电脑是win7的,每次打开任务管理器都有很多svchost.exe 的进程,有的占用内存较大,影响电脑性能 电脑是win7的系统 打开任务管理器的进程 发现有10个sv...
Svchost.exe、lsass.exe、wdfmgr.exe,打开进程列表后你会发现一大堆不知用途的进程,究竟是系统进程还是木马病毒?如果打开系统文件夹,一大堆奇奇怪怪名称的文件,更是会把你弄得晕头转向。很多朋友因此而始终抱有一种未知的恐惧,认为木马、黑客无处不在,即使是高手,也不能把这些陌生的系统文件说个明明白白。为消除大家的疑惑,从这期开始为大家带来一档新的连载栏目——系统蓝色档案为大家曝光这些隐秘文件的秘密。两位主人公,现在就来认识一下。
主人公介绍
小菜:刚接触电脑不久的菜鸟,但对电脑知识有着非常浓厚的学习兴趣,常说的一句话是“菜鸟先飞”。
大嘴:乐于助人的老鸟,经常被别人冠以“大嘴高手”称号,不过这并不是指他嘴特别大,而是一谈到电脑知识就滔滔不绝。
一、紧急状况:系统发现严重病毒
小菜刚刚学习了进程的概念和知识,于是就打开“任务管理器”观察系统中的进程,这一看不要紧,还真发现了一个“病毒”Svchost.exe,这家伙在系统进程列表中竟然有5个之多(见图1),于是小菜就逐个结束这些进程,没想到第二个进程结束后还会再生,而结束第四个进程时更离谱,系统提示“系统即将关机,离关机还有60秒”,进程再生、错误提示,这些典型的病毒“症状”更让小菜相信“Svchost.exe”是病毒无疑,但无法结束进程,又该怎么清除病毒呢?小菜只好请来了大嘴。
图1 数量众多的SVCHOST进程
大嘴过来后还没看电脑,就先告诉小菜,系统中的Svchost.exe进程是正常系统进程,不是病毒,不仅仅是你,其他朋友一看到系统中这么多的Svchost.exe进程,第一反应也感觉它是病毒,虽然系统中有多个Svchost.exe进程是正常的,但也不保证都是正常的。听起来似乎有些矛盾?这让小菜更有些迷糊,大嘴坐下后给小菜详细讲了起来。
二、松了口气:Svchost.exe是台“CD机”
1.服务装在“CD机”里
Svchost.exe是NT内核*作系统(Windows 2000/XP/2003都属于NT内核*作系统)独有的进程,“Svchost”其实就是“Service Host”(服务宿主)的缩写。微软官方对它的定义是:Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称,通俗讲,它就是一个服务装载器。大家可以把每个服务想象成一张音乐CD,而Svchost.exe就是用来播放这种CD的CD机。
2.为什么用“CD机”装服务
由于Windows 2000/XP系统服务越来越多,以EXE单独进程的形式启动所有服务会大大增加系统负担,为节省系统资源,微软将一些系统服务以动态链接库(DLL)形式实现,而Svchost.exe就是用来装载这些DLL文件以启动系统服务的程序。没有人会为了发行一张CD而制作一台专用播放此CD的CD机,微软也一样。
3.系统里有几台这样的“CD机”
那为什么系统进程列表中的Svchost.exe会有多个呢?微软为了让系统能更好地进行服务控制,就允许多个Svchost.exe进程同时运行,每个Svchost.exe进程可以包含一组服务,想像一下可以同时容纳3张甚至更多CD的多碟CD机。打开注册表[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]主键,在窗口右侧可以看到许多键值,这里的每个键值都代表一组服务,键值数据则包含了该组服务下面运行的服务名称列表,每组服务启动时都会通过单独的Svchost.exe进程来装载。Windows XP中默认共有六组服务(见图2),其中imgsvc、NetworkService、rpcss、termsvcs四个组,它们都只有一个服务运行,这些服务启动后的Svchost.exe进程用户名为“SYSTEM”。而LocalService和netsvcs组都启动了多个服务,它们的Svchost.exe进程用户名分别为“LOCAL SERVICE”和“NETWORD SERVICE”,从图1中可以看到这种区别。
图2 众多svchost进程的区别
当然了,这六组服务通常并不都是启动状态的,根据系统启动的服务不
svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对你系统的正常运行是非常重要,而且是不能被结束的。
(注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。更多详细信息参考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx,该进程的安全等级是建议立即删除。)
windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot%system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动
这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务
SVCHOST.EXE这个进程和很多系统服务有关,当然了我们对它进行优化,可以关闭许多不必要的系统服务。
你可以把下面这段代码复制到一个空的记事本中,然后另存为“.bat”格式的批处理文件,再运行这个批处理。就可以关闭无用的系统服务了,你会发现少了很多SVCHOST.EXE。
@echo off
REM 关闭“为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持”
sc config alg start= disabled
REM 关闭“Windows自动更新功能”
sc config wuauserv start= disabled
REM 关闭“剪贴簿查看器”
sc config clipsrv start= disabled
REM 关闭“Messenger”
sc config Messenger start= disabled
REM 关闭“通过NetMeeting远程访问此计算机”
sc config mnmsrvc start= disabled
REM 关闭“打印后台处理程序”
sc config Spooler start= disabled
REM 关闭“远程修改注册表”
sc config RemoteRegistry start= disabled
REM 关闭“监视系统安全设置和配置”
sc config wscsvc start= disabled
REM 关闭“系统还原”
sc config srservice start= disabled
REM 关闭“计划任务”
sc config Schedule start= disabled
REM 关闭“TCP/IP NetBIOS Helper”
sc config lmhosts start= disabled
REM 关闭“Telnet服务”
sc config tlntsvr start= disabled
REM 关闭“防火墙服务”
sc config sharedaccess start= disabled
REM 关闭“Computer Browser”
sc config Browser start= disabled
REM 关闭“错误报警”
sc config Alerter start= disabled
REM 关闭“错误报告”
sc config ERSvc start= disabled
REM 关闭“本地和远程计算机上文件的索引内容和属性”
sc config cisvc start= disabled
REM 关闭“管理卷影复制服务拍摄的软件卷影复制”
sc config SwPrv start= disabled
REM 关闭“支持网络上计算机 pass-through 帐户登录身份验证事件”
sc config NetLogon start= disabled
REM 关闭“为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制”
sc config NtLmSsp start= disabled
REM 关闭“收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报”
sc config SysmonLog start= disabled
REM 关闭“通过联机计算机重新获取任何音乐播放序号”
sc config WmdmPmSN start= disabled
REM 关闭“管理连接到计算机的不间断电源(UPS)”
sc config UPS start= disabled
SVCHOST.EXE进程占用高怎么办?揪出背后的罪魁祸首
当您运行了Windows任务管理器后,您可能会在“进程”选项卡中看到若干个名称均为SVCHOST.EXE的进程正在同时运行。而且,这些SVCHOST.EXE可能有一个或若干个占用了较多的系统资源,影响了计算机的工作效率。
SVCHOST.EXE 位于Windows\system32系统文件夹,其文件描述为“Generic Host Process for Win32 Services”。当Windows启动时,SVCHOST.EXE将自动检查Windows注册表的系统服务组成、构建系统服务列表,然后将相关 的.DLL动态链接库文件加载为具体的运行中的系统服务。因此,我们可以将SVCHOST.EXE看作一个“用于加载系统服务的宿主程序”。
由于每个SVCHOST.EXE进程可能会加载一个或若干个系统服务,直到所有的SVCHOST.EXE将全部系统服务加载完毕,所以我们会在任务管理器 中看到多个SVCHOST.EXE同时运行,这是设计使然。一般地,Windows XP/Windows Server 2003可能会有不超过六个SVCHOST.EXE同时运行;而Windows Vista/Windows Server 2008/Windows 7会有不少于十个SVCHOST.EXE同时运行。
当您在Windows任务管理器中查看 SVCHOST.EXE进程时,SVCHOST.EXE进程的“用户名”应该显示为SYSTEM、LOCAL SERVICE或NETWORK SERVICE。(如果在任务管理器中看不到“用户名”,请在菜单中选择“查看”-“列设置”,选中“用户名”复选框。)如果某个SVCHOST.EXE 进程的“用户名”显示的是用户帐户的名称(例如Administrator),则这个SVCHOST.EXE很可能是冒仿的恶意程序。
另外您需要确认,您看到的SVCHOST.EXE进程的名称拼写是否有误。比如假设显示的进程名称是SVCH0ST.EXE(用数字0替换了字母O),则 很可能是冒仿的恶意程序;再比如进程的名称虽然是SVCHOST.EXE,但此进程却没有位于Windows\system32(Windows Vista以上版本的任务管理器可以查看进程所在的文件夹路径),则也可能是冒仿的恶意程序。
由于SVCHOST.EXE是加载系统服务的宿主进程,所以您如果发现某SVCHOST.EXE进程占用的系统资源较多,即表明通过这个 SVCHOST.EXE进程加载的系统服务占用的系统资源较多。您首先需要确定通过这个SVCHOST.EXE进程加载的系统服务具体是什么,然后根据计 算机的实际情况决定是否关闭相应的系统服务、以释放服务占用的系统资源,这样SVCHOST.EXE即可释放相应的系统资源。
虽然大多数系统服务只有在遇到故障时才会占用较高的系统资源,但某些特殊的服务即使是正常工作状态也将消耗较多系统资源。例如Automatic Updates自动更新服务,当自动更新在后台搜索可用的系统更新程序时必将占用较高的资源,这是设计使然而不是故障。
判断一个SVCHOST.EXE加载了哪些系统服务有两种方法
方法一:
1. 在Windows任务管理器的“进程”选项卡中查看占用资源较高的SVCHOST.EXE进程对应的PID,将PID记下。(如果在任务管理器中看不到“PID”,请在菜单中选择“查看”-“列设置”,选中“PID”复选框。)
2. 以管理员权限运行命令提示符(CMD.EXE),在命令提示符中执行:
TASKLIST –SVC
您将看到类似如下所示的结果:
图像名 PID 服务
SVCHOST.EXE 1104 DcomLaunch,TermServices
SVCHOST.EXE 1188 RpcSs
……
3. 对 照您在任务管理器中看到的SVCHOST.EXE的PID,在上述结果中查找对应的 SVCHOST.EXE。例如,假设您在任务管理器中看到PID为1188的SVCHOST.EXE占用了较多系统资源,而TASKLIST –SVC的结果显示PID为1188的SVCHOST.EXE加载的服务是RpcSs,即表明RpcSs服务(Remote Procedure Call (RPC) 服务)占用了较高的系统资源。
方法二:
1. 在microsoft.com下载系统工具Process Explorer:
http://www.microsoft.com/technet/sysinternals/Utilities/ProcessExplorer.mspx (http://www.microsoft.com/technet/sysinternals/Utilities/ProcessExplorer.mspx)
2. 运行Process Explorer,在进程列表中找到占用系统资源较多的SVCHOST.EXE进程,右键单击选择Properties(属性),切换至Services(服务)选项卡,在这里即可查看SVCHOST.EXE进程加载的系统服务是什么。
同居露露露露
笔记本电脑每次开机都要通过任务管理器打开有没有什么可以直接打开的...
如果您每次开机需要通过任务管理器打开笔记本电脑,可能是因为某些进程出现了问题。我们可以尝试以下几种方法来解决这个问题:1.进入“任务管理器”->“启动”,找到需要开机自启的程序,然后右键选择“启用”。2.进入“开始菜单”->“启动文件夹”,将需要开机自启的程序直接放入其中。3.在运行窗口中(WI...
win7系统中,每次打开任务管理器,屏幕都会黑一下,这是什么原因啊
这是WIN7的正常反应吧,现在的任务管理器不像XP系统了,打开它会先全屏一下,然后缩小,因为大家知道,这个WIN7的可视化效果主要讲究的就是窗口化,所以是正常的。
Win7打开任务管理提示找不到应用程序taskmgr.exe如何解决
推荐:笔记本专用win7系统下载1、全盘杀毒,如果杀毒软件不能启动,能做的就是格式化C盘,重装系统了;2、未发现病毒的话,打开C:\\Windows\\System32文件夹,看里面有没有taskmgr.exe(未设置显示后缀名的情况下,没有后面的.exe),没有的话,去同版本系统上,用U盘复制一个过来,粘贴到同名文件夹下,...
为什么我电脑每次开机后都要打开任务管理器然后关掉
1、首先右击桌面选排列图标\/勾选显示桌面图标。2、如果故障依旧,打开任务管理器(按下“Ctrl+Alt+Del”组合键即可打开),点击“文件”→“新建任务”,在打开的“创建新任务”对话框中输入“explorer”,单击“确定”按钮后,稍等一下就可以见到桌面图标了。 3、如果故障依旧,按Windows键+R打开运行...
为什么我的Win7电脑打开任务管理器怎么不一样呀?
可能是关闭了工具栏和菜单栏,在任务管理器顶端双击,就会弹出工具栏和菜单栏,界面也就回到跟原来的一样了。
为什么我的电脑要打开任务管理器才有反应?
如果您的电脑在启动或运行时需要打开任务管理器才能有反应,可能是由于以下几个原因:1. 病毒或恶意软件感染:恶意软件可能会占用系统资源,导致电脑变慢或无法正常运行。使用杀毒软件扫描系统以查找和清除任何潜在的恶意软件。2. 资源占用:某些应用程序可能会占用大量系统资源,导致电脑变慢或无法正常运行。
win7系统怎么打开任务管理器
1、用windows键+D返回桌面,现在无法返回,按住 Ctrl+Alt+Delete,弹出任务管理器,点击菜单栏“进程”,找到explorer.exe。2、选中explorer.exe,点击“结束进程”。3、返回“应用程序”,单击“新任务”弹出“创建新任务”窗口。4、在其中输入explorer.exe,按确定即可解决。
我的电脑是win7系统,我电脑的任务管理器每次打开都是这样的(如图),请问...
鼠标左键双击第二圈白框处。
电脑每次开机都要用任务管理器新建任务打开桌面?怎么办
一.开机后,进入到你看不到桌面图标和无任务栏的界面,按组合键ctrl+alt+del调出任务管理器,点击文件-新建-explorer.exe 应该就可以看到桌面以及任务栏了。这可能是你的关键进程explorer出了问题,你可以从别人的电脑中拷一个explorer.exe到你的电脑上,覆盖掉就可以了,explorer.exe的位置在c盘的...
Win7系统遇到任务管理器打不开怎么办?
win7系统任务管理器提供了有关计算机性能的信息,并显示了计算机上所运行的程序和进程的详细信息,占据比较重要的位置。任务管理器是使用频率很高的一个功能,而打开的方法也有很多,如果有遇到任务管理器打不开的情况,不要着急,下面小编来给大家介绍Win7系统遇到任务管理器打不开情况的多种解决方法。具体...
