先全面的說說系統(tǒng)要正常運行需要哪些進程！

smss.exe Session Manager

csrss.exe 子系統(tǒng)服務器進程

winlogon.exe 管理用戶登錄

services.exe 包含很多系統(tǒng)服務

lsass.exe 管理 IP 安全策略以及啟動 ISAKMP/Oakley (IKE) 和 IP 安全驅動程序。(系統(tǒng)服務) 產生會話密鑰以及授予用于交互式客戶/服務器驗證的服務憑據(ticket)。(系統(tǒng)服務)

svchost.exe 包含很多系統(tǒng)服務

svchost.exe

SPOOLSV.EXE 將文件加載到內存中以便遲后打印。(系統(tǒng)服務)

explorer.exe 資源管理器

internat.exe 托盤區(qū)的拼音圖標
附加的系統(tǒng)進程（這些進程不是必要的，你可以根據需要通過服務管理器來增加或減少）

mstask.exe 允許程序在指定時間運行。(系統(tǒng)服務)

regsvc.exe 允許遠程注冊表操作。(系統(tǒng)服務)

winmgmt.exe 提供系統(tǒng)管理信息(系統(tǒng)服務)。

inetinfo.exe 通過 Internet 信息服務的管理單元提供 FTP 連接和管理。(系統(tǒng)服務)

tlntsvr.exe 允許遠程用戶登錄到系統(tǒng)并且使用命令行運行控制臺程序。(系統(tǒng)服務)
允許通過 Internet 信息服務的管理單元管理 Web 和 FTP 服務。(系統(tǒng)服務)

tftpd.exe 實現 TFTP Internet 標準。該標準不要求用戶名和密碼。遠程安裝服務的一部分。(系統(tǒng)服務)

termsrv.exe 提供多會話環(huán)境允許客戶端設備訪問虛擬的 Windows 2000

Professional 桌面會話以及運行在服務器上的基于 Windows 的程序。(系統(tǒng)服務)

dns.exe 應答對域名系統(tǒng)(DNS)名稱的查詢和更新請求。(系統(tǒng)服務)

以下服務很少會用到，上面的服務都對安全有害，如果不是必要的應該關掉：

tcpsvcs.exe 提供在 PXE 可遠程啟動客戶計算機上遠程安裝 Windows2000 Professional 的能力。(系統(tǒng)服務)
支持以下 TCP/IP 服務：Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系統(tǒng)服務)

ismserv.exe 允許在 Windows Advanced Server 站點間發(fā)送和接收消息。(系統(tǒng)服務)

ups.exe 管理連接到計算機的不間斷電源(UPS)。(系統(tǒng)服務)

wins.exe 為注冊和解析 NetBIOS 型名稱的 TCP/IP 客戶提供 NetBIOS名稱服務。(系統(tǒng)服務)

llssrv.exe License Logging Service(system service)

ntfrs.exe 在多個服務器間維護文件目錄內容的文件同步。(系統(tǒng)服務)

RsSub.exe 控制用來遠程儲存數據的媒體。(系統(tǒng)服務)

locator.exe 管理 RPC 名稱服務數據庫。(系統(tǒng)服務)

lserver.exe 注冊客戶端許可證。(系統(tǒng)服務)

dfssvc.exe 管理分布于局域網或廣域網的邏輯卷。(系統(tǒng)服務)

clipsrv.exe 支持"剪貼簿查看器"，以便可以從遠程剪貼簿查閱剪貼頁面。(系統(tǒng)服務)
msdtc.exe 并列事務，是分布于兩個以上的數據庫，消息隊列，文件系統(tǒng)，或其它事務保護資源管理器。(系統(tǒng)服務)

faxsvc.exe 幫助您發(fā)送和接收傳真。(系統(tǒng)服務)

cisvc.exe Indexing Service(system service)

dmadmin.exe 磁盤管理請求的系統(tǒng)管理服務。(系統(tǒng)服務)

mnmsrvc.exe 允許有權限的用戶使用 NetMeeting 遠程訪問 Windows 桌面。(系統(tǒng)服務)

netdde.exe 提供動態(tài)數據交換 (DDE) 的網絡傳輸和安全特性。(系統(tǒng)服務)

smlogsvc.exe 配置性能日志和警報。(系統(tǒng)服務)

rsvp.exe 為依賴質量服務(QoS)的程序和控制應用程序提供網絡信號和本地通信控制安裝功能。(系統(tǒng)服務)

RsEng.exe 協調用來儲存不常用數據的服務和管理工具。(系統(tǒng)服務)

RsFsa.exe 管理遠程儲存的文件的操作。(系統(tǒng)服務)

grovel.exe 掃描零備份存儲(SIS)卷上的重復文件，并且將重復文件指向一個數據存儲點，以節(jié)省磁盤空間。(系統(tǒng)服務)

SCardSvr.exe 對插入在計算機智能卡閱讀器中的智能卡進行管理和訪問控制。(系統(tǒng)服務)

snmp.exe 包含代理程序可以監(jiān)視網絡設備的活動并且向網絡控制臺工作站匯報。(系統(tǒng)服務)

snmptrap.exe 接收由本地或遠程 SNMP 代理程序產生的陷阱消息，然后將消息傳遞到運行在這臺計算機上 SNMP 管理程序。(系統(tǒng)服務)

UtilMan.exe 從一個窗口中啟動和配置輔助工具。(系統(tǒng)服務)

msiexec.exe 依據 .MSI 文件中包含的命令來安裝、修復以及刪除軟件。(系統(tǒng)服務）
現在一個一個說



[system Idle Process]

進程文件: [system process] or [system process]

進程名稱: Windows內存處理系統(tǒng)進程

描 述: Windows頁面內存管理進程，擁有0級優(yōu)先。

介 紹：該進程作為單線程運行在每個處理器上，并在系統(tǒng)不處理其他線程的時候分派處理器的時間。它的cpu占用率越大表示可供分配的CPU資源越多，數字越小則表示CPU資源緊張。

System Idle Process為何物

問：在使用Windows XP的過程中，按"Ctrl+Alt+Del"鍵調出任務管理器，在進程中我發(fā)現一個名為"System Idle Process"的進程，它往往占用了大部分CPU資源，經常是80%以上，請問為什么它占用了那么多資源？

答：你誤解了"System Idle Process"進程的意思了，這里的80%并不是你所想的占用CPU的資源，恰恰相反的是這里的80%以上是CPU資源空閑了出來的。這里的數字越大表示CPU可用資源越多，數字越小則表示CPU資源越緊張。該進程是系統(tǒng)必須的，不能禁止哦。



[csrss.exe]

進程文件: csrss or csrss.exe

進程名稱: Client/Server Runtime Server Subsystem

描 述: 客戶端服務子系統(tǒng)，用以控制Windows圖形相關子系統(tǒng)。

介 紹: 這個是用戶模式Win32子系統(tǒng)的一部分。csrss代表客戶/服務器運行子系統(tǒng)而且是一個基本的子系統(tǒng)必須一直運行。csrss用于維持Windows的控制，創(chuàng)建或者刪除線程和一些16位的虛擬MS-DOS環(huán)境。

純手工查殺木馬csrss.exe

注意：csrss.exe進程屬于系統(tǒng)進程，這里提到的木馬csrss.exe是木馬偽裝成系統(tǒng)進程

前兩天突然發(fā)現在C:\Program Files\下多了一個rundll32.exe文件。這個程序記得是關于登錄和開關機的，不應該在這里，而且它的圖標是98下notepad.exe的老記事本圖標，在我的2003系統(tǒng)下面很扎眼。但是當時我沒有在意。因為平時沒有感到系統(tǒng)不穩(wěn)定，也沒有發(fā)現內存和CPU大量占用，網絡流量也正常。

這兩天又發(fā)現任務管理器里多了這個rundll32.exe和一個csrss.exe的進程。它和系統(tǒng)進程不一樣的地方是用戶為Administrator，就是我登錄的用戶名，而非system，另外它們的名字是小寫的，而由SYSTEM啟動的進程都是大寫的RUNDLL32.EXE和CSRSS.EXE，覺得不對勁。

然后按F3用資源管理器的搜索功能找csrss.exe，果然在C:\Windows下，大小52736字節(jié)，生成時間為12月9日12:37。而真正的csrss.exe只有4k，生成時間是2003年3月27日12:00，位于C:\Windows\Syetem32下。

于是用超級無敵的UltraEdit打開它，發(fā)現里面有kavscr.exe，mailmonitor一類的字符，這些都是金山毒霸的進程名。在該字符前面幾行有SelfProtect的字符。自我保護和反病毒軟件有關的程序，不是病毒就是木馬了。滅！

試圖用任務管理器結束csrss.exe進程失敗，稱是系統(tǒng)關鍵進程。先進注冊表刪除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]和v[Runservice]下相應值，注銷重登錄，該進程消失，可見它沒有象3721那樣加載為驅動程序。

然后要查找和它有關的文件。仍然用系統(tǒng)搜索功能，查找12月9日生成的所有文件，然后看到12:37分生成的有csrss.exe、rundll32.exe和kavsrc.exe，但kavsrc.exe的圖標也是98下的記事本圖標，它和rundll32.exe的大小都是33792字節(jié)。

此后在12:38分生成了一個tmp.dat文件，內容是

@echo off
debug C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
copy C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat C:\WINDOWS\system32\netstart.exe>C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.dat >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
del C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.in >C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp.out
C:\WINDOWS\system32\netstart.exe

好像是用debug匯編了一段什么程序，這年頭常用debug的少見，估計不是什么善茬，因為商業(yè)程序員都用Delphi、PB等大程序寫軟件。

匯編大約進行了1分鐘，在12:39生成了netstart.exe、WinSocks.dll、netserv.exe和一個0字節(jié)的tmp.out文件。netstart.exe大小117786字節(jié)，另兩個大小也是52736字節(jié)。前兩個位于C:\Windows\System32下，后兩個在當前用戶的Temp文件夾里。

這樣我就知道為什么我的系統(tǒng)沒有感染的表現了。netstart.exe并沒有一直在運行，因為我在任務管理器中沒有見過它。把這些文件都刪除，我的辦法是用winrar壓縮并選中完成后刪除源文件，然后在rar文件注釋中做說明，放一個文件夾里，留待以后研究。這個監(jiān)獄里都是我的戰(zhàn)利品，不過還很少。

現在木馬已經清除了。使用搜索引擎查找關于csrss.exe的內容，發(fā)現結果不少，有QQ病毒，傳奇盜號木馬，新浪游戲病毒，但是文件大小和我中的這個都不一樣。搜索netstart.exe只有一個日文網站結果，也是一個木馬。

這個病毒是怎么進入我的電腦的呢？搜索時發(fā)現在12月9日12:36分生成了一個快捷方式，名為dos71cd.zip，它是我那天從某網站下載的DOS7.11版啟動光盤，但是當時下載失敗了。現在看來根本就不是失敗，是因為這個網站的鏈接本來就是一段網頁注入程序，點擊后直接把病毒下載來了。



[dllhost.exe]

進程文件: dllhost or dllhost.exe

進程名稱: DCOM DLL Host進程

描 述: DCOM DLL Host進程支持基于COM對象支持DLL以運行Windows程序。

介 紹：com代理，系統(tǒng)附加的dll組件越多，則dllhost占用的cpu資源和內存資源就越多，而8月的"沖擊波殺手"大概讓大家對它比較熟悉吧。

解決Web服務器出現的dllhost.exe錯誤

我的Web服務器出了問題。一個彈出話框顯示"dllhost.exe出現錯誤"。當我查看應用事件日志時發(fā)現有很多Active Server Pages Event 5這樣的錯誤。它們在錯誤信息中顯示為"line 0內存溢出"。這種錯誤以前每隔幾天就發(fā)生一次，但現在是每隔幾小時就發(fā)生一次。重啟后也只能維持一陣子。你對此有什么看法嗎？

我還沒碰到過這種問題，但我在微軟的參考信息中看到Exchange Outlook Web Access使用過程中描述過這樣的錯誤。（http://support.microsoft.com/?kbid=224327）

該鏈接建議你安裝最新的Exchange升級版。如果你在使用Exchange，不妨嘗試一下。如果沒有，我就要給你一些建議，它們同那些存在ASP 3.0方面問題的人的建議一樣：

確保你有所有最新升級版和服務包。

在每個Web應用中允許進程隔離。

將應用程序升級到ASP.NET。

將Web 服務器升級到Windows Server 2003。

dllhost.exe是什么？

dllhost.exe是運行COM+的組件，即COM代理，運行Windows中的Web和FTP服務器必須有這個東西。

什么時候會出現dllhost.exe？

運行COM+組件程序的時候就會出現。

沖擊波殺手又是怎么一回事？

沖擊波殺手借用了dllhost.exe作為進程名，但是由于Windows不允許同一個目錄下有同名文件的存在，因此，沖擊波殺手把病毒體：dllhost.exe放到了C:\Windows\System32\Wins目錄里面（Windows 2000是C:\WINNT\System32\Wins，全部假設系統(tǒng)安裝在C盤），但是真正的dllhost.exe應該放 在C:\Windows\System32（Windows 2000是C:\WINNT\System32）

換句話說就是：沖擊波（Worm.WelChia）為了迷惑用戶，避免病毒的執(zhí)行體被進程管理器終止，采用了dllhost.e xe這個和Windows組件一樣的名字，但是并不是說進程里面出現dllhost.exe就等于感染了worm.welchi a

再看看這里的FAQ吧

第一個誤區(qū)----進程出現Dllhost.exe就等于中了病毒
Dllhost.exe是系統(tǒng)文件，但是進程里面出現Dllhost.exe進程不等于中了病毒

第二個誤區(qū)----一見Dllhost.exe進程就殺死
其實這樣做是不好的。很多程序都需要Dllhost.exe

之所以大家恐懼Dllhost.exe進程，恐怕是由于沖擊波（殺手）的問題。

其實沖擊波（殺手）只不過采取了一個偷梁換柱的方法。因為任務管理器里面無法看出進程中exe文件的路徑，所以讓大家在分析問題 的時候出現一些偏差。

感染沖擊波（殺手）的典型特征不是進程中出現Dllhost.exe，而是RPC服務出現問題（沖擊波）和System32\w ins目錄里面出現svchost.exe和dllhost.exe文件（沖擊波殺手）。注意路徑！！

那么，Dllhost.exe是什么呢？Dllhost.exe是 COM+ 的主進程。正常下應該位于system32目錄里面和system32\dllcache目錄里面。而system32\win s目錄里面是不會有dllhost.exe文件的。



[inetinfo.exe]

進程文件: inetinfo or inetinfo.exe

進程名稱: IIS Admin Service Helper

描 述: InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug調試除錯。

介 紹：IIS服務進程，藍碼正是利用的inetinfo.exe的緩沖區(qū)溢出漏洞。

inetinfo.exe占用了100％的cpu解決方案

當我們在使用iis時，如果這時錯誤關機（停電等），重啟機器后，再次使用iis，經常發(fā)現inetinfo.exe占用了100％的cpu，重裝iis后，還是沒用

這個問題很多人的解決方案就是重裝機器，之前我也是那么做的，只是我是從ghost恢復，但老這樣做，似乎很麻煩。終無我忍無可忍（這樣的情況太多了，而且我的同時也經常碰到這樣的問題）

我就想，既然國內資料沒法找到解決方案，國外的也可以試試吧。經過兩個多小時的努力，找到了解決方法：其實很簡單，使用windows update更新一下電腦一下就行

原文在：http://www.eggheadcafe.com/ng/microsoft.public.inetserver.misc/post210106.asp

inetinfo.exe進程占用高達100%

進程文件: inetinfo or inetinfo.exe

進程名稱: IIS Admin Service Helper

InetInfo是Microsoft Internet Infomation Services (IIS)的一部分，用于Debug調試除錯。

可能原因很多:

1、IIS溢出入侵

默認情況下，IIS 5.0服務器存在一個后綴為"printer"的應用程序映射，這個映射使用位于WINNTSystem32下的名為 msw3prt.dll 的動態(tài)庫文件。這個功能是用于基于Web控制的網絡打印的，是Windows2000為Internet Printing Protocol(IPP)協議而設置的應用程序功能。不幸的是，這個映射存在一個緩沖區(qū)溢出錯誤，可以導致inetinfo.exe出錯

解決方法：刪除printer的應用程序映射

2、shtml.dll

在Frontpage Extention Server/Windows2000 Server上輸入一個不存在的文件將可以得到web目錄的本地路徑信息：

http://www.victim.com/_vti_bin/shtml.dll/something.html

這樣將返回以下信息：

Cannot open "d:inetpubwwwrootpostinfo1.html": no such file or folder.

但是如果我們請求并非HTML、SHTML或者ASP后綴的文件，我們將會得到不同的信息：

http://207.69.190.42/_vti_bin/shtml.dll/something.exe

shtml.dll對較長的帶html后綴的文件名都會進行識別和處理，利用這一點，可以對IIS服務器執(zhí)行DOS攻擊，使目標服務器的CPU占用率達到 100%

解決方法：禁用Frontpage擴展。

Inetinfo.exe 進程停止響應
http://support.microsoft.com/default.aspx?scid=kb;zh-cn;311517
[kernel32.dll]

進程文件: kernel32 or kernel32.dll

進程名稱: Windows殼進程

描 述: Windows殼進程用于管理多線程、內存和資源。

介 紹：kernel32.dll是Windows 9x/Me中非常重要的32位動態(tài)鏈接庫文件，屬于內核級文件。它控制著系統(tǒng)的內存管理、數據的輸入輸出操作和中斷處理，當Win_dows啟動時，kernel32.dll就駐留在內存中特定的寫保護區(qū)域，使別的程序無法占用這個內存區(qū)域。



[mdm.exe]

進程文件: mdm or mdm.exe

進程名稱: Machine Debug Manager

描 述: Debug除錯管理用于調試應用程序和Microsoft Office中的Microsoft Script Editor腳本編輯器。

介 紹：Mdm.exe的主要工作是針對應用軟件進行排錯(Debug)，說到這里，扯點題外話，如果你在系統(tǒng)見到fff開頭的0字節(jié)文件，它們就是mdm.exe在排錯過程中產生一些暫存文件，這些文件在操作系統(tǒng)進行關機時沒有自動被清除，所以這些fff開頭的怪文件里是一些后綴名為CHK的文件都是沒有用的文件，只要系統(tǒng)中有Mdm.exe存在，就有可能產生以fff開頭的怪文件。可以按下面的方法讓系統(tǒng)停止運行Mdm.exe來徹底刪除以fff開頭的怪文件：首先按"Ctrl+Alt+Del"組合鍵，在彈出的"關閉程序"窗口中選中"Mdm"，按"結束任務"按鈕來停止Mdm.exe在后臺的運行，接著把Mdm.exe(在C:\Windows\System目錄下)改名為Mdm.bak。運行msconfig程序，在啟動頁中取消對"Machine Debug Manager"的選擇。這樣可以不讓Mdm.exe自啟動，然后點擊"確定"按鈕，結束msconfig程序，并重新啟動電腦。另外，如果你使用IE 5.X以上版本瀏覽器，建議禁用腳本調用(點擊"工具→Internet選項→高級→禁用腳本調用")，這樣就可以避免以fff開頭的怪文件再次產生。

OFF：如何關閉計算機調試管理器 Mdm.exe

found.000文件夾的問題
問：我的電腦有的時候在C盤或D盤的根目錄下有個名為found.000的文件夾，里面有一些后綴名為CHK的文件。在c:\windows下有很多以fff開頭的怪文件，而且大小全部為0字節(jié)。請問這些是什么文件？能否將它們刪除？

答：found.000文件夾里面的一些后綴名為CHK的文件是你在使用"磁盤碎片整理程序"整理硬盤后所產生的"丟失簇的恢復文件"。在c:\windows下有很多以fff開頭的文件是由Mdm.exe(Machine Debug Manager)這個程序產生的。Mdm.exe的主要工作是針對應用軟件進行排錯(Debug)，在排錯過程中會產生一些暫存文件，這些文件在操作系統(tǒng)進行關機時沒有自動被清除，所以這些fff開頭的怪文件和found.000文件夾里面的一些后綴名為CHK的文件都是沒有用的:s33文件，可以任意刪除而不會對系統(tǒng)產生不良影響。

但只要系統(tǒng)中有Mdm.exe存在，那么以fff開頭的怪文件就又有可能產生。你可以按下面的方法讓系統(tǒng)停止運行Mdm.exe來徹底刪除以fff開頭的怪文件：首先按"Ctrl+Alt+Del"組合鍵，在彈出的"關閉程序"窗口中選中"Mdm"，按"結束任務"按鈕來停止Mdm.exe在后臺的運行，接著把Mdm.exe(在C:\Windows\System目錄下)改名為Mdm.bak。運行msconfig程序，在啟動頁中取消對"Machine Debug Manager"的選擇。這樣可以不讓Mdm.exe自啟動，然后點擊"確定"按鈕，結束msconfig程序，并重新啟動電腦。另外，如果你使用IE 5.X，建議禁用腳本調用(點擊"工具→Internet選項→高級→禁用腳本調用")，這樣就可以避免以fff開頭的怪文件再次產生。



[regsvc.exe]

進程文件: regsvc or regsvc.exe

進程名稱: 遠程注冊表服務

描 述: 遠程注冊表服務用于訪問在遠程計算機的注冊表。可在控制面板，管理工具，服務中禁止相關的服務



[services.exe]

進程文件: services or services.exe

進程名稱: Windows Service Controller

描 述: 管理Windows服務。

介 紹：大多數的系統(tǒng)核心模式進程是作為系統(tǒng)進程在運行。打開管理工具中的服務，可以看到有很多服務都是在調用%systemroot%\system32\service.exe

"Worm.NetSky"病毒解決方案
1、使用安全工具軟件殺掉病毒；

2、不要輕易點擊陌生人的郵件以及下載和運行其所帶附件，在運行可疑附件前最好先用毒霸掃描；

3、手工解決方案：

對于系統(tǒng)是Windows9x,WindowsMe：

步驟一，刪除病毒主程序

請使用干凈的系統(tǒng)軟盤引導系統(tǒng)到純DOS模式，然后轉到系統(tǒng)目錄（默認的系統(tǒng)目錄為C:\windows），分別輸入以下命令，以便刪除病毒程序：
C:\windows\>del services.exe
完畢后，取出系統(tǒng)軟盤，重新引導到Windows系統(tǒng)。
如果手中沒有系統(tǒng)軟件盤，可以在引導系統(tǒng)時按"F5"鍵也可進入純DOS模式。

步驟二，清除病毒在注冊表里添加的項

打開注冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter；

在左邊的面板中, 雙擊（按箭頭順序查找，找到后雙擊）：

HKEY_LOCAL_MACHINE > Software > Microsoft > Windows >CurrentVersion>Run在右邊的面板中, 找到并刪除如下項目：

"service" = "%Windir%\services.exe -serv"

關閉注冊表編輯器。

對于系統(tǒng)是Windows NT,Windows2000,Windows XP,Windows 2003 sever：

步驟一，使用進程序管里器結束病毒進程

右鍵單擊任務欄，彈出菜單，選擇"任務管理器"，調出"Windows任務管理器"窗口。在任務管理器中，單擊"進程"標簽，在例表欄內找到病毒進程"services.exe"，單擊"結束進程按鈕"，點擊"是"，結束病毒進程，然后關閉"Windows任務管理器"；

步驟二，查找并刪除病毒程序

通過"我的電腦"或"資源管理器"進入系統(tǒng)目錄（Winnt或windows)，找到文件services.exe"，將它們刪除；

步驟三，清除病毒在注冊表里添加的項

打開注冊表編輯器: 點擊開始>運行, 輸入REGEDIT, 按Enter；

在左邊的面板中, 雙擊（按箭頭順序查找，找到后雙擊）：

HKEY_LOCAL_MACHINE > Software > Microsoft > Windows > CurrentVersion > Run在右邊的面板中, 找到并刪除如下項目：

"service" = "%Windir%\services.exe -serv"

關閉注冊表編輯器。

Services.exe 中的 CPU 使用率增至 100%
癥狀

在基于 Windows 2000 的計算機上，Services.exe 中的 CPU 使用率可能間歇性地達到 100 %，并且計算機可能停止響應（掛起）。出現此問題時，連接到該計算機（如果它是文件服務器或域控制器）的用戶會被斷開連接。您可能還需要重新啟動計算機。如果 Esent.dll 錯誤地處理將文件刷新到磁盤的方式，則會出現此癥狀。
解決方案
Service Pack 信息

要解決此問題，請獲取最新的 Microsoft Windows 2000 Service Pack。有關其他信息，請單擊下面的文章編號，以查看 Microsoft 知識庫中相應的文章：

修復程序信息
Microsoft 提供了受支持的修補程序，但該程序只是為了解決本文所介紹的問題。只有計算機遇到本文提到的特定問題時才可應用此修補程序。此修補程序可能還會接受其他一些測試。因此，如果這個問題沒有對您造成嚴重的影響，Microsoft 建議您等待包含此修補程序的下一個 Windows 2000 Service Pack。

要立即解決此問題，請與"Microsoft 產品支持服務"聯系，以獲取此修補程序。有關"Microsoft 產品支持服務"電話號碼和支持費用信息的完整列表，請訪問下面的 Microsoft Web 站點：
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS

注意 ：特殊情況下，如果 Microsoft 支持專業(yè)人員確定某個特定的更新程序能夠解決您的問題，可免收通常情況下收取的電話支持服務費用。對于特定更新程序無法解決的其他支持問題和事項，將正常收取支持費用。

下表列出了此修補程序的全球版本的文件屬性（或更新的屬性）。這些文件的日期和時間按協調通用時間 (UTC) 列出。查看文件信息時，它將轉換為本地時間。要了解 UTC 與本地時間之間的時差，請使用"控制面板"中的"日期和時間"工具中的 時區(qū) 選項卡。

狀態(tài)
Microsoft 已經確認這是在本文開頭列出的 Microsoft 產品中存在的問題。 此問題最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。



[snmp.exe]

進程文件: snmp or snmp.exe

進程名稱: Microsoft SNMP Agent

描 述: Windows簡單的網絡協議代理（SNMP）用于監(jiān)聽和發(fā)送請求到適當的網絡部分。

簡 介：負責接收SNMP請求報文，根據要求發(fā)送響應報文并處理與WinsockAPI的接口。包含代理程序可以監(jiān)視網絡設備的活動并且向網絡控制臺工作站匯報。



[spoolsv.exe]

進程文件: spoolsv or spoolsv.exe

進程名稱: Printer Spooler Service

描 述: Windows打印任務控制程序，用以打印機就緒。

介 紹：緩沖（spooler）服務是管理緩沖池中的打印和傳真作業(yè)。

Spoolsv.exe→打印任務控制程序，一般會先加載以供列表機打印前的準備工作

Spoolsv.exe，如果常增高，有可能是病毒感染所致

目前常見的是:

Backdoor/Byshell(又叫隱形大盜、?/td>
文章來源:http://www.cnblogs.com/wangdetian168/archive/2008/10/09/1307406.html