What is this Process and Why is it Running【二】

WmiPrvSE.exe

WMI 即 Windows Management Instrumentation（Windows 管理规范）的简写，是 Windows 操作系统的一项内置功能，它为软件和管理脚本提供了一种标准化方法，WMI Provider Host进程是Windows的重要组成部分，通常在后台运行，旨在帮助Windows PC上的其他应用来请求当前系统的各种信息，一般情况下，这个过程通常不会使用很多系统资源，但如果调用请求的应用、代码或脚本写得不好的话，则可能导致 WmiPrvSE.exe 占用很高的 CPU 资源。

对于集中管理Windows PC的企业或团体来说，WMI是一个特别有用的功能，IT Pro可以通过脚本请求信息并在管理控制台中以标准方式输出显示。即便在个人用户的家用电脑上，某些软件也会通过 WMI 接口来请求有关操作系统的信息。自己可以使用WMI来查找有用的信息，获取电脑的序列号，查看主板型号，或是硬盘的SMART运行状况等，运行WMI的工具－WMIC

长时间处于CPU高占状态

打开电脑的服务，点击关闭服务就行。对于这种情况一般是因为其调用其它WMI程序引起的，而非WMI　Provider本身，所以可以使用 Eventvwr.msc 打开「事件查看器」，导航到「应用程序和服务日志」——「Microsoft」——「Windows」——「WMI-Activity」——「操作」，在错误日志的 ClientProcessId 字段中可以查看到引起问题的进程 PID。正常情况下这个进程是不允许禁止的,会影响到其他服务.

RuntimeBroker

此进程是Windows8以上系统才会出现的进程,用来进行开始屏幕磁贴与桌面的后台交互,如果没有运行任何磁贴程序应用的话,可能不会出现在进程中.

同样的,当系统出现该进程占用内存太高,应该是磁贴应用没有彻底关闭.

重复出现和CPU大量占用

对于此进程,如果出现占用CPU和磁盘非常大的情况,不能武断的关闭, 即使关闭了也会重新出现. 因为其作为系统的核心进程,是不能随便禁止的.而应该关掉照片里的自我增强和链接的重复文件.

SystemSettingsBroker.exe

进程 System Settings Broker 是附属于软件 Microsoft Windows Operating System 由 Microsoft (www.microsoft.com) 发行,SystemSettingsBroker.exe 对于Windows很重要.

软件开发商Microsoft提供直接支持
(www.microsoft.com/windows). 如果对于SystemSettingsBroker.exe有问题, 您可以通过控制面板来删除整个Microsoft Windows,或者检查是否有新版本可以更新.

伪装

有些病毒软件伪装成 SystemSettingsBroker.exe,可以利用工具Security Task Manager来检查计算机.

CompatTelRunner.exe

Microsoft Compatibility Telemetry（微软兼容性检测）是微软旗下的一个监测数据收集服务，如果加入Microsoft客户反馈改善计划，该服务就会在检测系统异常并收集反馈到微软。

网友大多数都建议将此服务禁止，我选择了设置为手动，即在启动之后不会再出现占用100%的情形，一旦需要可以直接手动改开启即可。如果想要直接禁止掉的，那么除了这个服务，还包括Diagnostic Policy Service ，Diagnostic Service Host两个服。

Likewise, if not disable, the file transfers the telemetry data, technical data about your operating system to micrisift. The app also restarts with each new windows log-in session despite the attempts to disable the task completely.

If you happen to be one of them and intend to terminate the application permanently…

【https://ugetfix.com/ask/how-to-disable-microsoft-compatibility-telemetry-compattelrunner-exe/】

ntoskrnl.exe Registry

Windows 10是一个大型操作系统，但它如何处理内存操作呢？这可以归功于ntoskrnl.exe内存处理程序。Ntoskrnl.exe（Windows NT操作系统内核的缩写）也称为内核映像，是一个系统应用程序文件，提供Windows NT内核空间的内核和执行层，负责各种系统服务【附加：内存管理的工作原理】，是系统的重要组成部分。

ntoskrnl.exe是一个受系统保护的文件，不会轻易被删除或损坏。但一旦损坏，ntoskrnl.exe将发生故障并且不知道什么时候写入RAM或什么时候释放RAM空间。这可能会导致堆积数据和内存页面，从而使CPU更难以管理此内存空间。您的硬盘驱动器可能会因同样的原因而填满。它管理内存，但经常会出现占用过大内存的状态，严重的情况通常是由硬件和恶意软件引起的内存泄漏引起的。

**小心在线分发的共享软件和免费软件**。
他们可能故意将自己嵌入到ntoskrnl.exe系统文件中，或者劫持此文件的功能导致内存泄漏。
它也可能会改变它们的可执行文件注册表。这意味着ntoskrnl.exe无法按预期继续工作。
由于恶意软件旨在损害您的计算机，因此它允许将数据流式传输到RAM中，但不允许任何其他内容。
该病毒也可能正在积极写入ntoskrnl.exe拥有的内存空间。
这会填满你的内存并导致大量的CPU使用。保存到HDD的页面可能会填满您的存储空间。

参考：https://appuals.com/high-cpu-or-disk-usage-by-ntoskrnl-exe-on-windows-10/

dllhost.exe

是操作系统的一部分，运行COM+的组件，用于管理DLL应用，运行web和http服务器必须建基于它。

关于dllhost.exe的误区

1. 是病毒文件的存在，好多网上的资料直接指定其为病毒文件，然年后提供删除操作，实际上，这是系统的组成部分，不一定是病毒；
2. 此进程不是没用的，有好多程序运行都需要此进程的存在。

判断dllhost.exe文件是不是病毒文件的方法：
看位置，一般情况下会出现在system32中dllcache文件下，如果右键找到详细位置发现在其他位置，则有可能是病毒。

mDNSResponder.exe

mDNSResponder.exe是Apple出品的Bonjour一个组件，在任务进程中以Bonjour Service显示，mDNSResponder（Bonjour Multicast Domain Name System Responder）。当用户安装某些软件（例如：iTunes，Adobe Creative Suite CS3），这个程序就被一起安装。它可以查找本地网络的计算机和打印机。

这个文件不知Windows的核心文件，可以这么说，这个文件不被Windows需要

有些病毒软件伪装成 mDNSResponder.exe, 尤其是处于windows 或system32目录下 . 因此,需要检查计算机中的mDNSResponder.exe进程,确保它不是病毒. 推荐使用Security Task Manager来确保您的计算机安全.

此文件威胁程度排序（从大到小）：

C:\Program Files\Common Files  >  C:\Program Files  > C:\Users\username

sedsvc.exe

sedsc.exe对于Windows操作系统不是必须的，并且导致相对较少的问题，存放在C盘下，有十多种变体，在PC上作为sedsvc服务运行，该服务可以修复Windows Update组件，该程序不可见，不是Windows系统文件，且该文件具有数字签名，安全性较差。

检查

该文件有可能时病毒伪装而成，尤其是当其存在于Windows或者system32文件目录下的时候，可以通过检查进程中的sedsvc.exe进程是否异常，或者下载Security Task Manager工具进行检查。

To help you analyze the sedsvc.exe process on your computer, the following programs have proven to be helpful: ASecurity Task Manager displays all running Windows tasks, including embedded hidden processes, such as keyboard and browser monitoring or Autostart entries. A unique security risk rating indicates the likelihood of the process being potential spyware, malware or a Trojan. BMalwarebytes Anti-Malware detects and removes sleeping spyware, adware, Trojans, keyloggers, malware and trackers from your hard drive.【来自https://www.file.net/process/sedsvc.exe.html】

nidmsrv.exe

此应用程序是国家仪器公司的一个后台进程，提供了一种专门为NI共享变量建立域服务器的方法。在运行过程中通过端口连接LAN和INTERNET，如果停止或禁用此服务，则在配置共享变量安全性时，此计算机将无法充当域。同样的也不是Windows操作系统必须的，在PC中以NIDomain Service运行。同样的该程序没有可见的窗口，可以像应用一样直接在控制面板中删除。

检查

同样的，对于此进程，也是数字签名的，判断方法同上。

nidmsrv.exe

National Instruments Domain Service

lkcitdl.exe

Lookout Citadel Server

nisvcloc.exe

NI Service Locator

lktsrv.exe

National Instruments Time Synchronization

lkads.exe

National Instruments PSP Server Locator

以上五项是National Instruments安装后，在系统启动后多出的5个进程，涉及到五项服务，应改为手动并关闭【在我的电脑右键属性中，找到服务，将此五项服务的服务改为手动】

附加：
1.内存管理的工作原理：任务将与将执行此任务的程序一起加载到内存（RAM）中。这是获取部分。CPU对其进行解码，执行任务并将结果记录到内存中，然后由加载的程序将其记录到磁盘中。执行部分可以访问多个设备，包括GPU，CPU，磁盘空间（ROM或HDD，SSD等），网络设备和更多设备，具体取决于正在执行的任务。当程序关闭时，它将从内存（RAM）中及其正在处理的数据中卸载。现在可以释放空间以供其他任务使用。