SiS001! Board - [第一会所关闭注册]

标题: [求助] svchost.exe占用CPU100% [打印本页]

作者: oubasong 时间: 2011-1-10 19:53 标题: svchost.exe占用CPU100%

局域网内的2台电脑，运行一段时间后svchost.exe占用CPU100%。GOOGLE一下说是开启了自动升级，可以电脑的自动升级已经关闭了。装完系统唯一改动的就是设置了时间同步的NTP服务，是否和这个有关系？

作者: Ver3ace 时间: 2011-1-10 20:31

重装一下系统试试。
svchost不应该占用那么高的。。除非有病毒。

作者: blueken 时间: 2011-1-10 20:31

svchost.exe是系统进程，你电脑应该是中毒了。
和NTP没关系。

作者: 神王 时间: 2011-1-10 20:31

肯定是病毒，有很多老版的恶心病毒都是伪装SVCHOST这个问题件的

作者: nacydd1989 时间: 2011-1-10 20:34

简单的说没有这个RPC服务，机器几乎就上不了网了。很多应用服务都是依赖于这个RPC接口的，如果发现这个进程占了太多的CPU资源，直接把系统的RPC服务禁用了会是一场灾难：因为连恢复这个界面的系统服务设置界面都无法使用了。恢复的方法需要使用注册表编辑器，找到 HKEY_LOCAL_MACHINE >> SYSTEM >> CurrentControlSet >> Services >> RpcSs, 右侧找到Start属性，把它的值改为2再重启即可

作者: maomaotaba 时间: 2011-1-10 20:48

那个和时间同步没关系。
对于svchost.exe关联：
微软官方对它的解释是Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。一个win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程Windows Vista 系统时svchost 进程多达12个。微软把很多服务做成共享方式，交由svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动。也就是说，很多服务的启动靠它进行。
对于病毒的鉴定，很简单，打开任务管理器，进程里面看一下svchost，在每个svchost上面右键“属性”，应该看见全部座落于c:\windows\system32文件夹之中。如果不是，那就是病毒。病毒的清理你可以参照http://baike.baidu.com/view/29490.htm病毒清除办法章节。
但是个人感觉条件允许的话，重装最好。

如果不是病毒，手动运行Windows Update，把所有该更新的全部更新一次看看。更新是很大的可能，更新时为什么慢？他是一个自动下载安装并且加载到系统的过程。手动把所有该更新的全部更新一次看看。

还不行的话请你参照以下：
清空C:\WINDOWS\SoftwareDistribution 目录下所有的文件重启机器即可。（C:\WINDOWS\SoftwareDistribution是Windows update服务的临时文件存放目录）

如果机器提示文件正在使用（"Automatic Updates"服务正在运行）无法删除相应目录：

则想办法打开控制面板==>管理工具==>服务，找到"Automatic Updates"，设置成手动启动，
重启后再删除 C:\WINDOWS\SoftwareDistribution。问题就解决了。
然后再打开控制面板==>管理工具==>服务，找到"Automatic Updates"，恢复成自动启动重启。
注意：重启后最好在上网条件比较好的地方让系统顺利完成一次系统自动更新
另外注明：这个不是我原创，而是我以前学习电脑时搜集的资料。希望可以帮你。

作者: renrenlele 时间: 2011-1-10 21:05

以前有朋友也是这样
貌似是局域网内有人ARP攻击
你装个彩影防火墙试下

作者: wzc868 时间: 2011-1-10 21:09

我以前也是常出现这样的问题，这次受教了

作者: baojigang1 时间: 2011-1-10 21:13

建议重装系统因为有些病毒很环顾

作者: stepsnow1 时间: 2011-1-10 22:00

svchost.exe出问题，很多时候都是和“蠕虫”类病毒有关，一般是染毒了，建议杀毒

作者: owhy 时间: 2011-1-10 22:08

个人感觉是中毒了。。这个是系统文件。。现在有很多病毒都会假装成系统文件的。。如果杀了毒还是这样的话就重装吧。

作者: Actuary 时间: 2011-1-10 22:10

svchost.exe 楼主仔细检测这个进程名字可能回事svch0st.exe 等伪装的名称如果cpu占用过高则需要杀毒

作者: cmtg2 时间: 2011-1-10 22:13

受教了，和楼主同感，有些问题解决不了来这里取经也好啊！

作者: wsx147 时间: 2011-1-10 22:51

是中毒了
建议杀一下毒，或者重装系统。都很方便的

作者: couldy002 时间: 2011-1-10 22:54

可以肯定的说，楼主，你中招了，快快全盘杀毒吧。

作者: qwefb123 时间: 2011-1-10 23:11

xp一般有 4 ,5个如果多了很可能是病毒伪装的

作者: asdfaaa2 时间: 2011-1-10 23:15

一般中毒的机率大些，和时间同步的NTP服务没有太大关系，下个大蜘蛛CUREIT杀杀看吧。

作者: fgxt520 时间: 2011-1-10 23:55

6 楼说的很具体很详细
5 楼讲的也恨受用顶了。

作者: cgong 时间: 2011-1-11 00:04

如果重新开机还这样的话就就重装个系统，应该不是病毒

作者: kart891209 时间: 2011-1-11 00:05

应该是病毒，如果机器好建议装卡巴斯基，机器差些建议装小红伞！

作者: 75119565 时间: 2011-1-11 06:56

我怀疑那个是病毒啦！！svchost系统是有这个进程，但不可能占用那么大的CPU的。。。。

作者: alientao 时间: 2011-1-11 07:23

一方面是可能病毒还有就是可能运行的程序有关吧

作者: hkcc07 时间: 2011-1-11 14:36

svchost.exe是正常的系统进程吧你中毒了

作者: pullback 时间: 2011-1-11 17:23

应该是中毒了杀毒或者重装系统或者google一下看看有什么办法

作者: qq345396498 时间: 2011-1-11 19:21 标题: 回复 1楼的帖子

svchost.exe造成CPU使用率占用100%

在win.ini文件中，在[Windows]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什幺都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那幺后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记:有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\Windows\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马该病毒也称为“Code Red II(红色代码2)”病毒，与早先在西方英文系统下流行“红色代码”病毒有点相反，在国际上被称为VirtualRoot(虚拟目录)病毒。该蠕虫病毒利用Microsoft已知的溢出漏洞，通过80端口来传播到其它的Web页服务器上。受感染的机器可由黑客们通过Http Get的请求运行scripts/root.exe来获得对受感染机器的完全控制权。
当感染一台服务器成功了以后，如果受感染的机器是中文的系统后，该程序会休眠2天，别的机器休眠1天。当休眠的时间到了以后，该蠕虫程序会使得机器重新启动。该蠕虫也会检查机器的月份是否是10月或者年份是否是2002年，如果是，受感染的服务器也会重新启动。当Windows NT系统启动时，NT系统会自动搜索C盘根目录下的文件explorer.exe，受该网络蠕虫程序感染的服务器上的文件explorer.exe也就是该网络蠕虫程序本身。该文件的大小是8192字节，VirtualRoot网络蠕虫程序就是通过该程序来执行的。同时，VirtualRoot网络蠕虫程序还将cmd.exe的文件从Windows NT的system目录拷贝到别的目录，给黑客的入侵敞开了大门。它还会修改系统的注册表项目，通过该注册表项目的修改，该蠕虫程序可以建立虚拟的目录C或者D，病毒名由此而来。值得一提的是，该网络蠕虫程序除了文件explorer.exe外，其余的操作不是基于文件的，而是直接在内存中来进行感染、传播的，这就给捕捉带来了较大难度。

”程序的文件名，再在整个注册表中搜索即可。

我们先看看微软是怎样描述svchost.exe的。在微软知识库314056中对svchost.exe有如下描述:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。

其实svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中，在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个，而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个svchost.exe不用那幺担心。

svchost.exe到底是做什幺用的呢?

首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。由于Windows系统中的服务越来越多，为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那svchost.exe在这中间是担任怎样一个角色呢?

svchost.exe的工作就是作为这些服务的宿主，即由svchost.exe来启动这些服务。svchost.exe只是负责为这些服务提供启动的条件，其自身并不能实现任何服务的功能，也不能为用户提供任何服务。svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。

svchost.exe是病毒这种说法是任何产生的呢?

因为svchost.exe可以作为服务的宿主来启动服务，所以病毒、木马的编写者也挖空心思的要利用svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。

如何才能辨别哪些是正常的svchost.exe进程，而哪些是病毒进程呢?

svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”，如图1所示。图1中每个键值表示一个独立的svchost.exe组。

微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd，然后在命令行模式中输入:tasklist /svc。系统列出如图2所示的服务列表。图2中红框包围起来的区域就是svchost.exe启动的服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染，svchost.exe的服务出现异常的话通过搜索 svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下的svchost.exe程序。如果你在其它目录下发现svchost.exe程序的话，那很可能就是中毒了。

还有一种确认svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具。

上面简单的介绍了svchost.exe进程的相关情况。总而言之，svchost.exe是一个系统的核心进程，并不是病毒进程。但由于svchost.exe进程的特殊性，所以病毒也会千方百计的入侵svchost.exe。通过察看svchost.exe进程的执行路径可以确认是否中毒

作者: lonefir 时间: 2011-1-11 21:03

局域网被呗arp攻击了，瑞星有个防arp攻击的，楼主试试看

作者: chushikai 时间: 2011-1-11 21:06

直接结束掉那个进程试试,如果电脑黑屏了就重装系统,没有就可以玩了

作者: gao12001 时间: 2011-1-11 21:36

估计是中毒了，建议查毒，以前我也经常这样。

作者: 花流水 时间: 2011-1-11 21:43

一般是染毒了，建议杀毒或重装系统

作者: suiyiqiufeng 时间: 2011-1-11 21:59

这个很明显是中毒了，建议重装系统应该就可以了

作者: waice 时间: 2011-1-11 22:20

将IP地址由自动获取改为手工指定，手工输入IP地址！

作者: cri009 时间: 2011-1-11 23:04

svchost.exe是系统进程，有点像所有应用程序使用网络的代理。
楼主看看查毒如果查不出来的话，就看看网络占用率是不是很高吧。如果网络占用率高，最好用监控软件吧那个大量占用网络的应用找出来，应该不是svchost自己发起的网络应用。

作者: hcx668 时间: 2011-1-11 23:10

中毒了，还有一种情况是内存条不兼容导致，更换内存条可以解决问题。

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://67.220.92.14/forum/)