|
【如内容违法或虚假,请联系上述邮件删除】1、 dllhost进程构成CPU运用率占用100%
特征:效劳器正常CPU耗费应该在75%以下,而且CPU耗费应该是上下起伏的。呈现这种问题的效劳器,CPU会忽然不时处100%的水平,而且不会降落。查看任务管理器,能够发现是DLLHOST.EXE耗费了一切的CPU闲暇时间,管理员在这种状况下,只好重新启动IIS效劳,奇特的是,重新启动IIS效劳后一切正常,但可能过了一段时间后,问题又再次呈现了。
直接缘由:
有一个或多个ACCESS数据库在多次读写过程中损坏,微软的 MDAC 系统在写入这个损坏的ACCESS文件时,ASP线程处于BLOCK状态,结果其它线程只能等候,IIS被死锁了,全部的CPU时间都耗费在DLLHOST中。
处置办法:
装置“一流信息监控拦截系统”,运用其中的“首席文件检查官IIS安康检查官”软件,
启用”查找死锁模块”,设置:
--wblock=yes
监控的目录,请指定您的主机的文件所在目录:
--wblockdir=d:\test
监控生成的日志的文件保管位置在装置目录的log目录中,文件名为:logblock.htm
中止IIS,再启动“首席文件检查官IIS安康检查官”,再启动IIS,“首席文件检查官IIS安康检查官”会在logblock.htm中记载下最后写入的ACCESS文件的。
过了一段时间后,当问题出来时,例如CPU会再次不时处100%的水平,能够中止IIS,检查logblock.htm所记载的最后的十个文件,留意,最有问题的常常是计数器类的ACCESS文件,例如:”**COUNT. MDB ”,”**COUNT.ASP”,能够先把最后十个文件或有所狐疑的文件删除到回收站中,再启动IIS,看看问题能否再次呈现。我们置信,经过认真的查找后,您肯定能够找到这个让您操心了一段时间的文件的。
找到这个文件后,能够删除它,或下载下来,用ACCESS2000修复它,问题就处置了。
2、 svchost.exe构成CPU运用率占用100%
在win.ini文件中,在[Windows]下面,“run=”和“load=”是可能加载“木马”程序的途径,必需认真留心它们。普通状况下,它们的等号后面什幺都没有,假如发现后面跟有途径与文件名不是你熟习的启动文件,你的计算机就可能中上“木马”了。当然你也得看分明,由于好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,假如不留意可能不会发现它不是真正的系统启动文件。
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,假如不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那幺后面跟着的那个程序就是“木马”程序,就是说你曾经中“木马”了。
在注册表中的状况最复杂,经过regedit命令翻开注册表编辑器,在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下,查看键值中有没有自己不熟习的自动启动文件,扩展名为EXE,这里切记:有的“木马”程序生成的文件很像系统自身文件,想经过伪装蒙混过关,如“Acid Battery v1.0木马”,它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\Windows\expiorer.exe”,“木马”程序与真正的Explorer之间只需“i”与“l”的差别。当然在注册表中还有很多中央都能够躲藏“木马”程序,如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能,最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马该病毒也称为“Code Red II(红色代码2)”病毒,与早先在西方英文系统下盛行“红色代码”病毒有点相反,在国际上被称为VirtualRoot(虚拟目录)病毒。该蠕虫病毒应用Microsoft已知的溢出漏洞,经过80端口来传播到其它的Web页效劳器上。受感染的机器可由黑客们经过Http Get的央求运转scripts/root.exe来取得对受感染机器的完整控制权。
当感染一台效劳器胜利了以后,假如受感染的机器是中文的系统后,该程序会休眠2天,别的机器休眠1天。当休眠的时间到了以后,该蠕虫程序会使得机注重新启动。该蠕虫也会检查机器的月份能否是10月或者年份能否是2002年,假如是,受感染的效劳器也会重新启动。当Windows NT系统启动时,NT系统会自动搜索C盘根目录下的文件explorer.exe,受该网络蠕虫程序感染的效劳器上的文件explorer.exe也就是该网络蠕虫程序自身。该文件的大小是8192字节,VirtualRoot网络蠕虫程序就是经过该程序来执行的。同时,VirtualRoot网络蠕虫程序还将cmd.exe的文件从Windows NT的system目录拷贝到别的目录,给黑客的入侵敞开了大门。它还会修正系统的注册表项目,经过该注册表项目的修正,该蠕虫程序能够树立虚拟的目录C或者D,病毒名由此而来。值得一提的是,该网络蠕虫程序除了文件explorer.exe外,其他的操作不是基于文件的,而是直接在内存中来中止感染、传播的,这就给捕捉带来了难度。
我们先看看微软是怎样描画svchost.exe的。在微软学问库314056中对svchost.exe有如下描画:svchost.exe 是从动态链接库 (DLL) 中运转的效劳的通用主机进程称号。
其实svchost.exe是Windows XP系统的一个中心进程。svchost.exe不单单只出往常Windows XP中,在运用NT内核的Windows系统中都会有svchost.exe的存在。普通在Windows 2000中svchost.exe进程的数目为2个,而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个svchost.exe不用那幺担忧。
svchost.exe到底是做什幺用的呢?
首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。由于Windows系统中的效劳越来越多,为了节约有限的系统资源微软把很多的系统效劳做成了共享方式。那svchost.exe在这中间是担任怎样一个角色呢?
svchost.exe的工作就是作为这些效劳的宿主,即由svchost.exe来启动这些效劳。svchost.exe只是担任为这些效劳提供启动的条件,其自身并不能完成任何效劳的功用,也不能为用户提供任何效劳。svchost.exe经过为这些系统效劳调用动态链接库(DLL)的方式来启动系统效劳。
svchost.exe是病毒这种说法是任何产生的呢?
由于svchost.exe能够作为效劳的宿主来启动效劳,所以病毒、木马的编写者也处心积虑的要应用svchost.exe的这个特性来迷惑用户抵达入侵、破坏计算机的目的。
如何才干辨别哪些是正常的svchost.exe进程,而哪些是病毒进程呢?
svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”,如图1所示。图1中每个键值表示一个独立的svchost.exe组。
微软还为我们提供了一种察看系统正在运转在svchost.exe列表中的效劳的办法。以Windows XP为例:在“运转”中输入:cmd,然后在命令行方式中输入:tasklist /svc。系统列出如图2所示的效劳列表。图2中红框包围起来的区域就是svchost.exe启动的效劳列表。假如运用的是Windows 2000系统则把前面的“tasklist /svc”命令交流为:“tlist -s”即可。假如你狐疑计算机有可能被病毒感染,svchost.exe的效劳呈现异常的话经过搜索 svchost.exe文件就能够发现异常状况。普通只会找到一个在:“C:\Windows\System32”目录下的svchost.exe程序。假如你在其它目录下发现svchost.exe程序的话,那很可能就是中毒了。
还有一种确认svchost.exe能否中毒的办法是在任务管理器中察看进程的执行途径。但是由于在Windows系统自带的任务管理器不能察看进程途径,所以要运用第三方的进程察看工具。
上面简单的引见了svchost.exe进程的相关状况。总而言之,svchost.exe是一个系统的中心进程,并不是病毒进程。但由于svchost.exe进程的特殊性,所以病毒也会想方设法的入侵svchost.exe。经过察看svchost.exe进程的执行途径能够确认能否中毒。
3、 Services.exe构成CPU运用率占用100%
病症
在基于 Windows 2000 的计算机上,Services.exe 中的 CPU 运用率可能间歇性地抵达100 %,并且计算机可能中止响应(挂起)。呈现此问题时,衔接到该计算机(假如它是文件效劳器或域控制器)的用户会被断开衔接。您可能还需求重新启动计算机。假如 Esent.dll 错误地处置将文件刷新到磁盘的方式,则会呈现此病症。
处置计划
Service Pack 信息
要处置此问题,请获取最新的 Microsoft Windows 2000 Service Pack。有关其它信息,请单击下面的文章编号,以查看 Microsoft 学问库中相应的文章:
260910 如何获取最新的 Windows 2000 Service Pack
修复程序信息
Microsoft 提供了受支持的修补程序,但该程序只是为理处置本文所引见的问题。只需计算机遇到本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其它一些测试。因而,假如这个问题没有对您构成严重的影响,Microsoft 倡议您等候包含此修补程序的下一个 Windows 2000 Service Pack。
要立刻处置此问题,请与“Microsoft 产品支持效劳”联络,以获取此修补程序。有关“Microsoft 产品支持效劳”电话号码和支持费用信息的完好列表,请访问 Microsoft Web 站点:
留意 :特殊状况下,假如 Microsoft 支持专业人员肯定某个特定的更新程序能够处置您的问题,可免收通常状况下收取的电话支持效劳费用。关于特定更新程序无法处置的其它支持问题和事项,将正常收取支持费用。
下表列出了此修补程序的全球版本的文件属性(或更新的属性)。这些文件的日期和时间按谐和通用时间 (UTC) 列出。查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请运用“控制面板”中的“日期和时间”工具中的 时区 选项卡。
状态
Microsoft 曾经确认这是在本文开头列出的 Microsoft 产品中存在的问题。此问题最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。(关注老榕树网络旗下“网络思维”微信公众号:wlsw360 (每天都有好文章)
本帖如有虚假或违法,请联系邮箱删除,本社区删贴不收任何费用,欢迎举报。老榕树社区属老榕树网络旗下网站,旨在为老榕树用户提供创业咨询、网站建设技术交流、源码下载、提供各种实用工具。如有部分帖子涉及违法、虚假,请你第一时间与社区联系,把需要删除的社区链接提供给我们,我们核实之后,第一时间删除。邮箱:125175998@qq.com | 
发表于 2017-2-5 10:53:18
收藏
分享
淘帖