Q1:win7系統里有過多的svchost進程(13個!)怎麼辦?
在基於nt內核的windows作業係統家族中,不同版本的windows系統,存在不同數量的“svchost”進程,用戶使用“任務管理器”可查看其進程數目。一般來說,win2000有兩個svchost進程,winxp中則有四個或四個以上的svchost進程(以後看到系統中有多個這種進程,千萬別立即判定系統有病毒了喲),而win7中則更多。
13個svchost進程也是正常的,
解決svchost.exe進程占cpu過高的問題
相信很多人都遇到過電腦啟動後,有一個進程svchost.exe進程占cpu經常90%以上的現象,電腦變得很慢,過一會或者好長時間才能恢復,原因大多是因為windows的自動更新服務在作怪,時間長了,自動更新服務要掃描更新的內容很多,自然就會花費很長時間了。解決方法如下:
我也曾碰到這問題,參照網上介紹的一種方法解決了。轉帖:
清空C:\WINDOWS\SoftwareDistribution 目錄下所有的文件重啟機器
如果機器提示文件正在使用("Automatic Updates"服務正在執行)無法刪除相應目錄:
打開控制面板==>管理工具==>服務,找到"Automatic Updates",設置成手動啟動,
重啟後再刪除 C:\WINDOWS\SoftwareDistribution
再把"Automatic Updates"恢復成自動啟動重啟.
svchost.exe 吃掉所有 CPU 資源的原因很多,不過我的狀況都是在執行 Windwos Update 時發生的(或是自動更新服務 Automatic Updates 執行時)。因此解決方法主要就是把 Windows 的自動更新重設一次,步驟如下:
一、首先檢查系統服務的狀態。
1. 點「開始」–>「執行」,輸入「services.msc」後按「確定」。
2. 在服務「Automatic Updates」上點二下。
3. 點選「登入」頁簽,確定登入身分為「本機系統帳戶」且「允許服務與桌面互動」“沒有”被選取。
4. 確認服務已在目前的「硬體設定檔」中被啟用,如果沒有,按下「啟用」按鈕。
5. 點選「一般」頁簽,確定「啟動類型」為「自動」,然後按下「啟動」按鈕以啟動服務。
6. 對「Background Intelligent Transfer Service (BITS) 」服務重覆 2 ~ 5 的步驟。
二、接著重新注冊 Windwos Update 的元件。
1. 點選「開始」–>「執行」。
2. 輸入「REGSVR32 WUAPI.DLL」後按 Enter。
3. 當看到 “DllRegisterServer 在 WUAPI.DLL 成功” 的訊息後按下「確定」。
4. 重覆上述步驟重新注冊下列元件
REGSVR32 WUAUENG.DLL
REGSVR32 WUAUENG1.DLL
REGSVR32 ATL.DLL
REGSVR32 WUCLTUI.DLL
REGSVR32 WUPS.DLL
REGSVR32 WUPS2.DLL
REGSVR32 WUWEB.DLL
三、最後清除可能已損壞了的 Windows Update 暫存目錄。
1. 點「開始」–>「執行」,輸入「cmd」後按「確定」。
2. 在命令提示字元中鍵入以下指令。(若出現錯誤訊息請先重開機後再報執行一次)
net stop WuAuServ
2. 點「開始」–>「執行」,輸入「%windir%」後按「確定」。
3. 找到「SoftwareDistribution」並更名為「SDold」。
4. 點「開始」–>「執行」,輸入「cmd」後按「確定」,並在在命令提示字元中鍵入以下指令。
net start WuAuServ
四、大功告成!
Q2:win7系統下svchost.exe進程占用49%CPU,如果終止進程則無法上網。360殺毒也查不出來。急求解決方法!!
這個問題我的電腦也有,我看了一下任務管理器,上面顯示居然又十四項都是svchost.exe程式。但是提示說“大量占用系統資源,導致CPU過熱,建議終止該進程”的時候很少,點擊終止的話,qq程式就終止了,其他的還是照常的。但是終止後再次執行qq程式依然能夠登上。所以,這應該是win7系統中的一個小瑕疵,不足掛齒,對電腦的其他事情沒有什麼很大的影響。
Q3:我的是win7系統的,,svchost.exe是什麼進程。經常占我一半的cpu。是否可以關閉。
系統中的Svchost.exe進程是正常系統進程,不是病毒,不僅僅是你,其他朋友一看到系統中這麼多的 Svchost.exe進程,第一反應也感覺它是病毒,雖然系統中有多個Svchost.exe進程是正常的,但也不保證都是正常的。
Svchost”其實就是“Service Host”(服務宿主)的縮寫。微軟官方對它的定義是:Svchost.exe是從動態鏈接庫(DLL)中執行的服務的通用主機進程名稱,通俗講,它就是一個服務裝載器。可以把每個服務想象成一張音樂CD,而Svchost.exe就是用來播放這種CD的CD機。
svchost進程的區別:
微軟為了讓系統能更好地進行服務控制,就允許多個Svchost.exe進程同時執行,每個 Svchost.exe進程可以包含一組服務,想像一下可以同時容納3張甚至更多CD的多碟CD機。打開注冊表[HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Svchost]主鍵,在窗口右側可以看到許多鍵值,這里的每個鍵值都代表一組服務,鍵值資料則包含了該組服務下面執行的服務名稱列表,每組服務啟動時都會透過單獨的Svchost.exe進程來裝載。Windows XP中默認共有六組服務(見圖2),其中imgsvc、NetworkService、rpcss、termsvcs四個組,它們都只有一個服務執行,這些服務啟動後的Svchost.exe進程用戶名為“SYSTEM”。而LocalService和netsvcs組都啟動了多個服務,它們的 Svchost.exe進程用戶名分別為“LOCAL SERVICE”和“NETWORD SERVICE”
小提示:點擊“開始→執行”,在執行框中輸入“CMD”回車,然後在打開的命令行窗口中輸入“Tasklist /svc”(不含引號)命令,可以更直觀地看到每個Svchost.exe進程裝載的服務名稱列表
小心病毒的騙局:
騙局1:利用假冒Svchost.exe名稱的病毒程式
火眼金睛:這種方式執行的病毒並沒有直接利用真正的Svchost.exe進程,而是啟動了另外一個名稱同樣是Svchost.exe的病毒進程,由於這個假冒的病毒進程並沒有加載系統服務,它和真正的Svchost.exe進程是不同的,只需在命令行窗口中執行一下“Tasklist /svc”,如果看到哪個Svchost.exe進程後面提示的服務信息是“暫缺”(見圖6),而不是一個具體的服務名,那麼它就是病毒進程了,記下這個病毒進程對應的PID數值(進程標識符),即可在任務管理器的進程列表中找到它,結束進程後,在C盤搜索Svchost.exe文件,也可以用第三方進程工具直接查看該進程的路徑,正常的Svchost.exe文件是位於%systemroot%\System32目錄中的,而假冒的 Svchost.exe病毒或木馬文件則會在其他目錄,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隱藏在 Windows\System32\Wins目錄中,將其刪除,並徹底清除病毒的其他資料即可。
騙局2:一些高級病毒則采用類似系統服務啟動的方式,透過真正的Svchost.exe進程加載病毒程式,而Svchost.exe是透過注冊表資料來決定要裝載的服務列表的,所以病毒通常會在注冊表中采用以下方法進行加載:
添加一個新的服務組,在組里添加病毒服務名
在現有的服務組里直接添加病毒服務名
修改現有服務組里的現有服務屬性,修改其“ServiceDll”鍵值指向病毒程式
判斷方法:病毒程式要透過真正的Svchost.exe進程加載,就必須要修改相關的注冊表資料,可以打開[HKEY_LOCAL_MACHINE\ Software\Microsoft\WindowsNT\CurrentVersion\Svchost],觀察有沒有增加新的服務組,同時要留意服務組中的服務列表,觀察有沒有可疑的服務名稱,通常來說,病毒不會在只有一個服務名稱的組中添加,往往會選擇LocalService和netsvcs這兩個加載服務較多的組,以干擾分析,還有透過修改服務屬性指向病毒程式的,透過注冊表判斷起來都比較困難,這時可以利用前面介紹的服務管理專家,分別打開 LocalService和netsvcs分支,逐個檢查右邊服務列表中的服務屬性,尤其要注意服務描述信息全部為英文的,很可能是第三方安裝的服務,同時要結合它的文件描述、版本、公司等相關信息,進行綜合判斷。例如這個名為PortLess BackDoor的木馬程式,在服務列表中可以看到它的服務描述為“Intranet Services”,而它的文件版本、公司、描述信息更全部為空(見圖7),如果是微軟的系統服務程式是絕對不可能出現這種現象的。從啟動信息“C:\ WINDOWS\System32\svchost.exe -k netsvcs”中可以看出這是一款典型的利用Svchost.exe進程加載執行的木馬,知道了其原理,清除方法也很簡單了:先用服務管理專家停止該服務的執行,然後執行regedit.exe打開“注冊表編輯器”,刪除[HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\IPRIP]主鍵,重新啟動計算機,再刪除%systemroot%\System32目錄中的木馬源程式“svchostdll.dll”,透過按時間排序,又發現了時間完全相同的木馬安裝程式“PortlessInst.exe”,一並刪除即可。
