CPU
占用
100%
的说明经常出现
CPU
占用
100%
的情况,主要问题可能发生在下面的某些方面
:
CPU 占用率高的九种可能
1 、防杀毒软件造成故障
由于新版的 KV 、金山、瑞星都加入了对网页、插件、邮件的随机监控,无疑增大了系统负担。处理方式 : 基本上没有合理的处理方式,尽量使用最少的监控服务吧,或者,升级你的硬件配备。
2 、驱动没有经过认证,造成 CPU 资源占用 100%
大量的测试版的驱动在网上泛滥,造成了难以发现的故障原因。 处理方式 : 尤其是显卡驱动特别要注意,建议使用微软认证的或由官方发布的驱动,并且严格核对型号、版本。
3 、病毒、木马造成
大量的蠕虫病毒在系统内部迅速复制,造成 CPU 占用资源率据高不下。解决办法 : 用可靠的杀毒软件彻底清理系统内存和本地硬盘,并且打开系统设置软件,察看有无异常启动的程序。经常性更新升级杀毒软件和防火墙,加强防毒意识,掌握正确的防杀毒知识。
4 、控制面板 — 管理工具 — 服务 —RISING REALTIME MONITOR SERVICE 点鼠标右键,改为手动。
5 、开始 -> ;运行 -> ; msconfig-> ;启动,关闭不必要的启动项,重启。
6 、查看 "svchost" 进程。
svchost.exe 是 Windows XP 系统的一个核心进程。 svchost.exe 不单单只出现在 Windows XP 中,在使用 NT 内核的 Windows 系统中都会有 svchost.exe 的存在。一般在 Windows 2000 中 svchost.exe 进程的数目为 2 个,而在 Windows XP 中 svchost.exe 进程的数目就上升到了 4 个及 4 个以上。
7 、查看网络连接。主要是网卡。
8 、查看网络连接
当安装了 Windows XP 的计算机做服务器的时候,收到端口 445 上的连接请求时,它将分配内存和少量地调配 CPU 资源来为这些连接提供服务。当负荷过重的时候, CPU 占用率可能过高,这是因为在工作项的数目和响应能力之间存在固有的权衡关系。你要确定合适的 MaxWorkItems 设置以提高系统响应能力。如果设置的值不正确,服务器的响应能力可能会受到影响,或者某个用户独占太多系统资源。
要解决此问题,我们可以通过修改注册表来解决 : 在注册表编辑器中依次展开 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver ] 分支,在右侧窗口中新建一个名为 "maxworkitems" 的 DWORD 值。然后双击该值,在打开的窗口中键入下列数值并保存退出 :
如果计算机有 512MB 以上的内存,键入 "1024" ;如果计算机内存小于 512 MB ,键入 "256" 。
9 、看看是不是 Windows XP 使用鼠标右键引起 CPU 占用 100%
前不久的报到说在资源管理器里面使用鼠标右键会导致 CPU 资源 100% 占用,我们来看看是怎么回事?
征兆 :
在资源管理器里面,当你右键点击一个目录或一个文件,你将有可能出现下面所列问题 :
任何文件的拷贝操作在那个时间将有可能停止相应
网络连接速度将显著性的降低
所有的流输入 / 输出操作例如使用 Windows Media Player 听音乐将有可能是音乐失真成因 :
当你在资源管理器里面右键点击一个文件或目录的时候,当快捷菜单显示的时候, CPU 占用率将增加到 100% ,当你关闭快捷菜单的时候才返回正常水平。
解决方法 :
方法一 : 关闭 " 为菜单和工具提示使用过渡效果 "
1 、点击 " 开始 "--" 控制面板 "
2 、在 " 控制面板 " 里面双击 " 显示 "
3 、在 " 显示 " 属性里面点击 " 外观 " 标签页
4 、在 " 外观 " 标签页里面点击 " 效果 "
5 、在 " 效果 " 对话框里面,清除 " 为菜单和工具提示使用过渡效果 " 前面的复选框接着点击两次 " 确定 " 按钮。
方法二 : 在使用鼠标右键点击文件或目录的时候先使用鼠标左键选择你的目标文件或目录。然后再使用鼠标右键弹出快捷菜单。
CPU 占用 100% 解决办法
一般情况下 CPU 占了 100% 的话我们的电脑总会慢下来,而很多时候我们是可以通过做一点点的改动就可以解决,而不必问那些大虾了。
当机器慢下来的时候,首先我们想到的当然是任务管理器了,看看到底是哪个程序占了较搞的比例,如果是某个大程序那还可以原谅,在关闭该程序后只要 CPU 正常了那就没问题;如果不是,那你就要看看是什幺程序了,当你查不出这个进程是什幺的时候就去 google 或者 baidu 搜。有时只结束是没用的,在 xp 下我们可以结合 msconfig 里的启动项,把一些不用的项给关掉。在 2000 下可以去下个 winpatrol 来用。
一些常用的软件,比如浏览器占用了很搞的 CPU ,那幺就要升级该软件或者干脆用别的同类软件代替,有时软件和系统会有点不兼容,当然我们可以试下 xp 系统下给我们的那个兼容项,右键点该 .exe 文件选兼容性。
svchost.exe 有时是比较头痛的,当你看到你的某个 svchost.exe 占用很大 CPU 时你可以去下个 aports 或者 fport 来检查其对应的程序路径,也就是什幺东西在掉用这个 svchost.exe ,如果不是 c:/Windows/system32(xp) 或 c:/winnt/system32(2000) 下的,那就可疑。升级杀毒软件杀毒吧。
右击文件导致 100% 的 CPU 占用我们也会遇到,有时点右键停顿可能就是这个问题了。官方的解释 : 先点左键选中,再右键 ( 不是很理解 ) 。非官方 : 通过在桌面点右键 - 属性 - 外观 - 效果,取消 " 为菜单和工具提示使用下列过度效果 (U)" 来解决。还有某些杀毒软件对文件的监控也会有所影响,可以关闭杀毒软件的文件监控;还有就是对网页,插件,邮件的监控也是同样的道理。
一些驱动程序有时也可能出现这样的现象,最好是选择微软认证的或者是官方发布的驱动来装,有时可以适当的升级驱动,不过记得最新的不是最好的。
CPU 降温软件,由于软件在运行时会利用所以的 CPU 空闲时间来进行降温,但 Windows 不能分辨普通的 CPU 占用和降温软件的降温指令之间的区别,因此 CPU 始终显示 100% ,这个就不必担心了,不影响正常的系统运行。
在处理较大的 word 文件时由于 word 的拼写和语法检查会使得 CPU 累,只要打开 word 的工具 - 选项 - 拼写和语法把 " 检查拼写和检查语法 " 勾去掉。
单击 avi 视频文件后 CPU 占用率高是因为系统要先扫描该文件,并检查文件所有部分,并建立索引;解决办法 : 右击保存视频文件的文件夹 - 属性 - 常规 - 高级,去掉为了快速搜索,允许索引服务编制该文件夹的索引的勾。
CPU 占用 100% 案例分析
1 、 dllhost 进程造成 CPU 使用率占用 100%
特征 : 服务器正常 CPU 消耗应该在 75% 以下,而且 CPU 消耗应该是上下起伏的,出现这种问题的服务器, CPU 会突然一直处 100% 的水平,而且不会下降。查看任务管理器,可以发现是 DLLHOST.EXE 消耗了所有的 CPU 空闲时间,管理员在这种情况下,只好重新启动 IIS 服务,奇怪的是,重新启动 IIS 服务后一切正常,但可能过了一段时间后,问题又再次出现了。
直接原因 :
有一个或多个 ACCESS 数据库在多次读写过程中损坏,微软的 MDAC 系统在写入这个损坏的 ACCESS 文件时, ASP 线程处于 BLOCK 状态,结果其它线程只能等待, IIS 被死锁了,全部的 CPU 时间都消耗在 DLLHOST 中。
解决办法 :
安装 " 一流信息监控拦截系统 " ,使用其中的 " 首席文件检查官 IIS 健康检查官 " 软件,
启用 " 查找死锁模块 " ,设置 :
--wblock=yes
监控的目录,请指定您的主机的文件所在目录 :
CPU 占用率高的九种可能
1 、防杀毒软件造成故障
由于新版的 KV 、金山、瑞星都加入了对网页、插件、邮件的随机监控,无疑增大了系统负担。处理方式 : 基本上没有合理的处理方式,尽量使用最少的监控服务吧,或者,升级你的硬件配备。
2 、驱动没有经过认证,造成 CPU 资源占用 100%
大量的测试版的驱动在网上泛滥,造成了难以发现的故障原因。 处理方式 : 尤其是显卡驱动特别要注意,建议使用微软认证的或由官方发布的驱动,并且严格核对型号、版本。
3 、病毒、木马造成
大量的蠕虫病毒在系统内部迅速复制,造成 CPU 占用资源率据高不下。解决办法 : 用可靠的杀毒软件彻底清理系统内存和本地硬盘,并且打开系统设置软件,察看有无异常启动的程序。经常性更新升级杀毒软件和防火墙,加强防毒意识,掌握正确的防杀毒知识。
4 、控制面板 — 管理工具 — 服务 —RISING REALTIME MONITOR SERVICE 点鼠标右键,改为手动。
5 、开始 -> ;运行 -> ; msconfig-> ;启动,关闭不必要的启动项,重启。
6 、查看 "svchost" 进程。
svchost.exe 是 Windows XP 系统的一个核心进程。 svchost.exe 不单单只出现在 Windows XP 中,在使用 NT 内核的 Windows 系统中都会有 svchost.exe 的存在。一般在 Windows 2000 中 svchost.exe 进程的数目为 2 个,而在 Windows XP 中 svchost.exe 进程的数目就上升到了 4 个及 4 个以上。
7 、查看网络连接。主要是网卡。
8 、查看网络连接
当安装了 Windows XP 的计算机做服务器的时候,收到端口 445 上的连接请求时,它将分配内存和少量地调配 CPU 资源来为这些连接提供服务。当负荷过重的时候, CPU 占用率可能过高,这是因为在工作项的数目和响应能力之间存在固有的权衡关系。你要确定合适的 MaxWorkItems 设置以提高系统响应能力。如果设置的值不正确,服务器的响应能力可能会受到影响,或者某个用户独占太多系统资源。
要解决此问题,我们可以通过修改注册表来解决 : 在注册表编辑器中依次展开 [HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services/lanmanserver ] 分支,在右侧窗口中新建一个名为 "maxworkitems" 的 DWORD 值。然后双击该值,在打开的窗口中键入下列数值并保存退出 :
如果计算机有 512MB 以上的内存,键入 "1024" ;如果计算机内存小于 512 MB ,键入 "256" 。
9 、看看是不是 Windows XP 使用鼠标右键引起 CPU 占用 100%
前不久的报到说在资源管理器里面使用鼠标右键会导致 CPU 资源 100% 占用,我们来看看是怎么回事?
征兆 :
在资源管理器里面,当你右键点击一个目录或一个文件,你将有可能出现下面所列问题 :
任何文件的拷贝操作在那个时间将有可能停止相应
网络连接速度将显著性的降低
所有的流输入 / 输出操作例如使用 Windows Media Player 听音乐将有可能是音乐失真成因 :
当你在资源管理器里面右键点击一个文件或目录的时候,当快捷菜单显示的时候, CPU 占用率将增加到 100% ,当你关闭快捷菜单的时候才返回正常水平。
解决方法 :
方法一 : 关闭 " 为菜单和工具提示使用过渡效果 "
1 、点击 " 开始 "--" 控制面板 "
2 、在 " 控制面板 " 里面双击 " 显示 "
3 、在 " 显示 " 属性里面点击 " 外观 " 标签页
4 、在 " 外观 " 标签页里面点击 " 效果 "
5 、在 " 效果 " 对话框里面,清除 " 为菜单和工具提示使用过渡效果 " 前面的复选框接着点击两次 " 确定 " 按钮。
方法二 : 在使用鼠标右键点击文件或目录的时候先使用鼠标左键选择你的目标文件或目录。然后再使用鼠标右键弹出快捷菜单。
CPU 占用 100% 解决办法
一般情况下 CPU 占了 100% 的话我们的电脑总会慢下来,而很多时候我们是可以通过做一点点的改动就可以解决,而不必问那些大虾了。
当机器慢下来的时候,首先我们想到的当然是任务管理器了,看看到底是哪个程序占了较搞的比例,如果是某个大程序那还可以原谅,在关闭该程序后只要 CPU 正常了那就没问题;如果不是,那你就要看看是什幺程序了,当你查不出这个进程是什幺的时候就去 google 或者 baidu 搜。有时只结束是没用的,在 xp 下我们可以结合 msconfig 里的启动项,把一些不用的项给关掉。在 2000 下可以去下个 winpatrol 来用。
一些常用的软件,比如浏览器占用了很搞的 CPU ,那幺就要升级该软件或者干脆用别的同类软件代替,有时软件和系统会有点不兼容,当然我们可以试下 xp 系统下给我们的那个兼容项,右键点该 .exe 文件选兼容性。
svchost.exe 有时是比较头痛的,当你看到你的某个 svchost.exe 占用很大 CPU 时你可以去下个 aports 或者 fport 来检查其对应的程序路径,也就是什幺东西在掉用这个 svchost.exe ,如果不是 c:/Windows/system32(xp) 或 c:/winnt/system32(2000) 下的,那就可疑。升级杀毒软件杀毒吧。
右击文件导致 100% 的 CPU 占用我们也会遇到,有时点右键停顿可能就是这个问题了。官方的解释 : 先点左键选中,再右键 ( 不是很理解 ) 。非官方 : 通过在桌面点右键 - 属性 - 外观 - 效果,取消 " 为菜单和工具提示使用下列过度效果 (U)" 来解决。还有某些杀毒软件对文件的监控也会有所影响,可以关闭杀毒软件的文件监控;还有就是对网页,插件,邮件的监控也是同样的道理。
一些驱动程序有时也可能出现这样的现象,最好是选择微软认证的或者是官方发布的驱动来装,有时可以适当的升级驱动,不过记得最新的不是最好的。
CPU 降温软件,由于软件在运行时会利用所以的 CPU 空闲时间来进行降温,但 Windows 不能分辨普通的 CPU 占用和降温软件的降温指令之间的区别,因此 CPU 始终显示 100% ,这个就不必担心了,不影响正常的系统运行。
在处理较大的 word 文件时由于 word 的拼写和语法检查会使得 CPU 累,只要打开 word 的工具 - 选项 - 拼写和语法把 " 检查拼写和检查语法 " 勾去掉。
单击 avi 视频文件后 CPU 占用率高是因为系统要先扫描该文件,并检查文件所有部分,并建立索引;解决办法 : 右击保存视频文件的文件夹 - 属性 - 常规 - 高级,去掉为了快速搜索,允许索引服务编制该文件夹的索引的勾。
CPU 占用 100% 案例分析
1 、 dllhost 进程造成 CPU 使用率占用 100%
特征 : 服务器正常 CPU 消耗应该在 75% 以下,而且 CPU 消耗应该是上下起伏的,出现这种问题的服务器, CPU 会突然一直处 100% 的水平,而且不会下降。查看任务管理器,可以发现是 DLLHOST.EXE 消耗了所有的 CPU 空闲时间,管理员在这种情况下,只好重新启动 IIS 服务,奇怪的是,重新启动 IIS 服务后一切正常,但可能过了一段时间后,问题又再次出现了。
直接原因 :
有一个或多个 ACCESS 数据库在多次读写过程中损坏,微软的 MDAC 系统在写入这个损坏的 ACCESS 文件时, ASP 线程处于 BLOCK 状态,结果其它线程只能等待, IIS 被死锁了,全部的 CPU 时间都消耗在 DLLHOST 中。
解决办法 :
安装 " 一流信息监控拦截系统 " ,使用其中的 " 首席文件检查官 IIS 健康检查官 " 软件,
启用 " 查找死锁模块 " ,设置 :
--wblock=yes
监控的目录,请指定您的主机的文件所在目录 :
--wblockdir=d:/test
监控生成的日志的文件保存位置在安装目录的
log
目录中,文件名为
:logblock.htm
停止 IIS ,再启动 " 首席文件检查官 IIS 健康检查官 " ,再启动 IIS , " 首席文件检查官 IIS 健康检查官 " 会在 logblock.htm 中记录下最后写入的 ACCESS 文件的。
过了一段时间后,当问题出来时,例如 CPU 会再次一直处 100% 的水平,可以停止 IIS ,检查 logblock.htm 所记录的最后的十个文件,注意,最有问题的往往是计数器类的 ACCESS 文件,例如 :"**COUNT.MDB" , "**COUNT.ASP" ,可以先把最后十个文件或有所怀疑的文件删除到回收站中,再启动 IIS ,看看问题是否再次出现。我们相信,经过仔细的查找后,您肯定可以找到这个让您操心了一段时间的文件的。
找到这个文件后,可以删除它,或下载下来,用 ACCESS2000 修复它,问题就解决了。
2 、 svchost.exe 造成 CPU 使用率占用 100%
在 win.ini 文件中,在 [Windows] 下面, "run=" 和 "load=" 是可能加载 " 木马 " 程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什幺都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上 " 木马 " 了。当然你也得看清楚,因为好多 " 木马 " ,如 "AOL Trojan 木马 " ,它把自身伪装成 command.exe 文件,如果不注意可能不会发现它不是真正的系统启动文件。
在 system.ini 文件中,在 [BOOT] 下面有个 "shell= 文件名 " 。正确的文件名应该是 "explorer.exe" ,如果不是 "explorer.exe" ,而是 "shell= explorer.exe 程序名 " ,那幺后面跟着的那个程序就是 " 木马 " 程序,就是说你已经中 " 木马 " 了。
在注册表中的情况最复杂,通过 regedit 命令打开注册表编辑器,在点击至 :"HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run" 目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为 EXE ,这里切记 : 有的 " 木马 " 程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如 "Acid Battery v1.0 木马 " ,它将注册表 "HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run" 下的 Explorer 键值改为 Explorer="C:/Windows/expiorer.exe" , " 木马 " 程序与真正的 Explorer 之间只有 "i" 与 "l" 的差别。当然在注册表中还有很多地方都可以隐藏 " 木马 " 程序,如 :"HKEY-CURRENT-USER/Software/Microsoft/Windows/CurrentVersion/Run" 、 "HKEY-USERS/****/Software/Microsoft/Windows/CurrentVersion/Run" 的目录下都有可能,最好的办法就是在 "HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run" 下找到 " 木马该病毒也称为 "Code Red II( 红色代码 2)" 病毒,与早先在西方英文系统下流行 " 红色代码 " 病毒有点相反,在国际上被称为 VirtualRoot( 虚拟目录 ) 病毒。该蠕虫病毒利用 Microsoft 已知的溢出漏洞,通过 80 端口来传播到其它的 Web 页服务器上。受感染的机器可由黑客们通过 Http Get 的请求运行 scripts/root.exe 来获得对受感染机器的完全控制权。
当感染一台服务器成功了以后,如果受感染的机器是中文的系统后,该程序会休眠 2 天,别的机器休眠 1 天。当休眠的时间到了以后,该蠕虫程序会使得机器重新启动。该蠕虫也会检查机器的月份是否是 10 月或者年份是否是 2002 年,如果是,受感染的服务器也会重新启动。当 Windows NT 系统启动时, NT 系统会自动搜索 C 盘根目录下的文件 explorer.exe ,受该网络蠕虫程序感染的服务器上的文件 explorer.exe 也就是该网络蠕虫程序本身。该文件的大小是 8192 字节, VirtualRoot 网络蠕虫程序就是通过该程序来执行的。同时, VirtualRoot 网络蠕虫程序还将 cmd.exe 的文件从 Windows NT 的 system 目录拷贝到别的目录,给黑客的入侵敞开了大门。它还会修改系统的注册表项目,通过该注册表项目的修改,该蠕虫程序可以建立虚拟的目录 C 或者 D ,病毒名由此而来。值得一提的是,该网络蠕虫程序除了文件 explorer.exe 外,其余的操作不是基于文件的,而是直接在内存中来进行感染、传播的,这就给捕捉带来了较大难度。
停止 IIS ,再启动 " 首席文件检查官 IIS 健康检查官 " ,再启动 IIS , " 首席文件检查官 IIS 健康检查官 " 会在 logblock.htm 中记录下最后写入的 ACCESS 文件的。
过了一段时间后,当问题出来时,例如 CPU 会再次一直处 100% 的水平,可以停止 IIS ,检查 logblock.htm 所记录的最后的十个文件,注意,最有问题的往往是计数器类的 ACCESS 文件,例如 :"**COUNT.MDB" , "**COUNT.ASP" ,可以先把最后十个文件或有所怀疑的文件删除到回收站中,再启动 IIS ,看看问题是否再次出现。我们相信,经过仔细的查找后,您肯定可以找到这个让您操心了一段时间的文件的。
找到这个文件后,可以删除它,或下载下来,用 ACCESS2000 修复它,问题就解决了。
2 、 svchost.exe 造成 CPU 使用率占用 100%
在 win.ini 文件中,在 [Windows] 下面, "run=" 和 "load=" 是可能加载 " 木马 " 程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什幺都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上 " 木马 " 了。当然你也得看清楚,因为好多 " 木马 " ,如 "AOL Trojan 木马 " ,它把自身伪装成 command.exe 文件,如果不注意可能不会发现它不是真正的系统启动文件。
在 system.ini 文件中,在 [BOOT] 下面有个 "shell= 文件名 " 。正确的文件名应该是 "explorer.exe" ,如果不是 "explorer.exe" ,而是 "shell= explorer.exe 程序名 " ,那幺后面跟着的那个程序就是 " 木马 " 程序,就是说你已经中 " 木马 " 了。
在注册表中的情况最复杂,通过 regedit 命令打开注册表编辑器,在点击至 :"HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run" 目录下,查看键值中有没有自己不熟悉的自动启动文件,扩展名为 EXE ,这里切记 : 有的 " 木马 " 程序生成的文件很像系统自身文件,想通过伪装蒙混过关,如 "Acid Battery v1.0 木马 " ,它将注册表 "HKEY-LOCAL-MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run" 下的 Explorer 键值改为 Explorer="C:/Windows/expiorer.exe" , " 木马 " 程序与真正的 Explorer 之间只有 "i" 与 "l" 的差别。当然在注册表中还有很多地方都可以隐藏 " 木马 " 程序,如 :"HKEY-CURRENT-USER/Software/Microsoft/Windows/CurrentVersion/Run" 、 "HKEY-USERS/****/Software/Microsoft/Windows/CurrentVersion/Run" 的目录下都有可能,最好的办法就是在 "HKEY-LOCAL-MACHINE/Software/Microsoft/Windows/CurrentVersion/Run" 下找到 " 木马该病毒也称为 "Code Red II( 红色代码 2)" 病毒,与早先在西方英文系统下流行 " 红色代码 " 病毒有点相反,在国际上被称为 VirtualRoot( 虚拟目录 ) 病毒。该蠕虫病毒利用 Microsoft 已知的溢出漏洞,通过 80 端口来传播到其它的 Web 页服务器上。受感染的机器可由黑客们通过 Http Get 的请求运行 scripts/root.exe 来获得对受感染机器的完全控制权。
当感染一台服务器成功了以后,如果受感染的机器是中文的系统后,该程序会休眠 2 天,别的机器休眠 1 天。当休眠的时间到了以后,该蠕虫程序会使得机器重新启动。该蠕虫也会检查机器的月份是否是 10 月或者年份是否是 2002 年,如果是,受感染的服务器也会重新启动。当 Windows NT 系统启动时, NT 系统会自动搜索 C 盘根目录下的文件 explorer.exe ,受该网络蠕虫程序感染的服务器上的文件 explorer.exe 也就是该网络蠕虫程序本身。该文件的大小是 8192 字节, VirtualRoot 网络蠕虫程序就是通过该程序来执行的。同时, VirtualRoot 网络蠕虫程序还将 cmd.exe 的文件从 Windows NT 的 system 目录拷贝到别的目录,给黑客的入侵敞开了大门。它还会修改系统的注册表项目,通过该注册表项目的修改,该蠕虫程序可以建立虚拟的目录 C 或者 D ,病毒名由此而来。值得一提的是,该网络蠕虫程序除了文件 explorer.exe 外,其余的操作不是基于文件的,而是直接在内存中来进行感染、传播的,这就给捕捉带来了较大难度。
"
程序的文件名,再在整个注册表中搜索即可。
我们先看看微软是怎样描述
svchost.exe
的。在微软知识库
314056
中对
svchost.exe
有如下描述
:svchost.exe
是从动态链接库
(DLL)
中运行的服务的通用主机进程名称。
其实 svchost.exe 是 Windows XP 系统的一个核心进程。 svchost.exe 不单单只出现在 Windows XP 中,在使用 NT 内核的 Windows 系统中都会有 svchost.exe 的存在。一般在 Windows 2000 中 svchost.exe 进程的数目为 2 个,而在 Windows XP 中 svchost.exe 进程的数目就上升到了 4 个及 4 个以上。所以看到系统的进程列表中有几个 svchost.exe 不用那幺担心。
svchost.exe 到底是做什幺用的呢 ?
其实 svchost.exe 是 Windows XP 系统的一个核心进程。 svchost.exe 不单单只出现在 Windows XP 中,在使用 NT 内核的 Windows 系统中都会有 svchost.exe 的存在。一般在 Windows 2000 中 svchost.exe 进程的数目为 2 个,而在 Windows XP 中 svchost.exe 进程的数目就上升到了 4 个及 4 个以上。所以看到系统的进程列表中有几个 svchost.exe 不用那幺担心。
svchost.exe 到底是做什幺用的呢 ?
首先我们要了解一点那就是
Windows
系统的中的进程分为
:
独立进程和共享进程这两种。由于
Windows
系统中的服务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那
svchost.exe
在这中间是担任怎样一个角色呢
?
svchost.exe 的工作就是作为这些服务的宿主,即由 svchost.exe 来启动这些服务。 svchost.exe 只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。 svchost.exe 通过为这些系统服务调用动态链接库 (DLL) 的方式来启动系统服务。
svchost.exe 是病毒这种说法是任何产生的呢 ?
因为 svchost.exe 可以作为服务的宿主来启动服务,所以病毒、木马的编写者也挖空心思的要利用 svchost.exe 的这个特性来迷惑用户达到入侵、破坏计算机的目的。
如何才能辨别哪些是正常的 svchost.exe 进程,而哪些是病毒进程呢 ?
svchost.exe 的键值是在 "HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost" ,如图 1 所示。图 1 中每个键值表示一个独立的 svchost.exe 组。
微软还为我们提供了一种察看系统正在运行在 svchost.exe 列表中的服务的方法。以 Windows XP 为例 : 在 " 运行 " 中输入 :cmd ,然后在命令行模式中输入 :tasklist /svc 。系统列出如图 2 所示的服务列表。图 2 中红框包围起来的区域就是 svchost.exe 启动的服务列表。如果使用的是 Windows 2000 系统则把前面的 "tasklist /svc" 命令替换为 :"tlist -s" 即可。如果你怀疑计算机有可能被病毒感染, svchost.exe 的服务出现异常的话通过搜索 svchost.exe 文件就可以发现异常情况。一般只会找到一个在 :"C:/Windows/System32" 目录下的 svchost.exe 程序。如果你在其它目录下发现 svchost.exe 程序的话,那很可能就是中毒了。
还有一种确认 svchost.exe 是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在 Windows 系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。
上面简单的介绍了 svchost.exe 进程的相关情况。总而言之, svchost.exe 是一个系统的核心进程,并不是病毒进程。但由于 svchost.exe 进程的特殊性,所以病毒也会千方百计的入侵 svchost.exe 。通过察看 svchost.exe 进程的执行路径可以确认是否中毒。
svchost.exe 的工作就是作为这些服务的宿主,即由 svchost.exe 来启动这些服务。 svchost.exe 只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。 svchost.exe 通过为这些系统服务调用动态链接库 (DLL) 的方式来启动系统服务。
svchost.exe 是病毒这种说法是任何产生的呢 ?
因为 svchost.exe 可以作为服务的宿主来启动服务,所以病毒、木马的编写者也挖空心思的要利用 svchost.exe 的这个特性来迷惑用户达到入侵、破坏计算机的目的。
如何才能辨别哪些是正常的 svchost.exe 进程,而哪些是病毒进程呢 ?
svchost.exe 的键值是在 "HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost" ,如图 1 所示。图 1 中每个键值表示一个独立的 svchost.exe 组。
微软还为我们提供了一种察看系统正在运行在 svchost.exe 列表中的服务的方法。以 Windows XP 为例 : 在 " 运行 " 中输入 :cmd ,然后在命令行模式中输入 :tasklist /svc 。系统列出如图 2 所示的服务列表。图 2 中红框包围起来的区域就是 svchost.exe 启动的服务列表。如果使用的是 Windows 2000 系统则把前面的 "tasklist /svc" 命令替换为 :"tlist -s" 即可。如果你怀疑计算机有可能被病毒感染, svchost.exe 的服务出现异常的话通过搜索 svchost.exe 文件就可以发现异常情况。一般只会找到一个在 :"C:/Windows/System32" 目录下的 svchost.exe 程序。如果你在其它目录下发现 svchost.exe 程序的话,那很可能就是中毒了。
还有一种确认 svchost.exe 是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在 Windows 系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。
上面简单的介绍了 svchost.exe 进程的相关情况。总而言之, svchost.exe 是一个系统的核心进程,并不是病毒进程。但由于 svchost.exe 进程的特殊性,所以病毒也会千方百计的入侵 svchost.exe 。通过察看 svchost.exe 进程的执行路径可以确认是否中毒。
扫一扫
5万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
