怎么看系统进程,我想这里就不用我多说了。很多工具都可以查看系统进程,最常用的方法就是按键CTRL+ALT+DEL打开操作系统自带的任务管理器进行查看。
一、CSRSS进程异常
根据官方的解释,CSRSS进程是Windows图形相关控制的客户端服务自系统。正常情况下,在操作系统的任务进程中,必须有这个进程,否则系统就的图形界面就无法使用了。但是,这个进程也很有可能被病毒所利用,成为病毒的保护伞。
若CSRSS进程出现了以下的异常情况,那么说明你的电脑很可能中毒了。应该即使采取措施,否则会影响操作系统以网络的安全。
1、当任务管理器中,出现多个CSRSS进程时。一般情况下,在操作系统中,只能出现一个CSRSS进程。虽然说CSRSS进程是必须的,但是,也不是多多益善。当任务管理器中的进程显示出有多个CSRSS进程的话,那么说明你的操作系统中招了。
2、当CSRSS进程运行的用户名不是SYSTEM,及其运行的模块路径不是System32 文件夹下的话,那么你也要当心了。很可能你电脑已经成为了黑客眼中的肉鸡,成为影响企业网络安全的一颗定时炸弹,随时都会爆炸。
解决方式:
若 CSRSS是木马引起的,那么CSRSS是一个小的脚本程序。现在很多木马都会用到这个进程,如QQ木马、传奇盗号木马、MSN木马、邮件帐号木马等等。 中了这些木马的时候,一般操作系统本身不会有很大的反映,系统的速度也是正常的,所以比较隐蔽。但是,其危害是很大的。其会把企业的一些帐号,如VPN用 户名与密码、即时通信工具与密码等等都泄露出去,给企业的网络安全带来很大的隐患。
遇到这种这种情况的话,我们应该采取如下措施:
1、 通过注册表删除这个进程。因为木马把这个进程伪装成系统进程,所以,试图通过任务管理器结束这个进程的时候,系统会提示错误信息,告知这个进程为系统进程 不能停止。所以,只能够通过注册表管理器,把这个进程删除。注意,不要把系统原来的那个进程给删除了。所以,还是建议在修改注册表之前,先记得备份一下。
2、然后查看进程运行时的系统路径。把该进程在注册表中删除后,在任务管理器中的进程处就找不到这个进程了。此时,找到其原先运行的路径下面, 我们就可以看到有一个CSRSS可执行文件。注意,只要不是SYSTEM32,其他的都可以删除。我们也可以通过系统自带的搜索功能,查询这个文件。把不 是在SYSTEM32目录下的CSRSS文件都删除。
3、为了安全起见,升级我们的杀毒软件或者网上寻找专杀工具,对我们的系统进行全面的查杀。把病毒杀掉后,要及时把补丁打上,以防止下次不小心又中招了。
二、LSASS进程异常
LSASS进程也是微软操作系统的系统进程,其主要用来管理IP安全策略以及启动ISAKMP/IKE和IP安全驱动程序。这个进程会产生会话秘钥以及授予用户交互式客户/服务器验证的服务凭据。
一般情况下,若系统进程中出现了一个LSASS进程,并且其是以SYSTEM的用户运行且运行目录是在System32下面,那不用担心,是正常的。但是,有时候这个进程也会作怪,有些木马或者病毒也会假冒这个进程来欺骗用户。
当发生以下异常情况时,那我们需要注意了,可能我们的操作系统以及网络已经受到病毒或者木马的威胁。
1、在系统中出现了多个LSASS进程。一般以大写命名的LSASS进程是正常的,是系统进程;但是,若同时还存在一个小写命名的lsass进程的话,那就说明你的系统可能已经出问题了,被病毒或者木马看中了。
2、 若中了ISASS病毒的话,不仅会在系统进程中产生两个LSASS进程,而且,还会产生一个EXERT进程。这两个进程分工合作,共同来管理LSASS病 毒。一般来说,LSASS进程控制LSASS病毒的执行,而EXERT病毒控制LSASS病毒的退出。所以,若这两个进程成对出现的话,那你的系统百分之 百的已经中了LSASS病毒。
LSASS病毒也是一个盗号木马,其主要运行在微软的操作系统上。以前的版本危害比较小,主要用来****游戏密 码。但是,改良后的LSASS病毒,不仅会****游戏密码,而且,还会****邮箱、QQ密码等等,对于企业网络的安全影响比较大。不法之徒可以利用这 个工具,获取企业邮箱等密码,窃取企业的机密,如客户发给企业的定单等等。LSASS病毒会记录键盘信息,最后把用户名与密码信息记录下来并发送到指定的 邮箱,从而窃取用户的帐号与密码等等。所以,危害级别比较大。
解决方案:
1、结束LSASS进程。因为该进程为系统进程(其实不是, 只是伪装,但是操作系统本身不能识别),所以,无法在进程管理器中直接停止。我们只能够通过注册表,或者在DOS窗口中,利用NTSD命令强行停止。 NTSD是从微软的2000以后的操作系统中自带的用户调试工具。被调试器附着的进程会随调试器的退出而一起退出。所以,可以同这个命令在命令行窗口下强 行终止进程。但是,一般情况下,NTSD命令不能杀掉SYSTEM用户运行的进程。不过还好,LSASS病毒的LSASS进程是不是以SYSTEM用户运 行的。从这里我们可以看出,在进程管理器中,其结束进程的话,有时候是按进程的名字来限制的;但是,利用NTSD命令的话,他考虑的是以什么身份进行运行 的。故利用NTSD命令可以停止一些伪装系统进程运行的非法进程。利用这个命令,也可以禁止上面谈的CSRSS非法进程。当然,以SYSTEM运行的合法 系统进程是结束不掉的。具体的命令为ntsd –c q –p 进程ID.通过进程管理器,可以查到非法进程的ID,就可以通过这个命令禁止掉了。
2、 删除病毒文件。LSASS病毒会在其他盘下生成两个文件,分别为Autorun.inf与command.com文件。一般这两个文件的属性是隐藏的。所 以,我们需要把文件的显示属性设置为“显示隐藏文件与系统文件”才会看到这个两个文件。找到他们,然后把他们删除。同时,在启动盘下,可能会有一些病毒文 件,如EXERT.EXE等,我们也要把他们一一找出来,删除掉。不然的话,下次还是会中招。
3、修复注册表。这个病毒在注册表中会生成比较多的垃圾,所以,若是手工清除的话,一方面,不一定能够全部清除干净,另一方面,也可能一不小心,产生一些错误。此时,我们最好利用我们最近备份的注册表备份文件,直接进行恢复。
4、从网上下载专杀工具或者升级我们的杀毒软件,进行全面的查杀。
5、为了安全起见,需要提醒我们的员工,及时更改我们的帐户密码。因为用户 的密码很可能已经泄露出去。如果不及时把密码改过来的话,不法分子可以利用他们已经得到的用户名与密码,进行一些非法的勾当。
以 上这两种进程都是盗号木马的工具。对于这些盗号木马进程,一般情况下,不会对系统运行造成什么影响。所以,相对来说,比较隐蔽。但是,其危害性,确实比其 他病毒大的多。有些病毒只是恶作剧的性质,最多只是让操作系统崩溃或者造成网络拥塞。而企业的文件、帐户信息等不会泄露出去。所以,这些恶作剧的病毒危害 性反而小一点。
所以,为了保障企业网络的安全,最好的办法还是部署企业级别的杀毒系统。如此的话,可以实现在用户不用干预的情况下,对杀毒软件进行及时的升级,防止病毒与木马入侵。
一般来说,任何的网络攻击行为,无论是病毒还是木马,其发生的时候,肯定会在系统中留下一些痕迹。我接着谈谈我们如何从系统进程中查看我们的网络及操作系统是否正在遭受病毒或者木马的侵袭,及对应的解决方法。或许能够给正在遭受网络安全困扰的用户,一些帮助。
三、SMSS进程异常
SMSS 进程是会话管理子系统的进程,他主要用来初始化系统变量。正常情况下,他是以系统用户名(system)身份运行,并且运行目录是在SYSTEM32下 面。这个进程是通过系统进程初始化的并且对许多活动的系统变量作出反映。其实这个进程我们平时也经常会感受到。当某个程序发生异常时,SMSS进程就会让 系统停止响应。有时候我们在网上冲浪系统突然提示网页发生错误将关闭,就跟这个进程有关系。这个进程的正常运行,对于系统稳定性来说,是非常重要的。
但是,这个系统进程也被不法之人利用了。若你在任务管理器中发现以下异常现象,那么就要恭喜你了,你中木马了。
-------------------------------------------------------------------------------------
svchost.exe占用CPU 100%的解决方法
现象:
1. 机器启动运行几分钟后 svchost.exe就会占系统cpu资源的100%
2. 拔掉网线就好了,重连上网后一会儿:svchost.exe又占cpu资源的99%;
解决:
假设你已经使用了免费杀毒软件排除了病毒和已经使用防间谍软件排除了恶意软件的影响:
想办法清空C:\WINDOWS\SoftwareDistribution 目录下所有的文件重启机器即可。(C:\WINDOWS\SoftwareDistribution是Windows update服务的临时文件存放目录)
如果机器提示文件正在使用(”Automatic Updates”服务正在运行)无法删除相应目录:
* 则想办法打开控制面板==>管理工具==>服务,找到”Automatic Updates”,设置成手动启动,
* 重启后再删除 C:\WINDOWS\SoftwareDistribution。问题就解决了。
* 然后再打开控制面板==>管理工具==>服务,找到”Automatic Updates”,恢复成自动启动重启。
注意:重启后最好在上网条件比较好的地方让系统顺利完成一次系统自动更新。
原因分析:
先说说什么是svchost.exe:简单的说没有这个服务机器几乎就上不了网了。很多应用服务都是以来于这个接口RPC的,如果发现这个进程占了太多的CPU资源,
直接把系统的RPC服务禁用了会是一场灾难:因为连恢复这个界面的系统服务设置界面都无法使用了。恢复的方法需要使用注册表编辑器,找到 HKEY_LOCAL_MACHINE >> SYSTEM >> CurrentControlSet >> Services >> RpcSs, 右侧找到Start属性,把它的值改为2再重启即可
造成svchost占系统CPU 100%的原因并非svchost服务本身:以上的情况是由于Windows Update服务下载/安装失败而导致更新服务反复重试造成的。而Windows的自动更新也是依赖于svchost服务的一个后台应用,从而表现为 svchost.exe负载极高。常发生这类问题的机器一般是上网条件(尤其是去国外网站)不稳定的机器,比如家里的父母的机器,往往在安装机器几个月以后不定期发生,每个月的第二个星期是高发期:因为最近几年MS很有规律的在每个月的第二个星期发布补丁程序)。
上面的解决方法并不能保证不重发作,但是为了svchost文件而每隔几个月重装一次操作系统还是太浪费时间了。
教训:spoolsv.exe和svchost.exe的问题都是应用遇到失败/例外情况后自动重试造成的,本想为用户节省时间的设计,但是重试的频度过高反而导致了和病毒一样的效果。
参考资料:
* svchost.exe CPU Usage 100%, when my Windows using Automatic Update
* svchost.exe 吃掉所有 CPU 资源
* 微软官方说明: 使用“自动更新”搜索更新或对使用 Windows Installer 的应用程序应用更新时,遇到涉及 Svchost.exe 进程的问题
* Windows Update使SVCHOST.exe的问题跟踪
2,出处:
最近开机后SVCHOST.exe总是占用100%,机器并无病毒,且无恶意插件些,很是郁闷,于是google之.
原因请见微软的KnowledgeBase, http://support.microsoft.com/kb/916089/
找到了一个解决方法,以下内容,复制到记事本里,另存为fix_100.bat,运行之即可.
@echo off
rem ****************************************
rem Repair Start!
rem reregister windows update components
rem Supported Platforms
rem Windows XP
rem Part I
rem stop windows automatic update service and Background Intelligent Transfer Service
rem ****************************************
net stop WuAuServ
net stop BITS
rem net start WuAuServ
rem net start BITS
rem ****************************************
rem Part II
rem clear the cache directory of windows update that probably be destoried
rem step 1. stop Windows automatic update sercice
rem step 2. rename the directory as SDold which name is SoftwareDistribution
rem step 3. start windows automatic update servicerem
rem ****************************************
net stop cryptsvc
ren %systemroot%\System32\Catroot2 oldcatroot2
net start cryptsvc
cd %windir%
ren SoftwareDistribution SDold
rem ****************************************
rem Part III
rem repair the dll components
rem ****************************************
REGSVR32 WUAPI.DLL /s
REGSVR32 WUAUENG.DLL /s
REGSVR32 WUAUENG1.DLL /s
REGSVR32 ATL.DLL /s
REGSVR32 WUCLTUI.DLL /s
REGSVR32 WUPS.DLL /s
REGSVR32 WUPS2.DLL /s
REGSVR32 WUWEB.DLL /s
rem ****************************************
rem Part IV
rem start the service
rem ****************************************
net start WuAuServ
net start BITS
net start Eventlog
rem ****************************************
rem operation done!
rem ****************************************
@exit
但是经本人测试,在win2000系统中,用以上办法的话,当时CPU的占用率会下来,但是没一会又飙上去了,最后还是把自动更新在服务选项里面禁止之后才解决问题的.
一、CSRSS进程异常
根据官方的解释,CSRSS进程是Windows图形相关控制的客户端服务自系统。正常情况下,在操作系统的任务进程中,必须有这个进程,否则系统就的图形界面就无法使用了。但是,这个进程也很有可能被病毒所利用,成为病毒的保护伞。
若CSRSS进程出现了以下的异常情况,那么说明你的电脑很可能中毒了。应该即使采取措施,否则会影响操作系统以网络的安全。
1、当任务管理器中,出现多个CSRSS进程时。一般情况下,在操作系统中,只能出现一个CSRSS进程。虽然说CSRSS进程是必须的,但是,也不是多多益善。当任务管理器中的进程显示出有多个CSRSS进程的话,那么说明你的操作系统中招了。
2、当CSRSS进程运行的用户名不是SYSTEM,及其运行的模块路径不是System32 文件夹下的话,那么你也要当心了。很可能你电脑已经成为了黑客眼中的肉鸡,成为影响企业网络安全的一颗定时炸弹,随时都会爆炸。
解决方式:
若 CSRSS是木马引起的,那么CSRSS是一个小的脚本程序。现在很多木马都会用到这个进程,如QQ木马、传奇盗号木马、MSN木马、邮件帐号木马等等。 中了这些木马的时候,一般操作系统本身不会有很大的反映,系统的速度也是正常的,所以比较隐蔽。但是,其危害是很大的。其会把企业的一些帐号,如VPN用 户名与密码、即时通信工具与密码等等都泄露出去,给企业的网络安全带来很大的隐患。
遇到这种这种情况的话,我们应该采取如下措施:
1、 通过注册表删除这个进程。因为木马把这个进程伪装成系统进程,所以,试图通过任务管理器结束这个进程的时候,系统会提示错误信息,告知这个进程为系统进程 不能停止。所以,只能够通过注册表管理器,把这个进程删除。注意,不要把系统原来的那个进程给删除了。所以,还是建议在修改注册表之前,先记得备份一下。
2、然后查看进程运行时的系统路径。把该进程在注册表中删除后,在任务管理器中的进程处就找不到这个进程了。此时,找到其原先运行的路径下面, 我们就可以看到有一个CSRSS可执行文件。注意,只要不是SYSTEM32,其他的都可以删除。我们也可以通过系统自带的搜索功能,查询这个文件。把不 是在SYSTEM32目录下的CSRSS文件都删除。
3、为了安全起见,升级我们的杀毒软件或者网上寻找专杀工具,对我们的系统进行全面的查杀。把病毒杀掉后,要及时把补丁打上,以防止下次不小心又中招了。
二、LSASS进程异常
LSASS进程也是微软操作系统的系统进程,其主要用来管理IP安全策略以及启动ISAKMP/IKE和IP安全驱动程序。这个进程会产生会话秘钥以及授予用户交互式客户/服务器验证的服务凭据。
一般情况下,若系统进程中出现了一个LSASS进程,并且其是以SYSTEM的用户运行且运行目录是在System32下面,那不用担心,是正常的。但是,有时候这个进程也会作怪,有些木马或者病毒也会假冒这个进程来欺骗用户。
当发生以下异常情况时,那我们需要注意了,可能我们的操作系统以及网络已经受到病毒或者木马的威胁。
1、在系统中出现了多个LSASS进程。一般以大写命名的LSASS进程是正常的,是系统进程;但是,若同时还存在一个小写命名的lsass进程的话,那就说明你的系统可能已经出问题了,被病毒或者木马看中了。
2、 若中了ISASS病毒的话,不仅会在系统进程中产生两个LSASS进程,而且,还会产生一个EXERT进程。这两个进程分工合作,共同来管理LSASS病 毒。一般来说,LSASS进程控制LSASS病毒的执行,而EXERT病毒控制LSASS病毒的退出。所以,若这两个进程成对出现的话,那你的系统百分之 百的已经中了LSASS病毒。
LSASS病毒也是一个盗号木马,其主要运行在微软的操作系统上。以前的版本危害比较小,主要用来****游戏密 码。但是,改良后的LSASS病毒,不仅会****游戏密码,而且,还会****邮箱、QQ密码等等,对于企业网络的安全影响比较大。不法之徒可以利用这 个工具,获取企业邮箱等密码,窃取企业的机密,如客户发给企业的定单等等。LSASS病毒会记录键盘信息,最后把用户名与密码信息记录下来并发送到指定的 邮箱,从而窃取用户的帐号与密码等等。所以,危害级别比较大。
解决方案:
1、结束LSASS进程。因为该进程为系统进程(其实不是, 只是伪装,但是操作系统本身不能识别),所以,无法在进程管理器中直接停止。我们只能够通过注册表,或者在DOS窗口中,利用NTSD命令强行停止。 NTSD是从微软的2000以后的操作系统中自带的用户调试工具。被调试器附着的进程会随调试器的退出而一起退出。所以,可以同这个命令在命令行窗口下强 行终止进程。但是,一般情况下,NTSD命令不能杀掉SYSTEM用户运行的进程。不过还好,LSASS病毒的LSASS进程是不是以SYSTEM用户运 行的。从这里我们可以看出,在进程管理器中,其结束进程的话,有时候是按进程的名字来限制的;但是,利用NTSD命令的话,他考虑的是以什么身份进行运行 的。故利用NTSD命令可以停止一些伪装系统进程运行的非法进程。利用这个命令,也可以禁止上面谈的CSRSS非法进程。当然,以SYSTEM运行的合法 系统进程是结束不掉的。具体的命令为ntsd –c q –p 进程ID.通过进程管理器,可以查到非法进程的ID,就可以通过这个命令禁止掉了。
2、 删除病毒文件。LSASS病毒会在其他盘下生成两个文件,分别为Autorun.inf与command.com文件。一般这两个文件的属性是隐藏的。所 以,我们需要把文件的显示属性设置为“显示隐藏文件与系统文件”才会看到这个两个文件。找到他们,然后把他们删除。同时,在启动盘下,可能会有一些病毒文 件,如EXERT.EXE等,我们也要把他们一一找出来,删除掉。不然的话,下次还是会中招。
3、修复注册表。这个病毒在注册表中会生成比较多的垃圾,所以,若是手工清除的话,一方面,不一定能够全部清除干净,另一方面,也可能一不小心,产生一些错误。此时,我们最好利用我们最近备份的注册表备份文件,直接进行恢复。
4、从网上下载专杀工具或者升级我们的杀毒软件,进行全面的查杀。
5、为了安全起见,需要提醒我们的员工,及时更改我们的帐户密码。因为用户 的密码很可能已经泄露出去。如果不及时把密码改过来的话,不法分子可以利用他们已经得到的用户名与密码,进行一些非法的勾当。
以 上这两种进程都是盗号木马的工具。对于这些盗号木马进程,一般情况下,不会对系统运行造成什么影响。所以,相对来说,比较隐蔽。但是,其危害性,确实比其 他病毒大的多。有些病毒只是恶作剧的性质,最多只是让操作系统崩溃或者造成网络拥塞。而企业的文件、帐户信息等不会泄露出去。所以,这些恶作剧的病毒危害 性反而小一点。
所以,为了保障企业网络的安全,最好的办法还是部署企业级别的杀毒系统。如此的话,可以实现在用户不用干预的情况下,对杀毒软件进行及时的升级,防止病毒与木马入侵。
一般来说,任何的网络攻击行为,无论是病毒还是木马,其发生的时候,肯定会在系统中留下一些痕迹。我接着谈谈我们如何从系统进程中查看我们的网络及操作系统是否正在遭受病毒或者木马的侵袭,及对应的解决方法。或许能够给正在遭受网络安全困扰的用户,一些帮助。
三、SMSS进程异常
SMSS 进程是会话管理子系统的进程,他主要用来初始化系统变量。正常情况下,他是以系统用户名(system)身份运行,并且运行目录是在SYSTEM32下 面。这个进程是通过系统进程初始化的并且对许多活动的系统变量作出反映。其实这个进程我们平时也经常会感受到。当某个程序发生异常时,SMSS进程就会让 系统停止响应。有时候我们在网上冲浪系统突然提示网页发生错误将关闭,就跟这个进程有关系。这个进程的正常运行,对于系统稳定性来说,是非常重要的。
但是,这个系统进程也被不法之人利用了。若你在任务管理器中发现以下异常现象,那么就要恭喜你了,你中木马了。
-------------------------------------------------------------------------------------
svchost.exe占用CPU 100%的解决方法
现象:
1. 机器启动运行几分钟后 svchost.exe就会占系统cpu资源的100%
2. 拔掉网线就好了,重连上网后一会儿:svchost.exe又占cpu资源的99%;
解决:
假设你已经使用了免费杀毒软件排除了病毒和已经使用防间谍软件排除了恶意软件的影响:
想办法清空C:\WINDOWS\SoftwareDistribution 目录下所有的文件重启机器即可。(C:\WINDOWS\SoftwareDistribution是Windows update服务的临时文件存放目录)
如果机器提示文件正在使用(”Automatic Updates”服务正在运行)无法删除相应目录:
* 则想办法打开控制面板==>管理工具==>服务,找到”Automatic Updates”,设置成手动启动,
* 重启后再删除 C:\WINDOWS\SoftwareDistribution。问题就解决了。
* 然后再打开控制面板==>管理工具==>服务,找到”Automatic Updates”,恢复成自动启动重启。
注意:重启后最好在上网条件比较好的地方让系统顺利完成一次系统自动更新。
原因分析:
先说说什么是svchost.exe:简单的说没有这个服务机器几乎就上不了网了。很多应用服务都是以来于这个接口RPC的,如果发现这个进程占了太多的CPU资源,
直接把系统的RPC服务禁用了会是一场灾难:因为连恢复这个界面的系统服务设置界面都无法使用了。恢复的方法需要使用注册表编辑器,找到 HKEY_LOCAL_MACHINE >> SYSTEM >> CurrentControlSet >> Services >> RpcSs, 右侧找到Start属性,把它的值改为2再重启即可
造成svchost占系统CPU 100%的原因并非svchost服务本身:以上的情况是由于Windows Update服务下载/安装失败而导致更新服务反复重试造成的。而Windows的自动更新也是依赖于svchost服务的一个后台应用,从而表现为 svchost.exe负载极高。常发生这类问题的机器一般是上网条件(尤其是去国外网站)不稳定的机器,比如家里的父母的机器,往往在安装机器几个月以后不定期发生,每个月的第二个星期是高发期:因为最近几年MS很有规律的在每个月的第二个星期发布补丁程序)。
上面的解决方法并不能保证不重发作,但是为了svchost文件而每隔几个月重装一次操作系统还是太浪费时间了。
教训:spoolsv.exe和svchost.exe的问题都是应用遇到失败/例外情况后自动重试造成的,本想为用户节省时间的设计,但是重试的频度过高反而导致了和病毒一样的效果。
参考资料:
* svchost.exe CPU Usage 100%, when my Windows using Automatic Update
* svchost.exe 吃掉所有 CPU 资源
* 微软官方说明: 使用“自动更新”搜索更新或对使用 Windows Installer 的应用程序应用更新时,遇到涉及 Svchost.exe 进程的问题
* Windows Update使SVCHOST.exe的问题跟踪
2,出处:
最近开机后SVCHOST.exe总是占用100%,机器并无病毒,且无恶意插件些,很是郁闷,于是google之.
原因请见微软的KnowledgeBase, http://support.microsoft.com/kb/916089/
找到了一个解决方法,以下内容,复制到记事本里,另存为fix_100.bat,运行之即可.
@echo off
rem ****************************************
rem Repair Start!
rem reregister windows update components
rem Supported Platforms
rem Windows XP
rem Part I
rem stop windows automatic update service and Background Intelligent Transfer Service
rem ****************************************
net stop WuAuServ
net stop BITS
rem net start WuAuServ
rem net start BITS
rem ****************************************
rem Part II
rem clear the cache directory of windows update that probably be destoried
rem step 1. stop Windows automatic update sercice
rem step 2. rename the directory as SDold which name is SoftwareDistribution
rem step 3. start windows automatic update servicerem
rem ****************************************
net stop cryptsvc
ren %systemroot%\System32\Catroot2 oldcatroot2
net start cryptsvc
cd %windir%
ren SoftwareDistribution SDold
rem ****************************************
rem Part III
rem repair the dll components
rem ****************************************
REGSVR32 WUAPI.DLL /s
REGSVR32 WUAUENG.DLL /s
REGSVR32 WUAUENG1.DLL /s
REGSVR32 ATL.DLL /s
REGSVR32 WUCLTUI.DLL /s
REGSVR32 WUPS.DLL /s
REGSVR32 WUPS2.DLL /s
REGSVR32 WUWEB.DLL /s
rem ****************************************
rem Part IV
rem start the service
rem ****************************************
net start WuAuServ
net start BITS
net start Eventlog
rem ****************************************
rem operation done!
rem ****************************************
@exit
但是经本人测试,在win2000系统中,用以上办法的话,当时CPU的占用率会下来,但是没一会又飙上去了,最后还是把自动更新在服务选项里面禁止之后才解决问题的.
No comments:
Post a Comment