电脑是win7的,每次打开任务管理器都有很多svchost.exe 的进程,有的占用内存较大,影响电脑性能 电脑是win7的系统 打开任务管理器的进程 发现有10个sv...
Svchost.exe、lsass.exe、wdfmgr.exe,打开进程列表后你会发现一大堆不知用途的进程,究竟是系统进程还是木马病毒?如果打开系统文件夹,一大堆奇奇怪怪名称的文件,更是会把你弄得晕头转向。很多朋友因此而始终抱有一种未知的恐惧,认为木马、黑客无处不在,即使是高手,也不能把这些陌生的系统文件说个明明白白。为消除大家的疑惑,从这期开始为大家带来一档新的连载栏目——系统蓝色档案为大家曝光这些隐秘文件的秘密。两位主人公,现在就来认识一下。
主人公介绍
小菜:刚接触电脑不久的菜鸟,但对电脑知识有着非常浓厚的学习兴趣,常说的一句话是“菜鸟先飞”。
大嘴:乐于助人的老鸟,经常被别人冠以“大嘴高手”称号,不过这并不是指他嘴特别大,而是一谈到电脑知识就滔滔不绝。
一、紧急状况:系统发现严重病毒
小菜刚刚学习了进程的概念和知识,于是就打开“任务管理器”观察系统中的进程,这一看不要紧,还真发现了一个“病毒”Svchost.exe,这家伙在系统进程列表中竟然有5个之多(见图1),于是小菜就逐个结束这些进程,没想到第二个进程结束后还会再生,而结束第四个进程时更离谱,系统提示“系统即将关机,离关机还有60秒”,进程再生、错误提示,这些典型的病毒“症状”更让小菜相信“Svchost.exe”是病毒无疑,但无法结束进程,又该怎么清除病毒呢?小菜只好请来了大嘴。
图1 数量众多的SVCHOST进程
大嘴过来后还没看电脑,就先告诉小菜,系统中的Svchost.exe进程是正常系统进程,不是病毒,不仅仅是你,其他朋友一看到系统中这么多的Svchost.exe进程,第一反应也感觉它是病毒,虽然系统中有多个Svchost.exe进程是正常的,但也不保证都是正常的。听起来似乎有些矛盾?这让小菜更有些迷糊,大嘴坐下后给小菜详细讲了起来。
二、松了口气:Svchost.exe是台“CD机”
1.服务装在“CD机”里
Svchost.exe是NT内核*作系统(Windows 2000/XP/2003都属于NT内核*作系统)独有的进程,“Svchost”其实就是“Service Host”(服务宿主)的缩写。微软官方对它的定义是:Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称,通俗讲,它就是一个服务装载器。大家可以把每个服务想象成一张音乐CD,而Svchost.exe就是用来播放这种CD的CD机。
2.为什么用“CD机”装服务
由于Windows 2000/XP系统服务越来越多,以EXE单独进程的形式启动所有服务会大大增加系统负担,为节省系统资源,微软将一些系统服务以动态链接库(DLL)形式实现,而Svchost.exe就是用来装载这些DLL文件以启动系统服务的程序。没有人会为了发行一张CD而制作一台专用播放此CD的CD机,微软也一样。
3.系统里有几台这样的“CD机”
那为什么系统进程列表中的Svchost.exe会有多个呢?微软为了让系统能更好地进行服务控制,就允许多个Svchost.exe进程同时运行,每个Svchost.exe进程可以包含一组服务,想像一下可以同时容纳3张甚至更多CD的多碟CD机。打开注册表[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]主键,在窗口右侧可以看到许多键值,这里的每个键值都代表一组服务,键值数据则包含了该组服务下面运行的服务名称列表,每组服务启动时都会通过单独的Svchost.exe进程来装载。Windows XP中默认共有六组服务(见图2),其中imgsvc、NetworkService、rpcss、termsvcs四个组,它们都只有一个服务运行,这些服务启动后的Svchost.exe进程用户名为“SYSTEM”。而LocalService和netsvcs组都启动了多个服务,它们的Svchost.exe进程用户名分别为“LOCAL SERVICE”和“NETWORD SERVICE”,从图1中可以看到这种区别。
图2 众多svchost进程的区别
当然了,这六组服务通常并不都是启动状态的,根据系统启动的服务不
svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对你系统的正常运行是非常重要,而且是不能被结束的。
(注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。更多详细信息参考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx,该进程的安全等级是建议立即删除。)
windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot%system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动
这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务
SVCHOST.EXE这个进程和很多系统服务有关,当然了我们对它进行优化,可以关闭许多不必要的系统服务。
你可以把下面这段代码复制到一个空的记事本中,然后另存为“.bat”格式的批处理文件,再运行这个批处理。就可以关闭无用的系统服务了,你会发现少了很多SVCHOST.EXE。
@echo off
REM 关闭“为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持”
sc config alg start= disabled
REM 关闭“Windows自动更新功能”
sc config wuauserv start= disabled
REM 关闭“剪贴簿查看器”
sc config clipsrv start= disabled
REM 关闭“Messenger”
sc config Messenger start= disabled
REM 关闭“通过NetMeeting远程访问此计算机”
sc config mnmsrvc start= disabled
REM 关闭“打印后台处理程序”
sc config Spooler start= disabled
REM 关闭“远程修改注册表”
sc config RemoteRegistry start= disabled
REM 关闭“监视系统安全设置和配置”
sc config wscsvc start= disabled
REM 关闭“系统还原”
sc config srservice start= disabled
REM 关闭“计划任务”
sc config Schedule start= disabled
REM 关闭“TCP/IP NetBIOS Helper”
sc config lmhosts start= disabled
REM 关闭“Telnet服务”
sc config tlntsvr start= disabled
REM 关闭“防火墙服务”
sc config sharedaccess start= disabled
REM 关闭“Computer Browser”
sc config Browser start= disabled
REM 关闭“错误报警”
sc config Alerter start= disabled
REM 关闭“错误报告”
sc config ERSvc start= disabled
REM 关闭“本地和远程计算机上文件的索引内容和属性”
sc config cisvc start= disabled
REM 关闭“管理卷影复制服务拍摄的软件卷影复制”
sc config SwPrv start= disabled
REM 关闭“支持网络上计算机 pass-through 帐户登录身份验证事件”
sc config NetLogon start= disabled
REM 关闭“为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制”
sc config NtLmSsp start= disabled
REM 关闭“收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报”
sc config SysmonLog start= disabled
REM 关闭“通过联机计算机重新获取任何音乐播放序号”
sc config WmdmPmSN start= disabled
REM 关闭“管理连接到计算机的不间断电源(UPS)”
sc config UPS start= disabled
SVCHOST.EXE进程占用高怎么办?揪出背后的罪魁祸首
当您运行了Windows任务管理器后,您可能会在“进程”选项卡中看到若干个名称均为SVCHOST.EXE的进程正在同时运行。而且,这些SVCHOST.EXE可能有一个或若干个占用了较多的系统资源,影响了计算机的工作效率。
SVCHOST.EXE 位于Windows\system32系统文件夹,其文件描述为“Generic Host Process for Win32 Services”。当Windows启动时,SVCHOST.EXE将自动检查Windows注册表的系统服务组成、构建系统服务列表,然后将相关 的.DLL动态链接库文件加载为具体的运行中的系统服务。因此,我们可以将SVCHOST.EXE看作一个“用于加载系统服务的宿主程序”。
由于每个SVCHOST.EXE进程可能会加载一个或若干个系统服务,直到所有的SVCHOST.EXE将全部系统服务加载完毕,所以我们会在任务管理器 中看到多个SVCHOST.EXE同时运行,这是设计使然。一般地,Windows XP/Windows Server 2003可能会有不超过六个SVCHOST.EXE同时运行;而Windows Vista/Windows Server 2008/Windows 7会有不少于十个SVCHOST.EXE同时运行。
当您在Windows任务管理器中查看 SVCHOST.EXE进程时,SVCHOST.EXE进程的“用户名”应该显示为SYSTEM、LOCAL SERVICE或NETWORK SERVICE。(如果在任务管理器中看不到“用户名”,请在菜单中选择“查看”-“列设置”,选中“用户名”复选框。)如果某个SVCHOST.EXE 进程的“用户名”显示的是用户帐户的名称(例如Administrator),则这个SVCHOST.EXE很可能是冒仿的恶意程序。
另外您需要确认,您看到的SVCHOST.EXE进程的名称拼写是否有误。比如假设显示的进程名称是SVCH0ST.EXE(用数字0替换了字母O),则 很可能是冒仿的恶意程序;再比如进程的名称虽然是SVCHOST.EXE,但此进程却没有位于Windows\system32(Windows Vista以上版本的任务管理器可以查看进程所在的文件夹路径),则也可能是冒仿的恶意程序。
由于SVCHOST.EXE是加载系统服务的宿主进程,所以您如果发现某SVCHOST.EXE进程占用的系统资源较多,即表明通过这个 SVCHOST.EXE进程加载的系统服务占用的系统资源较多。您首先需要确定通过这个SVCHOST.EXE进程加载的系统服务具体是什么,然后根据计 算机的实际情况决定是否关闭相应的系统服务、以释放服务占用的系统资源,这样SVCHOST.EXE即可释放相应的系统资源。
虽然大多数系统服务只有在遇到故障时才会占用较高的系统资源,但某些特殊的服务即使是正常工作状态也将消耗较多系统资源。例如Automatic Updates自动更新服务,当自动更新在后台搜索可用的系统更新程序时必将占用较高的资源,这是设计使然而不是故障。
判断一个SVCHOST.EXE加载了哪些系统服务有两种方法
方法一:
1. 在Windows任务管理器的“进程”选项卡中查看占用资源较高的SVCHOST.EXE进程对应的PID,将PID记下。(如果在任务管理器中看不到“PID”,请在菜单中选择“查看”-“列设置”,选中“PID”复选框。)
2. 以管理员权限运行命令提示符(CMD.EXE),在命令提示符中执行:
TASKLIST –SVC
您将看到类似如下所示的结果:
图像名 PID 服务
SVCHOST.EXE 1104 DcomLaunch,TermServices
SVCHOST.EXE 1188 RpcSs
……
3. 对 照您在任务管理器中看到的SVCHOST.EXE的PID,在上述结果中查找对应的 SVCHOST.EXE。例如,假设您在任务管理器中看到PID为1188的SVCHOST.EXE占用了较多系统资源,而TASKLIST –SVC的结果显示PID为1188的SVCHOST.EXE加载的服务是RpcSs,即表明RpcSs服务(Remote Procedure Call (RPC) 服务)占用了较高的系统资源。
方法二:
1. 在microsoft.com下载系统工具Process Explorer:
http://www.microsoft.com/technet/sysinternals/Utilities/ProcessExplorer.mspx (http://www.microsoft.com/technet/sysinternals/Utilities/ProcessExplorer.mspx)
2. 运行Process Explorer,在进程列表中找到占用系统资源较多的SVCHOST.EXE进程,右键单击选择Properties(属性),切换至Services(服务)选项卡,在这里即可查看SVCHOST.EXE进程加载的系统服务是什么。
同居露露露露
win7系统怎么打开任务管理器
1、用windows键+D返回桌面,现在无法返回,按住 Ctrl+Alt+Delete,弹出任务管理器,点击菜单栏“进程”,找到explorer.exe。2、选中explorer.exe,点击“结束进程”。3、返回“应用程序”,单击“新任务”弹出“创建新任务”...
win7任务管理器打不开怎么办
2、在“组策略”中依次展开“本地计算机 策略”——用户配置——管理模板——系统——Ctrl+Alt+Del 选项。3、在该列表中打开“删除任务管理器” 的属性。在属性中的“设置”选项卡选择“已启用”,确定后,Win7任务管理...
在Win7系统中无法打开“任务管理器”的解决方法?
2、在“组策略”中依次展开“本地计算机 策略”——用户配置——管理模板——系统——Ctrl+Alt+Del 选项。 3、在该列表中打开“删除任务管理器” 的属性。在属性中的“设置”选项卡选择“已启用”,确定后,Win7任务...
电脑win7任务管理器出现很多cmd.exe的进程
可能原因:电脑存在病毒以及木马 无用的加载项太多导致冲突造成 解决方法:使用360杀毒,腾讯电脑管家,百度杀毒等软件全盘扫描杀毒,清楚电脑病毒以及木马。禁用了cmd1,打开cmd (按开始-运行-输入“CMD”-打开-出现黑框) 2...
笔记本win7系统任务管理器被锁定的解决方法
笔记本win7系统任务管理器被锁定的解决方法介绍给大家,Windows任务管理器提供了有关计算机性能的信息,并显示了计算机上面所有运行的程序和进程的详细信息,我们可以直接查看到程序进程状况。最近有用户遇到任务管理器被锁,导致...
电脑如何打开任务管理器
方法一:同时按下键盘快捷键ctrl+shfit+esc, 启动任务管理器 方法二:右击任务栏空白处,选择“任务管理器”即可;方法三:按住Ctrl+Alt,点击Delate即可找到。
怎么打开win7任务管理器的六种最详细方法
方法五:运行指令打开win7任务管理器 1、组合快捷键唤出 运行 窗口,Win键+R键 2、输入taskmgr命令,确定即可 3、或者输入 C:WindowsSystem32 askmgr.exe,确定即可 方法六:文件查找打开win7任务管理器 首先打开计算机资源...
windows7的任务管理器 怎么打开我的电脑
方法六:文件查找打开Win7任务管理器 首先打开计算机资源管理器,在资源管理器的地址栏点击一下,此时其处于可输入状态,输入 C:\\Windows\\System32\\askmgr.exe,按回车键即可打开Win7资源管理器。以上就是Win7如何打开任务...
...想要点开任务管理器成这个样子,电脑是WIN7系统,请问怎么解决。_百 ...
1、点击『开始』菜单。2、点击“运行”并键入“gpedit.msc”(不包括双引号)后确定。3、在“组策略”中依次展开“本地计算机”策略\/用户配置\/管理模板\/系统\/Ctrl+Alt+Del 选项。4、在该列表中打开 删除“任务管理器” ...
开机后win7任务管理器不断重启的解决方法
重启电脑,一切完好,你们要相信这个世界上以及没有病毒了,除非你们用xp,哇咔咔。话说公司也遇到这个情况了,应该是SVN的某服务器出现问题。 打开任务管理器-结束explorer.exe-文件-创建新任务-浏览-找到...
