⒈dllhost进程造成CPU 使用率 占用100%

特征：服务器正常CPU消耗应该在75%以下，而且CPU消耗应该是上下起伏的，出现这种问题的服务器，CPU会突然一直处100%的水平，而且不会下降。察看 任务管理器 ，可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间， 管理员 在这种情况下，只好重新启动ⅡS服务，奇怪的是，重新启动ⅡS服务后一切正常，但可能过了一段时间后，问题又再次出现了。

【直接原因】：

有一个或多个 ACCESS数据库 在多次读写过程中损坏， 微软 的MDAC系统在写入这个损坏的ACCESS文件时，ASP线程处于BLOCK状态，结果其它线程只能等待，ⅡS被 死锁 了，全部的CPU时间都消耗在DLLHOST中。

解决办法：

安装“一流信息监控拦截系统”，使用其中的“首席文件检察官ⅡS健康检察官” 软件 ，

启用”察封我号锁模块”，设置：

--wblock=yes

监控的目录，请指定您的主机的文件所在目录：

--wblockdir=d: est

监控生成的日志的文件保存位置在 安装目录 的log目录中，文件名为：logblock.htm

停止ⅡS，再启动“首席文件检察官ⅡS健康检察官”，再启动ⅡS，“首席文件检察官ⅡS健康检察官”会在logblock.htm中记录下最后写入的ACCESS文件的。

过了一段时间后，当问题出来时，例如CPU会再次一直处100%的水平，可以停止ⅡS，检察logblock.htm所记录的最后的十个文件，注意，最有问题的往往是计数器类的ACCESS文件，例如：”**COUNT.MDB”，”**COUNT.ASP”，可以先把最后十个文件或有所怀疑的文件删除到 回收站 中，再启动ⅡS，看看问题是否再次出现。我们相信，经过仔细的察找后，您肯定可以找到这个让您操心了一段时间的文件的。

找到这个文件后，可以删除它，或下载下来，用ACCESS2000修复它，问题就解决了。

⒉ svchost.exe 造成CPU使用率占用100%

在 win.ini 文件中，在[Windows]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成 command.exe 文件，如果不注意可能不会发现它不是真正的系统启动文件。

在 system.ini 文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“ explorer.exe ”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开 注册表编辑器 ，在点击至：“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，察看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记：有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下的Explorer 键值改为Explorer=“C:Windowsexpiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如：“HKEY-CURRENT-USERSoftwareMicrosoftWindowsCurrentVersionRun”、“HKEY-USERS****SoftwareMicrosoftWindowsCurrentVersionRun”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”下找到“木马该病毒也称为“Code Red Ⅱ（ 红色代码 2）”病毒，与早先在西方英文系统下流行“红色代码”病毒有点相反，在国际上被称为VirtualRoot( 虚拟目录 ）病毒。该蠕虫病毒利用Microsoft已知的溢出漏洞，通过80端口来传播到其它的Web页服务器上。受感染的机器可由 黑客 们通过Http Get的请求运行scripts/root.exe来获得对受感染机器的完全控制权。

当感染一台服务器成功了以后，如果受感染的机器是中文的系统后，该程序会休眠2天，别的机器休眠1天。当休眠的时间到了以后，该 蠕虫程序 会使得机器重新启动。该蠕虫也会检察机器的月份是否是10月或者年份是否是2002年，如果是，受感染的服务器也会重新启动。当Windows NT系统启动时，NT系统会自动搜索C盘根目录下的文件 explorer.exe ，受该 网络蠕虫 程序感染的服务器上的文件explorer.exe也就是该网络蠕虫程序本身。该文件的大小是8192字节，VirtualRoot网络 蠕虫程序 就是通过该程序来执行的。同时，VirtualRoot网络 蠕虫程序 还将cmd.exe的文件从Windows NT的system目录拷贝到别的目录，给黑客的入侵敞开了大门。它还会修改系统的注册表项目，通过该注册表项目的修改，该 蠕虫程序 可以建立虚拟的目录C或者D，病毒名由此而来。值得一提的是，该网络 蠕虫程序 除了文件 explorer.exe 外，其余的操作不是基于文件的，而是直接在内存中来进行感染、传播的，这就给捕捉带来了较大难度。

”程序的文件名，再在整个注册表中搜索即可。

我们先看看 微软 是怎样描述 svchost.exe 的。在 微软 知识库314056中对 svchost.exe 有如下描述：svchost.exe 是从 动态链接库 (DLL) 中运行的服务的通用 主机 进程名称 。

其实svchost. exe 是Windows XP系统的一个核心进程。系统的进程列表中有几个 svchost.exe 不用那么担心。

svchost.exe 到底是做什么用的呢?

首先我们要了解一点那就是Windows系统的中的进程分为：独立进程和共享进程这两种。由于Windows系统中的服务越来越多，为了节约有限的 系统资源 微软 把很多的 系统服务 做成了共享模式。那 svchost.exe 在这中间是担任怎样一个角色呢?

svchost.exe 的工作就是作为这些服务的宿主，即由svchost.exe来启动这些服务。 svchost.exe 只是负责为这些服务提供启动的条件，其自身并不能实现任何服务的功能，也不能为用户提供任何服务。 svchost.exe 通过为这些 系统服务 调用 动态链接库 (DLL）的方式来启动系统服务。

svchost.exe 是病毒这种说法是任何产生的呢?

因为 svchost.exe 可以作为服务的宿主来启动服务，所以病毒、木马的编写者也挖空心思的要利用svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。

如何才能辨别哪些是正常的 svchost.exe 进程，而哪些是病毒进程呢?

svchost.exe 的键值是在“HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost”，如图1所示。图1中每个键值表示一个独立的 svchost.exe 组。

微软 还为我们提供了一种察看系统正在运行在 svchost.exe 列表中的服务的方法。以Windows XP为例：在“运行”中输入：cmd，然后在命令行模式中输入：tasklist /svc。系统列出如图2所示的服务列表。图2中红框包围起来的区域就是 svchost.exe 启动的服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为：“tlist -s”即可。如果你怀疑计算机有可能被病毒感染， svchost.exe 的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况。一般只会找到一个在：“C:WindowsSystem32”目录下的 svchost.exe 程序。如果你在其它目录下发现 svchost.exe 程序的话，那很可能就是中毒了。

还有一种确认 svchost.exe 是否中毒的方法是在 任务管理器 中察看进程的执行路径。但是由于在Windows系统自带的 任务管理器 不能察看进程路径，所以要使用第三方的进程察看工具。

上面简单的介绍了 svchost.exe 进程的相关情况。总而言之， svchost.exe 是一个系统的核心进程，并不是病毒进程。但由于 svchost.exe 进程的特殊性，所以病毒也会千方百计的入侵svchost.exe。通过察看 svchost.exe 进程的执行 路径 可以确认是否中毒。

⒊ Services.exe 造成CPU使用率占用100%

【症状】

在基于 Windows 2000 的计算机上，Services.exe 中的 CPU 使用率 可能间歇性地达到100 %，并且计算机可能停止响应（挂起）。出现此问题时，连接到该计算机（如果它是文件服务器或 域控制器 ）的用户会被断开连接。您可能还需要重新启动计算机。如果 Esent.dll 错误地处理将文件刷新到磁盘的方式，则会出现此症状。

【解决方案】

Service Pack 信息

要解决此问题，请获取最新的 Microsoft Windows 2000 Service Pack。有关其它信息，请单击下面的 文章编号 ，以察看 Microsoft 知识库中相应的文章：

260910 如何获取最新的 Windows 2000 Service Pack

【修复程序信息】

Microsoft 提供了受支持的修补程序，但该程序只是为了解决本文所介绍的问题。只有计算机遇到本文提到的特定问题时才可应用此修补程序。此修补程序可能还会接受其它一些测试。因此，如果这个问题没有对您造成严重的影响，Microsoft 建议您等待包含此修补程序的下一个 Windows 2000 Service Pack。

要立即解决此问题，请与“Microsoft 产品支持服务”联系，以获取此修补程序。有关“Microsoft 产品支持服务”电话号码和支持费用信息的完整列表，请访问 Microsoft Web 站点：

注意 ：特殊情况下，如果 Microsoft 支持专业人员确定某个特定的更新程序能够解决您的问题，可免收通常情况下收取的 电话 支持服务费用。对于特定更新程序无法解决的其它支持问题和事项，将正常收取支持费用。

下表列出了此修补程序的全球版本的 文件属性 （或更新的属性）。这些文件的日期和时间按协调通用时间 (UTC) 列出。察看文件信息时，它将转换为本地时间。要了解 UTC 与本地时间之间的时差，请使用“ 控制面板 ”中的“日期和时间”工具中的 时区 选项卡。

【状态】

Microsoft 已经确认这是在本文开头列出的 Microsoft 产品中存在的问题。此问题最初是在 Microsoft Windows 2000 Service Pack 4 中更正的。