我的系统有两个dllhost.exe正常吗？但任务管理器里只有一个，是不是冲击波病毒啊？

我的系统有两个dllhost.exe正常吗？但任务管理器里只有一个，是不是冲击波病毒啊？

放心，没关系的System Idle Process：Windows页面内存管理进程，该进程拥有0级优先。它作为单线程运行在每个处理器上，并在系统不处理其他线程的时候分派处理器的时间。它的cpu占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU资源紧张。ALG.EXE：这是一个应用层网关服务用于网络共享。它一个网关通信插件的管理器，为“Internet连接共享服务”和“Internet连接防火墙服务”提供第三方协议插件的支持。csrss.exe：Client/Server Runtime ServerSubsystem，客户端服务子系统，用以控制Windows图形相关子系统。正常情况下在WindowsNT4/2000/XP/2003系统中只有一个CSRSS.EXE进程，正常位于System32文件夹中，若以上系统中出现两个(其中一个位于Windows文件夹中)，或在Windows 9X/Me系统中出现该进程，则是感染了Trojan.Gutta或W32.Netsky.AB@mm病毒。另外，目前新浪利用了系统漏洞传播的一个类似于病毒的小插件，它会产生名为nmgamex.dll、sinaproc327.exe、csrss.exe三个常驻文件，并且在系统启动项中自动加载，在桌面产生一个名为“新浪游戏总动园”的快捷方式，不仅如此，新浪还将Nmgamex.dll文件与系统启动文件rundll32.exe进行绑定，并且伪造系统文件csrss.exe，产生一个同名的文件与系统绑定加载到系统启动项内，无法直接关闭系统进程后删除。手工清除方法：先先修改注册表，清除名为启动项：NMGameX.dll、csrss.exe，然后删除System32NMGameX.dll、System32sinaproc327.exe和WindowsNMWizardA14.exe三个文件，再修改Windows文件夹中的任意一个文件名，从新启动计算机后删除修改过的csrss.exe文件。ddhelp.exe：DirectDraw Helper是DirectX这个用于图形服务的一个组成部分，DirectX帮助程序。dllhost.exe：DCOM DLL Host进程支持基于COM对象支持DLL以运行Windows程序。如果该进程常常出错，那么可能感染Welchia病毒。explorer.exe：Windows Explorer用于控制Windows图形Shell，包括开始菜单、任务栏，桌面和文件管理。这是一个用户的shell，在我们看起来就像任务条，桌面等等。或者说它就是资源管理器，不相信你在运行里执行它看看。它对Windows系统的稳定性还是比较重要的，而红码也就是找它的麻烦，在c和d根下创建explorer.exe。inetinfo.exe：IIS Admin Service Helper，InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug调试除错。IIS服务进程，蓝码正是利用的inetinfo.exe的缓冲区溢出漏洞。internat.exe：Input Locales，它主要是用来控制输入法的，当你的任务栏没有“EN”图标，而系统有internat.exe进程，不妨结束掉该进程，在运行里执行internat命令即可。这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置HKEY_USERS.DEFAULTKeyboard LayoutPreload 加载内容的。internat.exe 加载“EN”图标进入系统的图标区，允许使用者可以很容易的转换不同的输入点。当进程停掉的时候，图标就会消失，但是输入点仍然可以通过控制面板来改变。lsass.exe：本地安全权限服务控制Windows安全机制。管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序等。它会为使用winlogon服务的授权用户生成一个进程。这个进程是通过使用授权的包，例如默认的msgina.dll来执行的。如果授权是成功的，lsass就会产生用户的进入令牌，令牌别使用启动初

冲击波杀手借用了dllhost.exe作为进程名，但是由于Windows不允许同一个目录下有同名文件的存在，因此，冲击波杀手把病毒体：dllhost.exe放到了C:\Windows\System32\Wins目录里面（Windows 2000是C:\WINNT\System32\Wins，全部假设系统安装在C盘），但是真正的dllhost.exe应该放 在C:\Windows\System32（Windows 2000是C:\WINNT\System32） 　　 　　换句话说就是：冲击波（Worm.WelChia）为了迷惑用户，避免病毒的执行体被进程管理器终止，采用了dllhost.e xe这个和Windows组件一样的名字，但是并不是说进程里面出现dllhost.exe就等于感染了worm.welchi a 　　 　　再看看这里的FAQ吧 　　 　　第一个误区————进程出现Dllhost.exe就等于中了病毒 　　Dllhost.exe是系统文件，但是进程里面出现Dllhost.exe进程不等于中了病毒 　　 　　第二个误区————一见Dllhost.exe进程就杀死 　　其实这样做是不好的。很多程序都需要Dllhost.exe，例如KV2004实时监控运行的时候或IIS在解析一些ASP文件 的时候，进程中都会出现Dllhost.exe 　　 　　之所以大家恐惧Dllhost.exe进程，恐怕是由于冲击波（杀手）的问题。 　　其实冲击波（杀手）只不过采取了一个偷梁换柱的方法。因为任务管理器里面无法看出进程中exe文件的路径，所以让大家在分析问题 的时候出现一些偏差。 　　 　　感染冲击波（杀手）的典型特征不是进程中出现Dllhost.exe，而是RPC服务出现问题（冲击波）和System32\w ins目录里面出现svchost.exe和dllhost.exe文件（冲击波杀手）。注意路径！！ 　　 　　那么，Dllhost.exe是什么呢？Dllhost.exe是 COM+ 的主进程。正常下应该位于system32目录里面和system32\dllcache目录里面。而system32\win s目录里面是不会有dllhost.exe文件的。

所以应该不是病毒