CPU占用率高的九种可能

gowin

1、防杀毒软件造成故障\r\n\r\n　　由于新版的KV、金山、瑞星都加入了对网页、插件、邮件的随机监控，无疑增大了系统负担。处理方式:基本上没有合理的处理方式，尽量使用最少的监控服务吧，或者，升级你的硬件配备。 \r\n\r\n　　2、驱动没有经过认证，造成CPU资源占用100%\r\n\r\n　　大量的测试版的驱动在网上泛滥，造成了难以发现的故障原因。 处理方式:尤其是显卡驱动特别要注意，建议使用微软认证的或由官方发布的驱动，并且严格核对型号、版本。\r\n\r\n　　3、病毒、木马造成\r\n\r\n　　大量的蠕虫病毒在系统内部迅速复制，造成CPU占用资源率据高不下。解决办法:用可*的杀毒软件彻底清理系统内存和本地硬盘，并且打开系统设置软件，察看有无异常启动的程序。经常性更新升级杀毒软件和防火墙，加强防毒意识，掌握正确的防杀毒知识。\r\n\r\n　　4、控制面板—管理工具—服务—RISING REALTIME MONITOR SERVICE点鼠标右键，改为手动。\r\n\r\n　　5、开始->；运行->；msconfig->；启动，关闭不必要的启动项，重启。\r\n\r\n　　6、查看“svchost”进程。\r\n\r\n　　svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中，在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个，而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。\r\n\r\n　　7、查看网络连接。主要是网卡。\r\n\r\n　　8、查看网络连接\r\n\r\n　　当安装了Windows XP的计算机做服务器的时候，收到端口 445 上的连接请求时，它将分配内存和少量地调配 CPU资源来为这些连接提供服务。当负荷过重的时候，CPU占用率可能过高，这是因为在工作项的数目和响应能力之间存在固有的权衡关系。你要确定合适的 MaxWorkItems 设置以提高系统响应能力。如果设置的值不正确，服务器的响应能力可能会受到影响，或者某个用户独占太多系统资源。\r\n\r\n　　要解决此问题，我们可以通过修改注册表来解决:在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\lanmanserver ]分支，在右侧窗口中新建一个名为“maxworkitems”的DWORD值。然后双击该值，在打开的窗口中键入下列数值并保存退出:\r\n\r\n　　如果计算机有512MB以上的内存，键入“1024”；如果计算机内存小于512 MB，键入“256”。

gowin

　　9、看看是不是Windows XP使用鼠标右键引起CPU占用100%\r\n\r\n　　前不久的报到说在资源管理器里面使用鼠标右键会导致CPU资源100%占用，我们来看看是怎么回事？\r\n\r\n　　征兆:\r\n\r\n　　在资源管理器里面，当你右键点击一个目录或一个文件，你将有可能出现下面所列问题:\r\n\r\n　　任何文件的拷贝*作在那个时间将有可能停止相应\r\n　　网络连接速度将显著性的降低\r\n　　所有的流输入/输出*作例如使用Windows Media Player听音乐将有可能是音乐失真成因:\r\n　　当你在资源管理器里面右键点击一个文件或目录的时候，当快捷菜单显示的时候，CPU占用率将增加到100%，当你关闭快捷菜单的时候才返回正常水平。\r\n\r\n　　解决方法:\r\n\r\n　　方法一:关闭“为菜单和工具提示使用过渡效果”\r\n\r\n　　1、点击“开始”--“控制面板”\r\n　　2、在“控制面板”里面双击“显示”\r\n　　3、在“显示”属性里面点击“外观”标签页\r\n　　4、在“外观”标签页里面点击“效果”\r\n\r\n　　5、在“效果”对话框里面，清除“为菜单和工具提示使用过渡效果”前面的复选框接着点击两次“确定”按钮。\r\n\r\n　　方法二:在使用鼠标右键点击文件或目录的时候先使用鼠标左键选择你的目标文件或目录。然后再使用鼠标右键弹出快捷菜单。\r\n\r\n进程占用CPU 100%时可能中的病毒：\r\n\r\n　　system Idle Process\r\n\r\n　　进程文件: [system process] or [system process]\r\n\r\n　　进程名称: Windows内存处理系统进程\r\n\r\n　　描 述: Windows页面内存管理进程，拥有0级优先。\r\n\r\n　　介 绍:该进程作为单线程运行在每个处理器上，并在系统不处理其它线程的时候分派处理器的时间。它的CPU占用率越大表示可供分配的CPU资源越多，数字越小则表示CPU资源紧张。\r\n\r\n　　Spoolsv.exe\r\n\r\n　　进程文件: spoolsv or Spoolsv.exe\r\n\r\n　　进程名称: Printer Spooler Service\r\n\r\n　　描 述: Windows打印任务控制程序，用以打印机就绪。\r\n\r\n　　介 绍:缓冲(spooler)服务是管理缓冲池中的打印和传真作业。\r\n\r\n　　Spoolsv.exe→打印任务控制程序，一般会先加载以供列表机打印前的准备工作\r\n\r\n　　Spoolsv.exe，如果常增高，有可能是病毒感染所致\r\n\r\n　　目前常见的是:\r\n\r\n　　Backdoor/Byshell(又叫隐形大盗、隐形杀手、西门庆病毒)\r\n\r\n　　危害程度:中\r\n\r\n　　受影响的系统: Windows 2000， Windows XP， Windows Server 2003\r\n\r\n　　未受影响的系统: Windows 95， Windows 98， Windows Me， Windows NT， Windows 3.x， Macintosh， Unix， Linux，\r\n\r\n　　病毒危害:\r\n\r\n　　1. 生成病毒文件\r\n\r\n　　2. 插入正常系统文件中\r\n\r\n　　3. 修改系统注册表\r\n\r\n　　4. 可被黑客远程控制\r\n\r\n　　5. 躲避反病毒软件的查杀\r\n\r\n　　简单的后门木马，发作会删除自身程序，但将自身程序套入可执行程序内(如:exe)，并与计算机的通口(TCP端口13挂钩，监控计算机的信息、密码，甚至是键盘*作，作为回传的信息，并不时驱动端口，以等候传进的命令，由于该木马不能判别何者是正确的端口，所以负责输出的列表机也是其驱动对象，以致Spoolsv.exe的使用异常频繁......

gowin

　　Backdoor.Win32.Plutor\r\n\r\n　　破坏方法:感染PE文件的后门程序\r\n\r\n　　病毒采用VC编写。\r\n\r\n　　病毒运行后有以下行为:\r\n\r\n　　1、将病毒文件复制到%WINDIR%目录下，文件名为\"；Spoolsv.exe\"；，并该病毒文件运行。\"；Spoolsv.exe\"；文件运行后释放文件名为\"；mscheck.exe\"；的文件到%SYSDIR%目录下，该文件的主要功能是每次激活时运行\"；Spoolsv.exe\"；文件。如果所运行的文件是感染了正常文件的病毒文件，病毒将会把该文件恢复并将其运行。\r\n\r\n　　2、修改注册表以下键值:\r\n\r\n　　HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\Currentversion\\Run\r\n\r\n　　增加数据项:\"；Microsoft Script Checker\"； 数据为:\"；MSCHECK.EXE /START\"；\r\n\r\n　　修改该项注册表使\"；MSCHECK.EXE\"；文件每次系统激活时都将被运行，而\"；MSCHECK.EXE\"；用于运行\"；Spoolsv.exe\"；文件，从而达到病毒自激活的目的。\r\n\r\n　　3、创建一个线程用于感染C盘下的PE文件，但是文件路径中包含\"；winnt\"；、\"；Windows\"；字符串的文件不感染。另外，该病毒还会枚举局域网中的共享目录并试图对这些目录下的文件进行感染。该病毒感染文件方法比较简单，将正常文件的前0x16000个字节替换为病毒文件中的数据，并将原来0x16000个字节的数据插入所感染的文件尾部。\r\n\r\n　　4、试图与局域网内名为\"；admin\"；的邮槽联系，创建名为\"；client\"；的邮槽用于接收其控制端所发送的命令，为其控制端提供以下远程控制服务:\r\n\r\n　　显示或隐藏指定窗口、屏幕截取、控制CDROM、关闭计算器、注销、破坏硬盘数据。\r\n\r\nCPU占用100%案例分析：\r\n\r\n　　1、dllhost进程造成CPU使用率占用100%\r\n\r\n　　特征:服务器正常CPU消耗应该在75%以下，而且CPU消耗应该是上下起伏的，出现这种问题的服务器，CPU会突然一直处100%的水平，而且不会下降。查看任务管理器，可以发现是DLLHOST.EXE消耗了所有的CPU空闲时间，管理员在这种情况下，只好重新启动IIS服务，奇怪的是，重新启动IIS服务后一切正常，但可能过了一段时间后，问题又再次出现了。\r\n\r\n　　直接原因:\r\n\r\n　　有一个或多个ACCESS数据库在多次读写过程中损坏，微软的MDAC系统在写入这个损坏的ACCESS文件时，ASP线程处于BLOCK状态，结果其它线程只能等待，IIS被死锁了，全部的CPU时间都消耗在DLLHOST中。\r\n\r\n　　解决办法:\r\n\r\n　　安装“一流信息监控拦截系统”，使用其中的“首席文件检查官IIS健康检查官”软件，\r\n\r\n　　启用”查找死锁模块”，设置:\r\n\r\n　　--wblock=yes\r\n　　监控的目录，请指定您的主机的文件所在目录:\r\n　　--wblockdir=d:\\test\r\n\r\n　　监控生成的日志的文件保存位置在安装目录的log目录中，文件名为:logblock.htm\r\n\r\n　　停止IIS，再启动“首席文件检查官IIS健康检查官”，再启动IIS，“首席文件检查官IIS健康检查官”会在logblock.htm中记录下最后写入的ACCESS文件的。\r\n\r\n　　过了一段时间后，当问题出来时，例如CPU会再次一直处100%的水平，可以停止IIS，检查logblock.htm所记录的最后的十个文件，注意，最有问题的往往是计数器类的ACCESS文件，例如:”**COUNT.MDB”，”**COUNT.ASP”，可以先把最后十个文件或有所怀疑的文件删除到回收站中，再启动IIS，看看问题是否再次出现。我们相信，经过仔细的查找后，您肯定可以找到这个让您*心了一段时间的文件的。\r\n\r\n　　找到这个文件后，可以删除它，或下载下来，用ACCESS2000修复它，问题就解决了。\r\n\r\n　　2、svchost.exe造成CPU使用率占用100%\r\n\r\n　　在win.ini文件中，在[Windows]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什幺都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。\r\n\r\n　　在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那幺后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。\r\n\r\n　　在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至:“HKEY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记:有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”下的Explorer 键值改为Explorer=“C:\\Windows\\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如:“HKEY-CURRENT-USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run”、“HKEY-USERS\\****\\Software\\Microsoft\\Windows\\CurrentVersion\\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run”下找到“木马该病毒也称为“Code Red II(红色代码2)”病毒，与早先在西方英文系统下流行“红色代码”病毒有点相反，在国际上被称为VirtualRoot(虚拟目录)病毒。该蠕虫病毒利用Microsoft已知的溢出漏洞，通过80端口来传播到其它的Web页服务器上。受感染的机器可由黑客们通过Http Get的请求运行scripts/root.exe来获得对受感染机器的完全控制权。\r\n\r\n　　当感染一台服务器成功了以后，如果受感染的机器是中文的系统后，该程序会休眠2天，别的机器休眠1天。当休眠的时间到了以后，该蠕虫程序会使得机器重新启动。该蠕虫也会检查机器的月份是否是10月或者年份是否是2002年，如果是，受感染的服务器也会重新启动。当Windows NT系统启动时，NT系统会自动搜索C盘根目录下的文件explorer.exe，受该网络蠕虫程序感染的服务器上的文件explorer.exe也就是该网络蠕虫程序本身。该文件的大小是8192字节，VirtualRoot网络蠕虫程序就是通过该程序来执行的。同时，VirtualRoot网络蠕虫程序还将cmd.exe的文件从Windows NT的system目录拷贝到别的目录，给黑客的入侵敞开了大门。它还会修改系统的注册表项目，通过该注册表项目的修改，该蠕虫程序可以建立虚拟的目录C或者D，病毒名由此而来。值得一提的是，该网络蠕虫程序除了文件explorer.exe外，其余的*作不是基于文件的，而是直接在内存中来进行感染、传播的，这就给捕捉带来了较大难度。\r\n\r\n　　”程序的文件名，再在整个注册表中搜索即可。\r\n\r\n　　我们先看看微软是怎样描述svchost.exe的。在微软知识库314056中对svchost.exe有如下描述:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。\r\n\r\n　　其实svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中，在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个，而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个svchost.exe不用那幺担心。