xp里面svchost.exe是啥进程?我里面怎么有好几个一样的这东西?

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了xp里面svchost.exe是啥进程?我里面怎么有好几个一样的这东西?相关的知识,希望对你有一定的参考价值。

而且我的机器进程有时会猛涨 最后当机了 是什么原因?杀不出毒~~

svchost.exe 存在 %windir%\system32\wins 下。

Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。

Svchost.exe 组是用下面的注册表值来识别。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service

如果怀疑svchost.exe是病毒可以通过以下方法来证实是不是病毒:1.可以去 wins 目录找找有无多余,2.可以搜搜windows文件夹中 svchost.exe 看看有几个(应为1个),3.tlist -s察看,4.也可以下载一个可以看带路径名的进程的浏览工具。
问:我的系统进程里有四个svchost.exe,听说有些木马就是伪装成系统的进程,不知道这个是不是?
答:svchost.exe 存在 %windir%\system32\wins 下。

如果怀疑svchost.exe是病毒可以通过以下方法来证实是不是病毒:1.可以去 wins 目录找找有无多余,2.可以搜搜windows文件夹中 svchost.exe 看看有几个(应为1个),3.tlist -s察看,4.也可以下载一个可以看带路径名的进程的浏览工具。

问:svchost.exe是起什么作用的进程?

答:Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。

Svchost.exe 组是用下面的注册表值来识别。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Servicef
CPU资源占用100%解决方法[推荐]
1、驱动没有经过认证,造成CPU资源占用100%。大量的测试版的驱动在网上泛滥,造成了难以发现的故障原因。

2、防杀毒软件造成故障。由于新版的KV、金山、瑞星都加入了对网页、插件、邮件的随机监控,无疑增大了系统负担。

3、病毒、木马造成。大量的蠕虫病毒在系统内部迅速复制,造成CPU占用资源率据高不下。解决办法:使用最新的杀毒软件在DOS模式下进行杀毒。经常性更新升级杀毒软件和防火墙,加强防毒意识,掌握正确的防杀毒知识。

4、控制面板—管理工具—服务—RISING REALTIME MONITOR SERVICE点鼠标右键,改为手动。

5、关闭瑞星软件的“硬盘定时备份”项。卸载现有的瑞星程序,然后下载最新完整升级包,用WINRAR解开以后再安装。

6、开始->运行->msconfig->启动,关闭不必要的启动项,重启。

7、查看“svchost”进程。

Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在Windows XP中,在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows 2000中Svchost.exe进程的数目为2个,而在Windows XP中Svchost.exe进程的数目就上升到了4个及4个以上。

如何才能辨别哪些是正常的Svchost.exe进程,而哪些是病毒进程呢?

Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”,每个键值表示一个独立的Svchost.exe组。

微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。系统列出服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。

如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。

还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。

上面简单的介绍了Svchost.exe进程的相关情况。总而言之,Svchost.exe是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。

8、查看网络连接。主要是网卡。

9、把网卡、显卡、声卡卸载,然后重新安装一下驱动。

10、重装系统、常用软件、当然也要装驱动,用几天看一下。若不会出现这种问题,再装上其他软件,但是最好是一个软件装完,先用几天。现会出现问题再接着装!
参考技术A Windows XP 常见的进程列表
最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统
就能正常运行)

smss.exe Session Manager
csrss.exe 子系统服务器进程
winlogon.exe 管理用户登录
services.exe 包含很多系统服务
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。
(系统服务)
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务)
svchost.exe 包含很多系统服务
svchost.exe
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务)
explorer.exe 资源管理器
internat.exe 托盘区的拼音图标

附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减
少)
mstask.exe 允许程序在指定时间运行。(系统服务)
regsvc.exe 允许远程注册表操作。(系统服务)
winmgmt.exe 提供系统管理信息(系统服务)。
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务)
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务)
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务)
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务
的一部分。(系统服务)
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000
Professional 桌面会话以及运行在服务器上的基于 Windows 的程序。(系统服务)
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务)

以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000
Professional 的能力。(系统服务)
支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及
Quote of the Day。(系统服务)
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服
务)
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务)
wins.exe 为注册和解析 NetBios 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。
(系统服务)
llssrv.exe License Logging Service(system service)
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务)
RsSub.exe 控制用来远程储存数据的媒体。(系统服务)
locator.exe 管理 RPC 名称服务数据库。(系统服务)
lserver.exe 注册客户端许可证。(系统服务)
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务)
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统
服务)
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其
它事务保护资源管理器。(系统服务)
faxsvc.exe 帮助您发送和接收传真。(系统服务)
cisvc.exe Indexing Service(system service)
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务)
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服
务)
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务)
smlogsvc.exe 配置性能日志和警报。(系统服务)
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制
安装功能。(系统服务)
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务)
RsFsa.exe 管理远程储存的文件的操作。(系统服务)
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存
储点,以节省磁盘空间。(系统服务)
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统
服务)
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系
统服务)
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递
到运行在这台计算机上 SNMP 管理程序。(系统服务)
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务)
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务)
参考技术B svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。
大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。
发现
在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。
如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。
svchost中可以包含多个服务
深入
windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?
原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。
从启动参数中可见服务是靠svchost来启动的。
实例
以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
解惑
因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。
假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。
讨论
并不是启动一个相关服务就多一个svchost进程的,而是根据命令参数分组,一般是一组服务就有一个svchost进程,如TT举例的那个c:\windows\system32\svchost -k rpcss,这个属于rpcss组。

windows svchost.exe 引起的出现的莫名其秒的窗口失去焦点

我不知道你们遇到没,反正我是遇到了,现在我就把解决方法给你们,当然都是从网上整理下来的

这个失去焦点可以分为两种,一种是病毒,一种是系统自带的问题

首先你得知道自己的窗口被什么给挤掉了焦点

 先看看这篇文章: 电脑无故失去焦点,罪魁祸首是谁?终极解决办法

里面有两个工具组合使用可以查看你的窗口被什么进程给顶掉了焦点,具体怎么使用里面有说明我就不赘述了。

我这里是一开始查询到到底是什么进程不停的抢我焦点。

开始看着着标题名字很耐人寻味,不是有人在耍我吧~,结果我就放入了ViewWizard (这个是上面博客文中的提供的工具)

结果:what?怎么啥都没有?

后来我又试了下监听窗口失去焦点,结果发现妈的,这家伙的句柄一直在变,变换的间隔时间是你切换窗口后到失去焦点的间隔时间,所以我又监听到失去焦点后立马把句柄信息输入了ViewWizard中就如下图

结果:终于找到了是谁在抢我焦点,结果是svchost.exe进程,看了路劲大概分析下,这不是系统的文件嘛,然后吐槽了下微软,谈定了打开了百度。

查到了大概意思如下:

syswow64是什么文件夹?
sysWoW64 (Windows-on-Windows 64-bit)是一个Windows操作系统的子系统, 能够运行32-bit 应用  windows操作系统程序, 并且在所有的64-bit 版本的windows上都存在,包括:Windows 2000 Limited Edition Windows XP Professional x64 Edition, and IA-64 64-bit版本的Windows Server 2003 64-bit版本的Windows www.xitonghe.com Vista 64-bit版本的Windows Server 2008 64-bit版本的Windows 7在Windows server 2008 R2上, 这是一个可选组件. WoW64被设计用来处理许多在32-bit Windows 和64-bit Windows www.xitonghe.com 之间的不同, 尤其是在Windows自身的结构变化上的不同。可以负责任的说syswow64是一个很重要的文件夹,你的 64位 win7旗舰版能运行32位的软件全靠它。

syswow64文件夹可以删除吗?
看到上面的解释相信你已经不敢去删除了,没错删除后你的系统就会崩溃,提示缺少各种文件。

 


好吧,不能删除,那就找其他办法吧。

终于找到了下面的方法,下面的是win7的方法,win10也能用只是有些地方要注意下

1.确定是svchost.exe抢占了程序焦点,导致打字或游戏时自动跳出桌面!     ------ >  这个是前提条件哈


2.如果不是上述所说的问题请搜索"Win7失去焦点"根据修改注册表或停用windows up等解决.


3.解决svchost.exe抢占很简单,打开任务管理器,吧这个对勾去掉!  (这个win10我是没看到这个勾选,所以win10不用进行这一步)

 



4.找到svchost.exe进程,右键"打开文件位置"确定文件在SysWOW64中;(这里我要提下,这里是重点,不能关闭System32文件下的svchost.exe)


5.一般会有7个svchost.exe进程都在SysWOW64中,如果是在System32中的不要结束;   (一般7个我看了我的,发现竟然有十几个....数字不重要哈)


6.结束完进程后将SysWOW64中的svchost.exe改名,我改成svchost.exe.bak,重启就不会再跳焦点了!!!!

7.这里你会发现你如果以前没有修改权限的话,是不能修改文件名称的,要么提示你需要获取管理员权限要不提示你获取其他某某某的权限。

win10的话应该是要求获取Trustedinstaller权限,我的话这边由于是已经修改过了那么就是会提示这样的,这里我已经成功的重命名了,所以这边的文件名称是修改过的,为了给你们演示,只是告诉你们会有个这样的提示。

那么这时候我们该怎么做呢?

你们可以先这样获取管理员权限的重命名,如果可以就不用往下看了,如果不可以继续向下看吧。

不行的话请看看这里  选中文件,右键属性 --> 安全

会发现管理员都没有这个写入,修改,权限,那么就算你是管理员你也改不了。

 

接下来我们这么办

首先选中文件,右键属性 --> 安全 --> 高级

 

 

 

点击确定(说明下为什么要把所有者改了?因为首先我们没有权限,我们要添加权限,但添加权限的话,又需要你是所有者,那么就得先获取所有者)

你看到管理员只有读取和执行的权限 ,所以需要我们自己添加权限,当我们获取了所有者就可以添加了

再次选中文件,右键

 你会发现可以修改了。

如果你怕文件会被其他非法软件轻易修改的话,就把修改权限去除,只不过你再次修改的时候就必须添加上了。

 这时你会发现你的焦点不会失去了。大功告成。完美.

 

有其他原因可以参考:

 关于解决伪装成svchost.exe的病毒的清除(界面不断失去焦点,不断播放单击音效)

 

以上是关于xp里面svchost.exe是啥进程?我里面怎么有好几个一样的这东西?的主要内容,如果未能解决你的问题,请参考以下文章

Windows XP 常见的进程列表?

windows svchost.exe 引起的出现的莫名其秒的窗口失去焦点

关于系统进程,高手进!!!

windows 服务主进程是啥?

电脑开机360提示:svchost.exe占用CPU超50%,结束进程后,导致不能上网

怎样查看“svchost”进程。