下面介【xià miàn jiè】绍导致【shào dǎo zhì】服务器CPU利用率占用🤠100%的六种【de liù zhǒng】常见问❕题以及其解决方法😕。

　　1、dllhost进程造【jìn chéng zào】成💢CPU使用率🥉占用【zhàn yòng】100%

　　特征🔒:服务器【qì】正常CPU消耗应🔰该在75%以下【yǐ xià】♐，而且【ér qiě】CPU消耗应🔰该是🚬上下起伏😯的。出现这种问题🍶的服务器【qì】，CPU会突然【huì tū rán】一直处🏆100%的水平😤，而且【ér qiě】不会下降【huì xià jiàng】。查看任【chá kàn rèn】务管理🐴器【qì】，可以发【kě yǐ fā】现是🚬DLLHOST.EXE消耗了😴所有的🔗CPU空闲时间【jiān】，管理员【guǎn lǐ yuán】在这种🕷情况下，只好重【zhī hǎo chóng】新启动😂IIS服务，奇怪的是🚬，重新启动😂IIS服务后【fú wù hòu】一切正常，但可能【dàn kě néng】🤩过了一【guò le yī】段时间【jiān】后【hòu】，问题又💠再次出现了【xiàn le】。

　　直接原因:

　　有一个或多个ACCESS数据库💅在多次【zài duō cì】🐠读写过程中【zhōng】损坏，微软的 MDAC 系统在写入这🥑个损坏【gè sǔn huài】🌙的ACCESS文件时，ASP线程处于BLOCK状态，结果其【jié guǒ qí】它线程【tā xiàn chéng】🍯只能等待，IIS被死锁了【le】，全部的🥄CPU时间都【shí jiān dōu】😶消耗在【xiāo hào zài】🏓DLLHOST中【zhōng】。

　　解决办法:

　　安装“一流信【yī liú xìn】🔍息监控👡拦截系统🎢”，使用其中的【zhōng de】“首席文【shǒu xí wén】件检查官IIS健康检【jiàn kāng jiǎn】查官”软件📼，

　　启用”查找死【chá zhǎo sǐ】㊙锁模块”，设置【shè zhì】🎂:

　　--wblock=yes

　　监控的目录【mù lù】🏎，请指定您的主【nín de zhǔ】🌘机的文【jī de wén】件所在📁目录【mù lù】🏎:

　　--wblockdir=d:\test

　　监控生成的日【chéng de rì】志的文件保存【jiàn bǎo cún】位置在📿安装目🚆录的🏪log目录中【mù lù zhōng】，文件名为:logblock.htm

　　停止【tíng zhǐ】IIS，再启动【zài qǐ dòng】💆“首席文【shǒu xí wén】件检查🍞官🤭IIS健康检【jiàn kāng jiǎn】🦓查官🚢”，再启动【zài qǐ dòng】💆IIS，“首席文【shǒu xí wén】件检查🍞官🤭IIS健康检【jiàn kāng jiǎn】🦓查官🚢”会在logblock.htm中记录【zhōng jì lù】下最后写入的ACCESS文件的【wén jiàn de】。

　　过了一段时间【duàn shí jiān】🍄后🎀，当问题出来时【chū lái shí】🕒，例如【lì rú】⛓CPU会再次🤺一直处⚡100%的🚺水平，可以停【kě yǐ tíng】止💔IIS，检查【jiǎn chá】logblock.htm所记录的🚺最后🎀的十个🌐文件【wén jiàn】🦒，注意，最有问🛶题的🚺往往是计数器类💘的🚺ACCESS文件【wén jiàn】🦒，例如【lì rú】⛓:”**COUNT. MDB ”，”**COUNT.ASP”，可以先把最后🎀十个文【shí gè wén】件🦒或有所怀疑的🚺文件【wén jiàn】🦒删除到【shān chú dào】回收站中，再启动【zài qǐ dòng】IIS，看看问【kàn kàn wèn】题是否🥗再次出现【xiàn】。我们相📱信，经过仔📝细的查【xì de chá】🗃找后🎀，您肯定【nín kěn dìng】可以找到这个【dào zhè gè】让您操【ràng nín cāo】心了一段时间【duàn shí jiān】🍄的🚺文件【wén jiàn】🦒的🚺。

　　找到这个文件后，可以删【kě yǐ shān】👵除它，或下载【huò xià zǎi】🈷下来，用ACCESS2000修复它⏮，问题就【wèn tí jiù】解决了【jiě jué le】🗽。

　　2、svchost.exe造成【zào chéng】❤CPU使用率占用100%

　　在【zài】win.ini文件中【wén jiàn zhōng】，在【zài】[Windows]下面【xià miàn】，“run=”和“load=”是可能🤵加载🛸“木马📹”程序的途径，必须仔【bì xū zǎi】细留心【xì liú xīn】它们【tā men】。一般情【yī bān qíng】🌽况下⏪，它们【tā men】的等号后面什幺都没有🔗，如【rú】果发🧙现后面跟有路径与文件名不是你熟🅾悉的启🏾动文件【dòng wén jiàn】，你的计👎算机就【suàn jī jiù】可能中【kě néng zhōng】📭上【shàng】“木马📹”了。当然你【dāng rán nǐ】也得看清楚，因为好多【duō】“木马📹”，如【rú】“AOL Trojan木马📹”，它把自🍑身伪装📫成command.exe文件，如【rú】果不注意可🛣能不会发现它不是真🕝正的系统启动【tǒng qǐ dòng】文件。

　　在【zài】system.ini文件中🕖，在【zài】[BOOT]下面有【xià miàn yǒu】个“shell=文件名【wén jiàn míng】🧑”。正确的【zhèng què de】🤰文件名【wén jiàn míng】🧑应该是“explorer.exe”，如果不【rú guǒ bú】🔟是“explorer.exe”，而是“shell= explorer.exe 程序名”，那幺后【nà yāo hòu】面跟着的那个🥎程序就是“木马【mù mǎ】”程序，就是说🎯你已经🌷中🕖“木马【mù mǎ】”了。

　　在注册表【zhù cè biǎo】🚱中的情【zhōng de qíng】况最复杂【zá】，通过【tōng guò】regedit命令打【mìng lìng dǎ】开注册表【zhù cè biǎo】🚱编辑器，在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下【mù lù xià】📇，查看键值中有没有自【méi yǒu zì】🐪己不熟🎰悉的自【xī de zì】动启动🐱文件，扩展名🌁为【wéi】EXE，这里切🙏记:有的“木马【mù mǎ】”程序【chéng xù】生✍成的文件很像系统自🤹身文件😩，想通过【xiǎng tōng guò】伪装蒙混过关【hún guò guān】📳，如【rú】🥔“Acid Battery v1.0木马【mù mǎ】”，它将注【tā jiāng zhù】册表【biǎo】🚱“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为【wéi】Explorer=“C:\Windows\expiorer.exe”，“木马【mù mǎ】”程序【chéng xù】与真正的🆒Explorer之间只【zhī jiān zhī】🏊有“i”与“l”的差别。当然在🔇注册表【zhù cè biǎo】🚱中还有很多地方都可以隐藏【yǐ yǐn cáng】🤲“木马【mù mǎ】”程序【chéng xù】，如【rú】🥔:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录【lù】👬下都有⏩可能🙅，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马该【mù mǎ gāi】🐨病毒【bìng dú】也🤰称为【wéi】⛲“Code Red II(红色代【hóng sè dài】码🚩2)”病毒【bìng dú】，与早先在西方英文系【yīng wén xì】统下流行【háng】“红色代【hóng sè dài】码🚩”病毒有【bìng dú yǒu】🛵点相反，在国际【zài guó jì】上被称【shàng bèi chēng】为【wéi】⛲VirtualRoot(虚拟目录【lù】)病毒【bìng dú】。该蠕虫病毒【bìng dú】利用Microsoft已知的溢出漏洞，通过【tōng guò】80端口来🐥传播到【chuán bō dào】🍹其它的Web页服务【yè fú wù】器上。受感染的机器🚴可由黑客们通【kè men tōng】⏳过Http Get的请求运行【yùn háng】scripts/root.exe来获得对受感染机器🎢的完全控制权🍖。

　　当感染【gǎn rǎn】一台服【yī tái fú】⛄务器成🎀功了以后【hòu】🏌，如果受感染【gǎn rǎn】🌐的机器【de jī qì】是【shì】⏺中文的【zhōng wén de】🈴系统后【hòu】🏌，该程序会【chéng xù huì】休眠🔡2天【tiān】，别的机器【de jī qì】休眠1天【tiān】。当休眠【dāng xiū mián】的时间【de shí jiān】🍜到了以后【hòu】🏌，该蠕虫【chóng】🤟程序会【chéng xù huì】使得机器重新😂启动【qǐ dòng】。该蠕虫【chóng】🤟也会检查机器【chá jī qì】的月份【de yuè fèn】是否是【shì fǒu shì】✒10月或者🅰年份是【nián fèn shì】🀄否是【shì】⏺2002年，如果是【shì】⏺，受感染【gǎn rǎn】🌐的服务器也会🚦重新启动【qǐ dòng】。当Windows NT系统启动【qǐ dòng】时，NT系统会自动搜【zì dòng sōu】索C盘根目录下的文件【wén jiàn】🐁explorer.exe，受该网络【gāi wǎng luò】😦蠕虫【chóng】程序【xù】💩感染【gǎn rǎn】的服务器上的文件【wén jiàn】🐁explorer.exe也就是【shì】⏺该网络【gāi wǎng luò】😦蠕虫【chóng】程序【xù】💩本身。该文件【wén jiàn】😳的大小是【shì】⏺8192字节【zì jiē】，VirtualRoot网络【luò】蠕虫【chóng】👛程序【xù】就是【shì】⏺通过该程序【xù】来【lái】执【zhí】🏘行的【háng de】。同时🥂，VirtualRoot网络【luò】蠕虫【chóng】👛程序【xù】还将cmd.exe的文件【wén jiàn】🐁从👜Windows NT的system目录拷【mù lù kǎo】🚖贝到别的目录【de mù lù】，给黑客⛷的入侵敞开了大门➰。它还会【tā hái huì】⛑修改系🌯统的注册表🚵项目，通过该注册表🚵项目的修改，该蠕虫【chóng】🤟程序可【chéng xù kě】以建立虚拟的【xū nǐ de】😨目录C或者🅰D，病毒名【bìng dú míng】由此而【yóu cǐ ér】来【lái】🚵。值得一提的是【shì】⏺，该网络【gāi wǎng luò】😦蠕虫【chóng】程序【xù】💩除了文件【wén jiàn】explorer.exe外📈，其余的操作不📭是【shì】⏺基于文【jī yú wén】件【jiàn】的🕖，而是直【ér shì zhí】🖋接在内♊存中来【lái】🚵进行感染【gǎn rǎn】、传播的【chuán bō de】，这就给捕捉带🔱来【lái】🚵了难度。

　　我们先看看微【kàn kàn wēi】软是怎样描述【miáo shù】🕳svchost.exe的【de】🦔。在微软知识库【zhī shí kù】314056中对🔫svchost.exe有如下描述【miáo shù】🕳:svchost.exe 是从动【shì cóng dòng】🥡态链接库 (DLL) 中运行的【de】🦔服务的【fú wù de】通用⏬主机进程名称👶。

　　其实svchost.exe是🆔Windows XP系统的一个核🎖心进程。svchost.exe不单单只出现在Windows XP中【zhōng】🌼，在使用【zài shǐ yòng】NT内核的【nèi hé de】Windows系统中【xì tǒng zhōng】🛢都会有❄svchost.exe的存在【de cún zài】。一般在【yī bān zài】Windows 2000中【zhōng】🌼svchost.exe进程的【jìn chéng de】数目为🤥2个，而在Windows XP中【zhōng】🌼svchost.exe进程的【jìn chéng de】数目就【shù mù jiù】上升到【shàng shēng dào】🧔了🍭4个及4个以上。所以看【suǒ yǐ kàn】到系统的进程【de jìn chéng】列表中【zhōng】🌼有几个svchost.exe不用那👚幺担心👆。

　　svchost.exe到底是【dào dǐ shì】做什幺📆用的呢?

　　首先我🌭们要了解一点🍹那就是【nà jiù shì】Windows系统的中的进程分为【chéng fèn wéi】:独立进⛵程和共🚑享进程⛓这两种🔟。由于【yóu yú】Windows系统中的服务【de fú wù】越来越【yuè lái yuè】多【duō】，为了节🏹约有限的系统【de xì tǒng】资源微软把很多【duō】的系统【de xì tǒng】服务🆙做成了共享模🔉式。那【nà】svchost.exe在这中间是担任怎样【rèn zěn yàng】👨一个角色呢?

　　svchost.exe的工作就是作【jiù shì zuò】🏁为这些🤑服务【fú wù】🛄的宿主📰，即由🧑svchost.exe来启动【lái qǐ dòng】这些服😤务🛄。svchost.exe只是负责为这【zé wéi zhè】🧘些服务【fú wù】🛄提供启动的条【dòng de tiáo】件，其自身🖐并不能实现任【shí xiàn rèn】何服务【fú wù】🐱的功能【de gōng néng】，也不能【yě bú néng】为用户🥀提供任何服务【fú wù】🐱。svchost.exe通过为🚃这些系统服【xì tǒng fú】务🛄调用动态链接库【kù】(DLL)的方式来启动【lái qǐ dòng】系统服【xì tǒng fú】务🛄。

　　svchost.exe是病毒【shì bìng dú】♟这种说法是任【fǎ shì rèn】🅿何产生的呢?

　　因为svchost.exe可以作🧓为服务【fú wù】的宿主来启动🐼服务【fú wù】，所以病毒【dú】、木马的编写者😥也挖空【yě wā kōng】🤫心思的🔦要利用🏩svchost.exe的这个【de zhè gè】特性来迷惑用【mí huò yòng】户达到【hù dá dào】入侵🔑、破坏计算机的目的【mù de】。

　　如何才能辨别🐹哪些是【nǎ xiē shì】正常的svchost.exe进程，而哪些🏦是病毒【shì bìng dú】进程呢【jìn chéng ne】🎨?

　　svchost.exe的键值【de jiàn zhí】是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”，如图🌩1所示。图🌩1中每个🕢键值表🦖示一个【shì yī gè】独立的svchost.exe组【zǔ】。

　　微软还🌆为我们提供了一种察看系统【kàn xì tǒng】🌿正在运【zhèng zài yùn】🔦行在【zài】svchost.exe列表中【liè biǎo zhōng】的服务【de fú wù】🥣的【de】⛎方法。以Windows XP为例:在【zài】“运行”中输入:cmd，然后在【zài】命令行🗜模式中🍛输入:tasklist /svc。系统列🥚出如图【chū rú tú】2所示的服务【de fú wù】🥣列表【liè biǎo】。图【tú】2中红框包围起来的【de】⛎区域就是【shì】svchost.exe启动的服务【de fú wù】🥣列表【liè biǎo】。如果使用的【de】⛎是【shì】Windows 2000系统则把前面的【de】⛎“tasklist /svc”命令替【mìng lìng tì】🤖换为【huàn wéi】🐳:“tlist -s”即可。如果你【rú guǒ nǐ】怀疑计算机有可能被病毒感染，svchost.exe的服务【de fú wù】🥣出现异【chū xiàn yì】🌘常的【de】⛎话😲通过搜索【suǒ】🔞 svchost.exe文件就可以发现🏄异常情况。一般只【yī bān zhī】会找到🧚一个在【yī gè zài】:“C:\Windows\System32”目录下【mù lù xià】🦃的【de】⛎svchost.exe程序。如果你【rú guǒ nǐ】在【zài】其它⛎目录下【mù lù xià】🦃发现🏄svchost.exe程序的【chéng xù de】⛎话😲，那很可📒能就是【shì】中毒了【zhōng dú le】👙。

　　还有一种确认svchost.exe是否中毒的方🌉法是在任务管【wù guǎn】🥖理器中察看进【chá kàn jìn】程的执行路径。但是由于在【yú zài】🚉Windows系统自带的任【dài de rèn】务管【wù guǎn】🥖理器不能【néng】💼察看进【chá kàn jìn】程路径，所以要【suǒ yǐ yào】🍀使用第【shǐ yòng dì】🕖三方的🕷进程察看工具。

　　上面简单的介🖨绍了【shào le】svchost.exe进程【jìn chéng】🥐的相关情况👰。总而言【zǒng ér yán】📱之，svchost.exe是一个系统的🔂核心进程【jìn chéng】🥐，并不是病毒进【bìng dú jìn】程【chéng】🥐。但由于🔆svchost.exe进程【jìn chéng】🥐的特殊【de tè shū】性【xìng】，所以病【suǒ yǐ bìng】毒也会千方百♑计的入【jì de rù】侵【qīn】🐈svchost.exe。通过察看svchost.exe进程【jìn chéng】🥐的执行路径可以👿确认是否中毒。

　　3、Services.exe造成CPU使用率🍌占用【zhàn yòng】100%

　　症状

　　在基于【zài jī yú】🗂 Windows 2000 的计算机上📦，Services.exe 中的【zhōng de】✈ CPU 使用率可能间歇性地💭达到【dá dào】100 %，并且计🔌算机可能停止【néng tíng zhǐ】响应(挂起)。出现此问题时，连接到该计算【gāi jì suàn】👩机(如果它【rú guǒ tā】是文件🐰服务器【fú wù qì】或域控【huò yù kòng】制器🚄)的用户会被断开连接。您可能还需要【hái xū yào】重新启🍞动计算机。如果【rú guǒ】 Esent.dll 错误地处理将文件刷【wén jiàn shuā】新到磁【xīn dào cí】🧐盘的方式，则会出【zé huì chū】🈯现此症🐧状💵。

　　解决方案

　　Service Pack 信息

　　要解决此问题【cǐ wèn tí】，请获取【qǐng huò qǔ】♿最新的【zuì xīn de】 Microsoft Windows 2000 Service Pack。有关其它信息🕚，请单击🐝下面的文章编😆号【hào】，以查看【yǐ chá kàn】 Microsoft 知识库📩中相应的文章:

　　260910 如何获【rú hé huò】取最新的💵 Windows 2000 Service Pack

　　修复程序信息

　　Microsoft 提供了受支持的修补程序【chéng xù】，但该程序【chéng xù】只是🙉为了解🏂决本文所介绍的问题📦。只有计【zhī yǒu jì】算机遇到本文提到的特定问题时才可应用🥜此修补程序【chéng xù】。此修补程序【chéng xù】可能还会接受其🥩它一些【tā yī xiē】测试【cè shì】。因此🏴，如果这🍔个问题👲没有对您造成【nín zào chéng】严重的影响【yǐng xiǎng】🤑，Microsoft 建议您【jiàn yì nín】等待包【děng dài bāo】含此修补程序【chéng xù】的下一【de xià yī】🛩个😱