Q1:win7系统里有过多的svchost进程(13个!)怎么办?
在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win7中则更多。
13个svchost进程也是正常的,
解决svchost.exe进程占cpu过高的问题
相信很多人都遇到过电脑启动后,有一个进程svchost.exe进程占cpu经常90%以上的现象,电脑变得很慢,过一会或者好长时间才能恢复,原因大多是因为windows的自动更新服务在作怪,时间长了,自动更新服务要扫描更新的内容很多,自然就会花费很长时间了。解决方法如下:
我也曾碰到这问题,参照网上介绍的一种方法解决了。转帖:
清空C:\WINDOWS\SoftwareDistribution 目录下所有的文件重启机器
如果机器提示文件正在使用("Automatic Updates"服务正在运行)无法删除相应目录:
打开控制面板==>管理工具==>服务,找到"Automatic Updates",设置成手动启动,
重启后再删除 C:\WINDOWS\SoftwareDistribution
再把"Automatic Updates"恢复成自动启动重启.
svchost.exe 吃掉所有 CPU 资源的原因很多,不过我的状况都是在执行 Windwos Update 时发生的(或是自动更新服务 Automatic Updates 执行时)。因此解决方法主要就是把 Windows 的自动更新重设一次,步骤如下:
一、首先检查系统服务的状态。
1. 点「开始」–>「执行」,输入「services.msc」后按「确定」。
2. 在服务「Automatic Updates」上点二下。
3. 点选「登入」页签,确定登入身分为「本机系统帐户」且「允许服务与桌面互动」“没有”被选取。
4. 确认服务已在目前的「硬体设定档」中被启用,如果没有,按下「启用」按钮。
5. 点选「一般」页签,确定「启动类型」为「自动」,然后按下「启动」按钮以启动服务。
6. 对「Background Intelligent Transfer Service (BITS) 」服务重覆 2 ~ 5 的步骤。
二、接著重新注册 Windwos Update 的元件。
1. 点选「开始」–>「执行」。
2. 输入「REGSVR32 WUAPI.DLL」后按 Enter。
3. 当看到 “DllRegisterServer 在 WUAPI.DLL 成功” 的讯息后按下「确定」。
4. 重覆上述步骤重新注册下列元件
REGSVR32 WUAUENG.DLL
REGSVR32 WUAUENG1.DLL
REGSVR32 ATL.DLL
REGSVR32 WUCLTUI.DLL
REGSVR32 WUPS.DLL
REGSVR32 WUPS2.DLL
REGSVR32 WUWEB.DLL
三、最后清除可能已损坏了的 Windows Update 暂存目录。
1. 点「开始」–>「执行」,输入「cmd」后按「确定」。
2. 在命令提示字元中键入以下指令。(若出现错误讯息请先重开机后再报执行一次)
net stop WuAuServ
2. 点「开始」–>「执行」,输入「%windir%」后按「确定」。
3. 找到「SoftwareDistribution」并更名为「SDold」。
4. 点「开始」–>「执行」,输入「cmd」后按「确定」,并在在命令提示字元中键入以下指令。
net start WuAuServ
四、大功告成!
Q2:win7系统下svchost.exe进程占用49%CPU,如果终止进程则无法上网。360杀毒也查不出来。急求解决方法!!
这个问题我的电脑也有,我看了一下任务管理器,上面显示居然又十四项都是svchost.exe程序。但是提示说“大量占用系统资源,导致CPU过热,建议终止该进程”的时候很少,点击终止的话,qq程序就终止了,其他的还是照常的。但是终止后再次运行qq程序依然能够登上。所以,这应该是win7系统中的一个小瑕疵,不足挂齿,对电脑的其他事情没有什么很大的影响。
Q3:我的是win7系统的,,svchost.exe是什么进程。经常占我一半的cpu。是否可以关闭。
系统中的Svchost.exe进程是正常系统进程,不是病毒,不仅仅是你,其他朋友一看到系统中这么多的 Svchost.exe进程,第一反应也感觉它是病毒,虽然系统中有多个Svchost.exe进程是正常的,但也不保证都是正常的。
Svchost”其实就是“Service Host”(服务宿主)的缩写。微软官方对它的定义是:Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称,通俗讲,它就是一个服务装载器。可以把每个服务想象成一张音乐CD,而Svchost.exe就是用来播放这种CD的CD机。
svchost进程的区别:
微软为了让系统能更好地进行服务控制,就允许多个Svchost.exe进程同时运行,每个 Svchost.exe进程可以包含一组服务,想像一下可以同时容纳3张甚至更多CD的多碟CD机。打开注册表[HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Svchost]主键,在窗口右侧可以看到许多键值,这里的每个键值都代表一组服务,键值数据则包含了该组服务下面运行的服务名称列表,每组服务启动时都会通过单独的Svchost.exe进程来装载。Windows XP中默认共有六组服务(见图2),其中imgsvc、NetworkService、rpcss、termsvcs四个组,它们都只有一个服务运行,这些服务启动后的Svchost.exe进程用户名为“SYSTEM”。而LocalService和netsvcs组都启动了多个服务,它们的 Svchost.exe进程用户名分别为“LOCAL SERVICE”和“NETWORD SERVICE”
小提示:点击“开始→运行”,在运行框中输入“CMD”回车,然后在打开的命令行窗口中输入“Tasklist /svc”(不含引号)命令,可以更直观地看到每个Svchost.exe进程装载的服务名称列表
小心病毒的骗局:
骗局1:利用假冒Svchost.exe名称的病毒程序
火眼金睛:这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”(见图6),而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的 Svchost.exe病毒或木马文件则会在其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在 Windows\System32\Wins目录中,将其删除,并彻底清除病毒的其他数据即可。
骗局2:一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载:
添加一个新的服务组,在组里添加病毒服务名
在现有的服务组里直接添加病毒服务名
修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序
判断方法:病毒程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\ Software\Microsoft\WindowsNT\CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开 LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,而它的文件版本、公司、描述信息更全部为空(见图7),如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\ WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\IPRIP]主键,重新启动计算机,再删除%systemroot%\System32目录中的木马源程序“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInst.exe”,一并删除即可。
