher quality random number generation. \\x0d\\x0a\\x0d\\x0a表明 random 脚本应该在运行级 2, 3, 4, 5 启动，启动优先权为20，停止优先权为 80。 \\x0d\\x0a\\x0d\\x0a好了，介绍就到这里了，去看看自己目录下的/etc/rc.d/init.d 下的脚本吧。 \\x0d\\x0a\\x0d\\x0a设置自启动服务:chkconfig --level 345 nfs on \\x0d\\x0a2. 实例介绍：\\x0d\\x0a 1、在linux下安装了apache 服务（通过下载二进制文件经济编译安装、而非rpm包）、apache 服务启动命令： /server/apache/bin/apachectl start 。让apache服务运行在运行级别3下面。\\x0d\\x0a命令如下： \\x0d\\x0a 1）touch /etc/rc.d/init.d/apache\\x0d\\x0a vi /etc/rc.d/init.d/apache\\x0d\\x0a chown -R root /etc/rc.d/init.d/apache\\x0d\\x0a chmod 700 /etc/rc.d/init.d/apache\\x0d\\x0a ln -s /etc/rc.d/init.d/apache /etc/rc.d/rc3.d/S60apache #S 是start的简写、代表启动、K是kill的简写、代表关闭。60数字\\x0d\\x0a代表启动的顺序。（对于iptv系统而言、许多服务都是建立在数据库启动的前提下才能够正常启动的、可以通过该数字就行调整脚本的启动顺序）） \\x0d\\x0a apache的内容：\\x0d\\x0a #!/bin/bash\\x0d\\x0a #Start httpd service\\x0d\\x0a /server/apache/bin/apachectl start\\x0d\\x0a\\x0d\\x0a至此 apache服务就可以在运行级别3下 随机自动启动了。（可以结合chkconfig 对启动服务进行相应的调整）。\\x0d\\x0a由于相关变量定义不同, 所以以下启动顺序仅供参考\\x0d\\x0a在Redhat Redflag centos fc linux系统里面脚本的启动\\x0d\\x0a先后：\\x0d\\x0a第一步：通过/boot/vm进行启动 vmlinuz\\x0d\\x0a第二步：init /etc/inittab\\x0d\\x0a第三步：启动相应的脚本，并且打开终端\\x0d\\x0arc.sysinit\\x0d\\x0arc.d(里面的脚本）\\x0d\\x0arc.local\\x0d\\x0a第四步：启动login登录界面 login\\x0d\\x0a第五步:在用户登录的时候执行sh脚本的顺序：每次登录的时候都会完全执行的\\x0d\\x0a/etc/profile.d/file\\x0d\\x0a/etc/profile\\x0d\\x0a/etc/bashrc\\x0d\\x0a/root/.bashrc\\x0d\\x0a/root/.bash_profile\\x0d\\x0a编者注：\\x0d\\x0aNtsysv命令也可以实现根据不同运行级别启动不同的服务，但是一定要注意，使用ntsysv命令，默认采用图形的方式管理服务的启动，但是在这种情况下设置的服务，只对当前的运行级别有效果！因此，建议最好还是使用 chkconfig 来进行服务的管理。