sman解壓
㈠ sman 怎麼樣解壓縮
你問我我問誰?
㈡ PE系統裡面win Sman安裝器使用方法
PE系統裡面win Sman安裝器,叫『安裝windows'.
是用來安裝「安裝版」系統的,系統源或是「I386」目錄,
在PE下具體為:將一個「安裝版」系統的iso映像載入到虛擬光碟機軟體中,指定虛擬光碟機盤符中的「I386」目錄即可。也可用rar解壓iso映像到硬碟上,指定解壓文件夾中的「I386」目錄即可。
安裝「安裝版」系統之前要先格式化c盤!!!
㈢ 關於svchost.exe的非常迫切的問題
svchost.exe
進程文件: svchost or svchost.exe
進程名稱: Microsoft Service Host Process
進程類別:其他進程
英文描述:
svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated. Note: svchost.
中文參考:
svchost.exe是一個屬於微軟Windows操作系統的系統程序,用於執行DLL文件。這個程序對你系統的正常運行是非常重要的。注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,製造緩沖區溢出,導致你計算機關機。更多詳細信息參考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx,該進程的安全等級是建議立即刪除。
出品者:Microsoft Corp.
屬於:Microsoft Windows Operating System
系統進程:Yes
後台程序:Yes
網路相關:Yes
常見錯誤:N/A
內存使用:N/A
安全等級 (0-5): 0
間諜軟體:No
廣告軟體:No
病毒:No
木馬:No
發現
在基於nt內核的windows操作系統家族中,不同版本的windows系統,存在不同數量的「svchost」進程,用戶使用「任務管理器」可查看其進程數目。一般來說,win2000有兩個svchost進程,winxp中則有四個或四個以上的svchost進程(以後看到系統中有多個這種進程,千萬別立即判定系統有病毒了喲),而win2003server中則更多。這些svchost進程提供很多系統服務,如:rpcss服務(remoteprocerecall)、dmserver服務(logicaldiskmanager)、dhcp服務(dhcpclient)等。
如果要了解每個svchost進程到底提供了多少系統服務,可以在win2000的命令提示符窗口中輸入「tlist-s」命令來查看,該命令是win2000supporttools提供的。在winxp則使用「tasklist/svc」命令。
svchost中可以包含多個服務
深入
windows系統進程分為獨立進程和共享進程兩種,「svchost.exe」文件存在於「%systemroot%system32」目錄下,它屬於共享進程。隨著windows系統服務不斷增多,為了節省系統資源,微軟把很多服務做成共享方式,交由svchost.exe進程來啟動。但svchost進程只作為服務宿主,並不能實現任何服務功能,即它只能提供條件讓其他服務在這里被啟動,而它自己卻不能給用戶提供任何服務。那這些服務是如何實現的呢?
原來這些系統服務是以動態鏈接庫(dll)形式實現的,它們把可執行程序指向svchost,由svchost調用相應服務的動態鏈接庫來啟動服務。那svchost又怎麼知道某個系統服務該調用哪個動態鏈接庫呢?這是通過系統服務在注冊表中設置的參數來實現。下面就以rpcss(remoteprocerecall)服務為例,進行講解。
從啟動參數中可見服務是靠svchost來啟動的。
實例
以windowsxp為例,點擊「開始」/「運行」,輸入「services.msc」命令,彈出服務對話框,然後打開「remoteprocerecall」屬性對話框,可以看到rpcss服務的可執行文件的路徑為「c:\windows\system32\svchost-krpcss」,這說明rpcss服務是依靠svchost調用「rpcss」參數來實現的,而參數的內容則是存放在系統注冊表中的。
在運行對話框中輸入「regedit.exe」後回車,打開注冊表編輯器,找到[hkey_local_]項,找到類型為「reg_expand_sz」的鍵「magepath」,其鍵值為「%systemroot%system32svchost-krpcss」(這就是在服務窗口中看到的服務啟動命令),另外在「parameters」子項中有個名為「servicedll」的鍵,其值為「%systemroot%system32rpcss.dll」,其中「rpcss.dll」就是rpcss服務要使用的動態鏈接庫文件。這樣svchost進程通過讀取「rpcss」服務注冊表信息,就能啟動該服務了。
解惑
因為svchost進程啟動各種服務,所以病毒、木馬也想盡辦法來利用它,企圖利用它的特性來迷惑用戶,達到感染、入侵、破壞的目的(如沖擊波變種病毒「w32.welchia.worm」)。但windows系統存在多個svchost進程是很正常的,在受感染的機器中到底哪個是病毒進程呢?這里僅舉一例來說明。
假設windowsxp系統被「w32.welchia.worm」感染了。正常的svchost文件存在於「c:\windows\system32」目錄下,如果發現該文件出現在其他目錄下就要小心了。「w32.welchia.worm」病毒存在於「c:\windows\system32wins」目錄中,因此使用進程管理器查看svchost進程的執行文件路徑就很容易發現系統是否感染了病毒。windows系統自帶的任務管理器不能夠查看進程的路徑,可以使用第三方進程管理軟體,如「windows優化大師」進程管理器,通過這些工具就可很容易地查看到所有的svchost進程的執行文件路徑,一旦發現其執行路徑為不平常的位置就應該馬上進行檢測和處理。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
=========================================================
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Svchost.exe說明解疑對Svchost的困惑
---------------
2006年12月21日
Svchost.exe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名。Svhost.exe文件定位在系統的%systemroot%\system32文件夾下。在啟動的時候,Svchost.exe檢查注冊表中的位置來構建需要載入的服務列表。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的回話期間都包含一組服務,以至於單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和查找錯誤。
.
Svchost.exe 組是用下面的注冊表值來識別。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每個在這個鍵下的值代表一個獨立的Svchost組,並且當你正在看活動的進程時,它顯示作為一個單獨的例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務。每個Svchost組都包含一個或多個從注冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service
.
.
更多的信息
.
為了能看到正在運行在Svchost列表中的服務。
開始-運行-敲入cmd
然後在敲入 tlist -s (tlist 應該是win2k工具箱里的東東)
Tlist 顯示一個活動進程的列表。開關 -s 顯示在每個進程中的活動服務列表。如果想知道更多的關於進程的信息,可以敲 tlist pid。
Tlist 顯示Svchost.exe運行的兩個例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst
ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schele
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在這個例子中注冊表設置了兩個組。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa
sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
這個是用戶模式Win32子系統的一部分。csrss代表客戶/伺服器運行子系統而且是一個基本的子系統必須一直運行。csrss 負責控制windows,創建或者刪除線程和一些16位的虛擬MS-DOS環境。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
=========================================================
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
㈣ 我電腦上出現的連接是不是病毒和木馬啊
都是系統正常文件
system idle process
Windows頁面內存管理進程,擁有0級優先;該程序使用Ctrl+Alt+Del打開,該進程作為單線程運行在每個處理器上,並在系統不處理其他線程的時候分派處理器的時間。它的cpu佔用率越大表示可供分配的CPU資源越多,數字越小則表示CPU資源緊張。該進程是系統必須的,不能禁止
進程文件: [System Process] or [System Process]
進程名稱: Windows內存處理系統進程
系統進程: 是
後台程序: 是
使用網路: 否
硬體相關: 否
常見錯誤: 未知N/A
內存使用: 未知N/A
安全等級 (0-5): 0
間諜軟體: 否
Adware: 否
病毒: 否
木馬: 否
作用
實際上System Idle Process 是WIN2000/XP以及Vista/WIN7操作系統都有的一個進程,其作用都是一樣的。就是在CPU空閑的的時候,發出一個IDLE命令,使CPU掛起(暫時停止工作),可有效的降低CPU內核的溫度,在操作系統服務裡面,都沒有禁止它的選項;默認它是佔用除了當前應用程序所分配的處理器(CPU)百分比之外的所有佔用率;一旦應用程序發出請求,處理器會立刻響應的。在這個進程里出現的CPU佔用數值並不是真正的佔用而是體現的CPU的空閑率,也就說這個數值越大CPU的空閑率就越高,反之就是CPU的佔用率越高。如果在剛剛開機的情況下就發現System Idle Process的CPU佔用值很低的話應該就注意後台有什麼大的程序在運行或者感染病毒了。 System Idle Process SYSTEM不是一個真正的進程,是核心虛擬出來的,多任務操作系統都有的!在沒有可用的進程時,系統處於空運行狀態,此時就是System Idle Process SYSTEM在運行!故它佔用97%CPU時間,說明你的機器負荷很輕!你用WINZIP解壓一個大的文件時,就可看到,System Idle Process SYSTEM佔用CPU時間變化。 system idle ……是表示你系統剩餘的CPU資源! 不要想去結束它! 要是他占的CPU資源為0估計你該重新啟動了! 當「System Idle Process」進程佔用資源為2%時,說明機器目前只有2%的資源是空閑的,即機器可能感染了病毒或被其他程序佔用了98%的資源。換句話說,「System Idle Process」進程佔用資源佔用資源越大則系統可用資源越多,其字面意思是「系統空閑進程」
使用須知
首先我們要了解System Idle Process SYSTEM並不是一個真正的進程,System Idle Process是核心虛擬出來的,多任務操作系統都會存在!在沒有可用的進程時,系統處於空運行狀態,此時就是System Idle Process SYSTEM在運行!故它佔用百分之九十以上CPU時間,說明你的機器負荷很輕! 假如我們使用Photoshop制圖時,你會發現,System Idle Process SYSTEM佔用CPU時刻都在變化著,更多的時候在變小。 "System Idle Process" 中的 idle 是「空閑」的意思 "System Idle Process" 即「系統空閑進程」 System Idle Process佔用越多CPU時,說明你的電腦越空閑 System Idle Process 當達到5%以下的時候,那麼你可以選擇重啟了!
svchost.exe
svchost.exe是一個屬於微軟Windows操作系統的系統程序,微軟官方對它的解釋是:Svchost.exe 是從動態鏈接庫 (DLL) 中運行的服務的通用主機進程名稱。這個程序對系統的正常運行是非常重要,而且是不能被結束的。
進程文件: svchost or svchost.exe 進程名稱: Generic Service Host Process for Win32 Services 進程類別:系統進程 位置:C:\windows\system32\svchost.exe (如果你的svchost.exe進程不是在這個目錄下的話,那麼就要當心了) 英文描述:svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated. Note: svchost. (注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,製造緩沖區溢出,導致你計算機關機。更多詳細信息參考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx,該進程的安全等級是建議立即刪除。) 出品者:Microsoft Corp. 屬於:Microsoft Windows Operating System 系統進程:是 後台程序:是 網路相關:是 常見錯誤:沒有 內存使用:沒有 安全等級 (0-5): 0 間諜軟體:不 廣告軟體:不 病毒:不 木馬:不
相關特徵
在基於nt內核的windows操作系統家族中,不同版本的windows系統,存在不同數量的「svchost」進程,用戶使用「任務管理器」可查看其進程數目。一般來說,win2000有兩個svchost進程,winxp中則有四個或四個以上的svchost進程(以後看到系統中有多個這種進程,千萬別立即判定系統有病毒了喲),而win2003server中則更多。這些svchost進程提供很多系統服務,如:rpcss服務(remoteprocerecall)、dmserver服務(logicaldiskmanager)、dhcp服務(dhcpclient)等。到了Windows Vista 系統時svchost 進程多達12個,這些svchost.exe都是同一個文件路徑下C :\Windows\System32\svchost.exe , 它們分別是imgsvc、 、 LocalServiceNoNetwork 、NetworkService 、LocalService 、netsvcs 、LocalSystemNetworkRestricted、 LocalServiceNetworkRestricted 、services 、rpcss、 WerSvcGroup 、DcomLaunch服務組。如果要了解每個svchost進程到底提供了多少系統服務,可以在win2000的命令提示符窗口中輸入「tlist-s」命令來查看,該命令是win2000supporttools提供的。在winxp則使用「tasklist/svc」命令。 svchost中可以包含多個服務 深入:windows系統進程分為獨立進程和共享進程兩種,「svchost.exe」文件存在於「%systemroot%system32」目錄下,它屬於共享進程。隨著windows系統服務不斷增多,為了節省系統資源,微軟把很多服務做成共享方式,交由svchost.exe進程來啟動。但svchost進程只作為服務宿主,並不能實現任何服務功能,即它只能提供條件讓其他服務在這里被啟動,而它自己卻不能給用戶提供任何服務。那這些服務是如何實現的呢? 原來這些系統服務是以動態鏈接庫(dll)形式實現的,它們把可執行程序指向svchost,由svchost調用相應服務的動態鏈接庫來啟動服務。那svchost又怎麼知道某個系統服務該調用哪個動態鏈接庫呢?這是通過系統服務在注冊表中設置的參數來實現。下面就以rpcss(remoteprocerecall)服務為例,進行講解。 從啟動參數中可見服務是靠svchost來啟動的。 實例 以windowsxp為例,點擊「開始」/「運行」,輸入「services.msc」命令,彈出服務對話框,然後打開「remoteprocerecall」屬性對話框,可以看到rpcss服務的可執行文件的路徑為「c:\windows\system32\svchost-krpcss」,這說明rpcss服務是依靠svchost調用「rpcss」參數來實現的,而參數的內容則是存放在系統注冊表中的。 在運行對話框中輸入「regedit.exe」後回車,打開注冊表編輯器,找到[hkey_local_machine\system\currentcontrolset\services\rpcss]項,找到類型為「reg_expand_sz」的鍵「Imagepath」,其鍵值為「%systemroot%system32svchost-krpcss」(這就是在服務窗口中看到的服務啟動命令),另外在「parameters」子項中有個名為「servicedll」的鍵,其值為「%systemroot%system32rpcss.dll」,其中「rpcss.dll」就是rpcss服務要使用的動態鏈接庫文件。這樣svchost進程通過讀取「rpcss」服務注冊表信息,就能啟動該服務了。
[編輯本段]病毒相關解惑
因為svchost進程啟動各種服務,所以病毒、木馬也想盡辦法來利用它,企圖利用它的特性來迷惑用戶,達到感染、入侵、破壞的目的(如沖擊波變種病毒「w32.welchia.worm」)。但windows系統存在多個svchost進程是很正常的,在受感染的機器中到底哪個是病毒進程呢?這里僅舉一例來說明。 假設windowsxp系統被「w32.welchia.worm」感染了。正常的svchost文件存在於「c:\windows\system32」目錄下,如果發現該文件出現在其他目錄下就要小心了。「w32.welchia.worm」病毒存在於「c:\windows\system32\wins」目錄中,因此使用進程管理器查看svchost進程的執行文件路徑就很容易發現系統是否感染了病毒。windows系統自帶的任務管理器不能夠查看進程的路徑,可以使用第三方進程管理軟體,如「windows優化大師」進程管理器,通過這些工具就可很容易地查看到所有的svchost進程的執行文件路徑,一旦發現其執行路徑為不平常的位置就應該馬上進行檢測和處理。 Svchost.exe說明解疑對Svchost的困惑 --------------- Svchost.exe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名。Svchost.exe文件定位在系統的%systemroot%\system32文件夾下。在啟動的時候,Svchost.exe檢查注冊表中的位置(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost)來構建需要載入的服務列表。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的回話期間都包含一組服務,以至於單獨的服務必須依靠Svchost.exe怎樣和在那裡啟動。這樣就更加容易控制和查找錯誤。 Svchost.exe 組是用下面的注冊表值來識別。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost 每個在這個鍵下的值代表一個獨立的Svchost組,並且當你正在看活動的進程時,它顯示作為一個單獨的例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務。每個Svchost組都包含一個或多個從注冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL值。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services 簡單的說沒有這個RPC服務,機器幾乎就上不了網了。很多應用服務都是依賴於這個RPC介面的,如果發現這個進程佔了太多的CPU資源,直接把系統的RPC服務禁用了會是一場災難:因為連恢復這個界面的系統服務設置界面都無法使用了。恢復的方法需要使用注冊表編輯器,找到 HKEY_LOCAL_MACHINE >> SYSTEM >> CurrentControlSet >> Services >> RpcSs, 右側找到Start屬性,把它的值改為2再重啟即可 造成svchost占系統CPU 100%的原因並非svchost服務本身:以上的情況是由於Windows Update服務下載/安裝失敗而導致更新服務反復重試造成的。而Windows的自動更新也是依賴於svchost服務的一個後台應用,從而表現為svchost.exe負載極高。 常發生這類問題的機器一般是上網條件(尤其是去國外網站)不穩定的機器,比如家裡的父母的機器,往往在安裝機器幾個月以後不定期發生,每個月的第二個星期是高發期:因為最近幾年MS很有規律的在每個月的第二個星期發布補丁程序)。上面的解決方法並不能保證不重發作,但是為了svchost文件而每隔幾個月重裝一次操作系統還是太浪費時間了。 注意點: svchost.exe 常被病毒冒充的進程名有:svch0st.exe、schvost.exe、scvhost.exe。隨著Windows系統服務不斷增多,為了節省系統資源,微軟把很多服務做成共享方式,交由svchost.exe進程來啟動。而系統服務是以動態鏈接庫(DLL)形式實現的,它們把可執行程序指向svchost,由svchost調用相應服務的動態鏈接庫來啟動服務。我們可以打開「控制面板」→「管理工具」→服務,雙擊其中「ClipBook」服務,在其屬性面板中可以發現對應的可執行文件路徑為「C:\WINDOWS\system32\clipsrv.exe」。再雙擊「Alerter」服務,可以發現其可執行文件路徑為「C:\WINDOWS\system32\svchost.exe -k LocalService」,而「Server」服務的可執行文件路徑為「C:\WINDOWS\system32\svchost.exe -k netsvcs」。正是通過這種調用,可以省下不少系統資源,因此系統中出現多個svchost.exe,其實只是系統的服務而已。 在Windows2000系統中一般存在2個svchost.exe進程,一個是RPCSS(RemoteProcereCall)服務進程,另外一個則是由很多服務共享的一個svchost.exe;而在WindowsXP中,則一般有4個以上的svchost.exe服務進程。如果svchost.exe進程的數量多於6個,就要小心了,很可能是病毒假冒的,檢測方法也很簡單,使用一些進程管理工具,例如Windows優化大師的進程管理功能,查看svchost.exe的可執行文件路徑,如果在「C:\WINDOWS\system32」目錄外,那麼就可以判定是病毒了。 svchost.exe病毒清除辦法 1、用unlocker刪除類似於C:SysDayN6這樣的文件夾:例如C:Syswm1i、C:SysAd5D等等,這些文件夾有個共同特點,就是名稱為 Sys*** (***是三到五位的隨機字母),這樣的文件夾有幾個就刪幾個。 2、開始——運行——輸入「regedit」——打開注冊表,展開注冊表到以下位置: HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\Policies\Explorer\Run 刪除右邊所有用純數字為名的鍵,如 <66><C:SysDayN6svchost.exe> <333><C:Syswm1isvchost.exe> <50><C:SysAd5Dsvchost.exe> <4><C:SysWsj7svchost.exe> 3、重新啟動計算機,病毒清除完畢。
[編輯本段]操作指南
為了能看到正在運行在Svchost列表中的服務。 開始-運行-敲入cmd 然後再敲入 tlist -s (tlist 應該是win2k工具箱里的東東) Tlist 顯示一個活動進程的列表。開關 -s 顯示在每個進程中的活動服務列表。如果想知道更多的關於進程的信息,可以敲 tlist pid。 Tlist 顯示Svchost.exe運行的兩個例子。 0 System Process 8 System 132 smss.exe 160 csrss.exe Title: 180 winlogon.exe Title: NetDDE Agent 208services.exe Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi 220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs 404 svchost.exe Svcs: RpcSs 452 spoolsv.exe Svcs: Spooler 544 cisvc.exe Svcs: cisvc 556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv 580 regsvc.exe Svcs: RemoteRegistry 596 mstask.exe Svcs: Schele 660 snmp.exe Svcs: SNMP 728 winmgmt.exe Svcs: WinMgmt 852 cidaemon.exe Title: OleMainThreadWndName 812 explorer.exe Title: Program Manager 1032 OSA.EXE Title: Reminder 1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s 1080 MAPISP32.EXE Title: WMS Idle 1264 rundll32.exe Title: 1000 mmc.exe Title: Device Manager 1144 tlist.exe 在這個例子中注冊表設置了兩個組。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost: netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc rpcss :Reg_Multi_SZ: RpcSs smss.exe csrss.exe 這個是用戶模式Win32子系統的一部分。csrss代表客戶/伺服器運行子系統而且是一個基本的子系統必須一直運行。csrss 負責控制windows,創建或者刪除線程和一些16位的虛擬MS-DOS環境。
[編輯本段]調用程序服務
(第一行為"服務名字",第二行為"服務的說明",第三行為"調用程序") Application Management 應用程序管理組件,負責msi文件格式的安裝,但是實際上禁止了該服務並無大礙。 svchost.exe Automatic Updates Windows的自動更新服務。 svchost.exe Background Intelligent Transfer Service 實現http1.1伺服器之間的信息傳輸,微軟稱支持windows更新時的斷點續傳。 svchost.exe COM+ Event System 某些COM+軟體需要,檢查c:/program files/ComPlus Applications目錄,如果裡面沒有文件就可以把這個服務關閉. svchost.exe Computer Browser 用來瀏覽區域網電腦的服務,但關了不影響瀏覽! svchost.exe Cryptographic Services Windows更新時用來確認windows文件指紋的,可以在更新的時候開啟。 svchost.exe DHCP Client 使用靜態IP的用戶需要,對使用Modem的用戶無用。 svchost.exe Distributed Link Tracking Client 用於區域網更新連接信息,(比如在電腦A有個文件,在電腦B做了個連接,如果文件移動了,這個服務將會更新信息。佔用4兆內存。) svchost.exe DNS Client DNS解釋器,把域名解釋為IP地址 svchost.exe Error Reporting Service 錯誤報告器,把windows中錯誤報告給微軟。 svchost.exe Fast User Switching Compatibility 多用戶快速切換服務,你喜歡嗎? svchost.exe Help and Support Windows的幫助。新手還是要靠他來指點的。 svchost.exe Human Interface Device Access 支持「人體工學」的電腦配件,比如鍵盤上調音量的按鈕等等。 svchost.exe Internet Connection Firewall/Internet Connection Sharing XP的防火牆/為多台電腦聯網共享一個撥號網路訪問Internet提供服務。 svchost.exe Logical Disk Manager 磁碟管理服務。需要時系統會通知你開啟。 svchost.exe Network Location Awareness (NLA) 如有網路共享或ICS/ICF可能需要.(伺服器端)。 svchost.exe Portable Media Serial Number Windows Media Player和Microsoft保護數字媒體版權. svchost.exe Remote Access Auto Connection Manager 寬頻者/網路共享需要的服務! svchost.exe Remote Procere Call (RPC) 系統核心服務!如果在Windows2000中禁止該服務,系統將無法啟動。 svchost.exe Remote Registry Service 遠程注冊表運行/修改。 svchost.exe
[編輯本段]減少進程數方式
你可以把下面這段代碼復制到一個空的記事本中,然後另存為「.bat」格式的批處理文件,再運行這個批處理。就可以關閉無用的系統服務了,你會發現少了很多SVCHOST.EXE。 @echo off REM 關閉「為 Internet 連接共享和 Windows 防火牆提供第三方協議插件的支持」 sc config alg start= disabled REM 關閉「Windows自動更新功能」 sc config wuauserv start= disabled REM 關閉「剪貼簿查看器」 sc config clipsrv start= disabled REM 關閉「Messenger」 sc config Messenger start= disabled REM 關閉「通過NetMeeting遠程訪問此計算機」 sc config mnmsrvc start= disabled REM 關閉「列印後台處理程序」 sc config Spooler start= disabled REM 關閉「遠程修改注冊表」 sc config RemoteRegistry start= disabled REM 關閉「監視系統安全設置和配置」 sc config wscsvc start= disabled REM 關閉「系統還原」 sc config srservice start= disabled REM 關閉「計劃任務」 sc config Schele start= disabled REM 關閉「TCP/IP NetBIOS Helper」 sc config lmhosts start= disabled REM 關閉「Telnet服務」 sc config tlntsvr start= disabled REM 關閉「防火牆服務」 sc config sharedaccess start= disabled REM 關閉「Computer Browser」 sc config Browser start= disabled REM 關閉「錯誤報警」 sc config Alerter start= disabled REM 關閉「錯誤報告」 sc config ERSvc start= disabled REM 關閉「本地和遠程計算機上文件的索引內容和屬性」 sc config cisvc start= disabled REM 關閉「管理卷影復制服務拍攝的軟體卷影復制」 sc config SwPrv start= disabled REM 關閉「支持網路上計算機 pass-through 帳戶登錄身份驗證事件」 sc config NetLogon start= disabled REM 關閉「為使用傳輸協議而不是命名管道的遠程過程調用(RPC)程序提供安全機制」 sc config NtLmSsp start= disabled REM 關閉「收集本地或遠程計算機基於預先配置的日程參數的性能數據,然後將此數據寫入日誌或觸發警報」 sc config SysmonLog start= disabled REM 關閉「通過聯機計算機重新獲取任何音樂播放序號」 sc config WmdmPmSN start= disabled REM 關閉「管理連接到計算機的不間斷電源(UPS)」 sc config UPS start= disabled