1.注册表是什么?有什么用?

2.svchost.exe是病毒吗?

3.电脑系统更新重启后,打开只剩桌面背景,没有任何软件标识,急待解决

4.电脑任务管理器又好多系统的进程,那些是必须的,不可以关的?

5.电脑开机了,桌面只显示屏保,别的什么图标都没有,是怎么回事?

注册表是什么?有什么用?

电脑版权所有1985-2001-电脑系统版权所有新任务

什么是注册表?

注册表因为它复杂的结构和没有任何联系的CLSID键使得它可能看上去很神秘。不幸的是,微软并没有完全公开讲述关于注册表正确设置的支持信息,这样使得注册表看上去更不可琢磨。处理和编辑注册表如同“黑色艺术”一样,它在系统中的设置让用户感觉象在黑暗中摸索一样找不到感觉。这样,因为用户对这方面的缺乏了解使得注册表更多的出现故障。

Windows注册表是帮助Windows控制硬件、软件、用户环境和Windows界面的一套数据文件,注册表包含在Windows目录下两个文件system.dat和user.dat里,还有它们的备份system.da0和user.da0。通过Windows目录下的regedit.exe程序可以存取注册表数据库。在以前,在windows的更早版本(在win95以前),这些功能是靠win.ini,system.ini和其他和应用程序有关联的.ini文件来实现的.

在windows操作系统家族中,system.ini和win.ini这两个文件包含了操作系统所有的控制功能和应用程序的信息,system.ini管理计算机硬件而win.ini管理桌面和应用程序。所有驱动、字体、设置和参数会保存在.ini文件中,任何新程序都会被记录在.ini文件中。这些记录会在程序代码中被引用。因为受win.ini和system.ini文件大小的限制,程序员添加辅助的.INI文件以用来控制更多的应用程序。举例来说,微软的Excel有一个excel.ini文件,它包含着选项、设置、缺省参数和其他关系到Excel运行正常的信息。在system.ini和win.ini中只需要指出excel.ini的路径和文件名即可。

最开始,system.ini和win.ini控制着所有windows和应用程序的特征和存取方法,它在少数的用户和少数应用程序的环境中工作的很好。随着应用程序的数量和复杂性越来越大,则需要在.ini文件中添加更多的参数项。这样下来,在一个变化的环境中,在应用程序安装到系统中后,每个人都会更改.ini文件。然而,没有一个人在删除应用程序后删除.ini文件中的相关设置,所以system.ini和win.ini这个两个文件会变的越来越大。每增加的内容会导致系统性能越来越慢。而且每次应用程序的升级都出现这样的难题:升级会增加更多的参数项但是从来不去掉旧的设置。而且还有一个明显的问题,一个.ini文件的最大尺寸是64KB。为了解决这个问题,软件商自己开始支持自己的.ini文件,然后指向特定的ini文件如win.ini和system.ini文件。这样下来多个.ini文件影响了系统正常的存取级别设置。如果一个应用程序的.ini文件和WIN.INI文件设置起冲突,究竟是谁的优先级更高呢?

注册表最初被设计为一个应用程序的数据文件相关参考文件,最后扩展成对于32位操作系统和应用程序包括了所有功能下的东东.注册表是一套控制操作系统外表和如何响应外来事件工作的文件。这些“事件”的范围从直接存取一个硬件设备到接口如何响应特定用户到应用程序如何运行等等。注册表因为它的目的和性质变的很复杂,它被设计为专门为32位应用程序工作,文件的大小被限制在大约40MB。

注册表都做些什么?

注册表是为Windows NT和Windows95中所有32位硬件/驱动和32位应用程序设计的数据文件。16位驱动在Winnt下无法工作,所以所有设备都通过注册表来控制,一般这些是通过BIOS来控制的。在Win95下,16位驱动会继续以实模式方式设备工作,它们使用system.ini来控制。16位应用程序会工作在NT或者Win95 下,它们的程序仍然会参考win.ini和system.ini文件获得信息和控制。

在没有注册表的情况下,操作系统不会获得必须的信息来运行和控制附属的设备和应用程序及正确响应用户的输入。

在系统中注册表是一个记录32位驱动的设置和位置的数据库。当操作系统需要存取硬件设备,它使用驱动程序,甚至设备是一个BIOS支持的设备。无BIOS支持设备安装时必须需要驱动,这个驱动是独立于操作系统的,但是操作系统需要知道从哪里找到它们,文件名、版本号、其他设置和信息,没有注册表对设备的记录,它们就不能被使用。

当一个用户准备运行一个应用程序,注册表提供应用程序信息给操作系统,这样应用程序可以被找到,正确数据文件的位置被规定,其他设置也都可以被使用。

注册表保存关于缺省数据和辅助文件的位置信息、菜单、按钮条、窗口状态和其他可选项。它同样也保存了安装信息(比如说日期),安装软件的用户,软件版本号和日期,序列号等。根据安装软件的不同,它包括的信息也不同。

然而,一般来说,注册表控制所有32位应用程序和驱动,控制的方法是基于用户和计算机的,而不依赖于应用程序或驱动,每个注册表的参数项控制了一个用户的功能或者计算机功能。用户功能可能包括了桌面外观和用户目录。所以,计算机功能和安装的硬件和软件有关,对所以用户来说项都是公用的。

有些程序功能对用户有影响,有些时作用于计算机而不是为个人设置的,同样的,驱动可能是用户指定的,但在很多时候,它们在计算机中是通用的。

注册表控制用户模式的例子有:

控制面板功能;

桌面外观和图标;

网络参数;

浏览器功能性和特征;

那些功能中的某些是和用户无关的,有些是针对用户的。

计算机相关控制项基于计算机名,和登陆用户无关。控制类型的例子是安装一个应用程序,不管是哪个用户,程序的可用性和存取是不变的,然而,运行程序图标依赖于网络上登陆的用户。网络协议可用性和优先权基于计算机,但是当前连接和用户信息相关。

这里是在注册表中基与计算机控制条目的一些例子:

存取控制;

登陆确认;

文件和打印机共享;

网卡设置和协议;

系统性能和虚拟内存设置;

没有了注册表,Win95和Winnt 就不太可能存在。它们实在太复杂了,以致于用过去的.ini文件无法控制,它们的扩展能力需要几乎无限制的安装和使用应用程序,注册表实现了它。然而,注册表比.ini文件更复杂,理解它如何工作,它做什么和如何用它来做是有效管理系统的关键。

在系统中注册表控制所有32位应用程序和它们的功能及多个应用程序的交互,比如复制和粘贴,它也控制所有的硬件和驱动程序。虽然多数可以通过控制面板来安装和设置,理解注册表仍是做Winnt和Win95系统管理基本常识。

二、注册表的结构

注册表的结构

注册表是Windows程序员建造的一个复杂的信息数据库,它是多层次式的。在不同系统上注册表的基本结构相同。其中的复杂数据会在不同方式上结合,从而产生出一个绝对唯一的注册表。

计算机配置和缺省用户设置的注册表数据在Winnt中被保存在下面这五个文件中:

DEFAULT,SAM,SECURITY,SOFTWARE,SYSTEM,NTUSER.DAT。

Win95中所有系统注册信息保存在windows目录下的SYSTEM.DAT文件里。所有硬件设置和软件信息也保存在这个文件。它要比NT注册表文件简单的多,因为这里并不需要更多的控制。Win95被设计为一个网络的客户或者单独工作的系统,所以用户控制或者安全级别和NT不一样。这使得Win95注册表工作比NT更容易,所以这个文件也比较小。

Win95用户的注册数据一般被保存在windows目录下的user.dat里。如果你在控制面板|密码|用户配置文件中创建并使用多于一个用户的配置文件,每个用户就会有在\WINDOWS\Profiles\username\USER.DAT下它自己的user.dat文件。在启动时,系统将记录你的登陆,从你目录中的配置文件(USER.DAT信息)将被装入,以用来保持你自己的桌面和图标。

控制键

在注册表编辑器中注册表项是用控制键来显示或者编辑的。控制键使得找到和编辑信息项组更容易。因此,注册表使用这些条目。下面是六个控制键

HKEY_LOCAL_MACHINE

HKEY_CLASSES_ROOT

HKEY_CURRENT_CONFIG

HKEY_DYN_DATA

HKEY_USERS

HKEY_CURRENT_USER

Winnt和Win95的注册表并不兼容。从Win95向Winnt升级需要你重新安装32位应用程序,重新在桌面上创建图标,并重新建立用户环境。

通过控制键可以比较容易编辑注册表。虽然它们显示和编辑好象独立的键,其实HKEY_CLASSES_ROOT 和HKEY_CURRENT_CONFIG是 HKEY_LOCAL_MACHINE的一部分。HKEY_CURRENT_USER是HKEY_USERS的一部分。

HKEY_LOCAL_MACHINE包含了HKEY_CLASSES_ROOT和HKEY_CURRENT_CONFIG的所有内容。每次计算机启动时,HKEY_CURRENT_CONFIG和HKEY_CLASSES_ROOT的信息被映射用以查看和编辑。

HKEY_CLASSES_ROOT其实就是HKEY_LOCAL_MACHINE\SOFTWARE\Classes,但是在HKEY_CLASSES_ROOT窗编辑相对来说显得更容易和有条理。

HKEY_USERS保存着缺省用户信息和当前登陆用户信息。当一个域成员计算机启动并且一个用户登陆,域控制器自动将信息发送到HKEY_CURRENT_USER里,而且HKEY_CURRENT_USER信息被映射到系统内存中。其他用户的信息并不发送到系统,而是记录在域控制器里。

键和子键

数据被分割成多层次的键和子键,建立分层次(就象Exploer一样)结构更易于编辑。每个键有成组的信息而且根据在其中的数据类型被命名。每个键在它的文件夹图标上都有一个加号(+)标志子键说明在它下面还有更多内容的东西。当点开它的时候,文件夹的加号标志被替换成一个减号(-)标志,然后显示出下一级的子键。

所有软件,硬件,windows工作的设置都存放在HKEY_LOCAL_MACHINE。所有安全策略,用户权限和共享信息也包括在这个键中。用户权限,安全策略,共享信息可以通过Windows NT域用户管理器,Explorer和Win95中控制面板来设置。

HKEY_CLASSES_ROOT

HKEY_CLASSES_ROOT包含了所有应用程序运行时必需的信息:

在文件和应用程序之间所有的扩展名和关联;

所有的驱动程序名称;

类的ID数字(所要存取项的名字用数字来代替);

DDE和OLE的信息;

用于应用程序和文件的图标;

HKEY_CURRENT_CONFIG.

HKEY_CURRENT_CONFIG是在HKEY_LOCAL_MACHINE中当前硬件配置信息的映射。如果系统只有一个配置文件,也就是原始配置,数据将一直在同样的地方。在控制面板|系统|硬件配置文件|创建一个额外的配置使额外配置信息放入HKEY_LOCAL_MACHINE。当Win95中存在多个配置文件时,当每次计算机启动时将给出一个提示让你选择一个配置文件。在Winnt中,在启动时你可以按空格键来选择上次正常启动时硬件配置文件。根据硬件配置文件选择的不同,特定的信息被映射到HKEY_CURRENT_CONFIG。

HKEY_DYN_DATA

HKEY_DYN_DATA和其他的注册表控制键不同,因为实际上它并不被写入硬盘驱动器中。Win95的一个优点是,在系统启动时HKEY_DYN_DATA这个控制键储存收集到的即插即用信息并配置它们。它保存在内存中,Win95用它来控制硬件。因为是在内存中,所以它不从硬盘中读取,每次当你启动计算机时,配置都有可能会不一样。在启动时Win95必须计算超过1600种可能的配置。所以,如果系统改变既定的设置而没有报告给Win95那么潜在的问题就可能发生。系统大多数时间工作良好,但是并非一直如此。

HKEY_USERS

HKEY_USERS仅包含了缺省用户设置和登陆用户的信息。虽然它包含了所有独立用户的设置,但在用户未登陆网络时用户的设置是不可用的。这些设置告诉系统哪些图标会被使用,什么组可用,哪个开始菜单可用,哪些颜色和字体可用,和控制面板上什么选项和设置可用。

HKEY_CURRENT_USER

用来保存当前用户和缺省用户的信息,HKEY_CURRENT_USER仅映射当前登陆用户的信息。

各主键的简单介绍

HKEY_LOCAL_MACHINE

HKEY_LOCAL_MACHINE是一个显示控制系统和软件的处理键。HKLM键保存着计算机的系统信息。它包括网络和硬件上所有的软件设置。(比如文件的位置,注册和未注册的状态,版本号等等)这些设置和用户无关,因为这些设置是针对使用这个系统的所有用户的。

HKEY_LOCAL_MACHINE\AppEvents

为了以后在瘦客户机上运行客户机/服务器这样的应用程序,在Win95/98中AppEvents键是空的。应用程序实际上都驻留网络服务器上,这些键会保存部分指针。

HKEY_LOCAL_MACHINE\Config

这个键保存着你计算机上所有不同的硬件设置(这些从控制面板的系统属性中硬件配置文件中可以创建)。这些配置在启动时通常被复制到HKCC。每个配置会被用一个键(比如0001或者0002等等)来保存,每个都是一个独立的配置。如果你只有一个单一的配置,那就只会有0001这个键

HKEY_LOCAL_MACHINE\Config\0001\Display

这个键表示显示的设置,如荧屏字体,窗体大小,窗体位置和分辨率等

一个小技巧:当设置了计算机不支持的大分辨率导致Windows不能启动时(黑屏),可以修改分辨率来解决。进入安全模式,运行regedit.exe,在这个键的Resolution键值中把数据值修改为640,480或者800,600这样的低分辨率,然后重新启动计算机即可。

HKEY_LOCAL_MACHINE\Config\0001\System

这个键保存着系统里打印机的信息

HKEY_LOCAL_MACHINE\Config\0001\System\CurrentControlSet\Control\Print\Printers

在这个键下面,有一个键是为系统上每一个打印机设置的,通过控制面板添加和删除打印机会调整这个列表

HKEY_LOCAL_MACHINE\Enum

Enum键包含启动时发现的硬件设备和那些既插即用卡的信息。Win95使用总线列举在启动时通过不同的.ini文件来检测硬件信息。那些在启动时被安装的和被检测到的硬件会显示在这里。子键包括BIOS, ESDI, FLOP, HTREE, ISAPNP, Monitor, Network, Root, SCSI, 和 VIRTUAL。子键名表示它们各自的硬件设备信息。

HKEY_LOCAL_MACHINE\Enum\BIOS

BIOS键保存着系统中所有即插即用设备的信息。它们用一套代码数列出,包括每一个键的详细说明,举例,*pnp0400是并行口LPT1的键。如果LPT1并不具备即插即用功能,它就会别列入到Enum下的Root键中

HKEY_LOCAL_MACHINE\Enum\Root

Root键包括所有非即插即用设备的信息。在这里,我们可以迅速断定哪些设备是即插即用,那些不是。比如SCSI适配器,这个设备必须符合Win95中一个键名为ForcedConfig的硬件设置,这个不会改变。

HKEY_LOCAL_MACHINE\Enum\Network

win95的网络功能在这个键有详细说明,子键包括了每个已经安装的主要的服务和协议。

HKEY_LOCAL_MACHINE\HARDWARE

hardware子键包括了两个多层的子键:DESCRIPTION键,它包含了中央处理器和一个浮点处理器的信息。还有一个设备映射键,它下面的串行键列出你所有的com端口。这个hardware键仅保存超级终端程序的信息,及数学处理器和串行口。

HKEY_LOCAL_MACHINE\Network

这个键仅保存网络登陆信息。所有网络服务细节都保存在HKEY_LOCAL_MACHINE\Enum\Network这个键中。这个键有一个子键,logon,包括了lmlogon(本地机器登陆?0=false 1=true)的值,logonvalidated(必须登陆验证),策略处理,主登陆方式(Windows登陆 ,微软网络客户方式等),用户名和用户配置。

HKEY_LOCAL_MACHINE\SECURITY

security 有两个子键,第一个是存取(它最终致使一个远程键列出网络安全资源,存取权限等)和提供(包括列出网络地址和地址服务器),这个键被保留用在以后使用高级安全功能和NT兼容性上

HKEY_LOCAL_MACHINE\SOFTWARE

这个键列出了所有已安装的32位软件和程序的.ini文件。它包括了变化,依靠软件安装。那些程序的控制功能在这里的子键中列出。多数子键简单的列出了安装软件的版本号。

我们在\Microsoft\Windows\Current Version下发现了一些有意思的设置,它有如下子键:

1.App paths: 你曾经安装过的所有32位软件的位置。

2.Applets, Compression, Controls Folder : 包括下控制面板象显示属性那样属性条的附件。

3.Detect, explorer :很多有意思的子键如Namespace keys of Desktop和My Computer----它们指出了回收站和拨号网络的CLSID行----和提示子键可以让你建立自己的提示。

4.Extensions : 一个扩展联系的列表,当前相关联的扩展名和比特定的执行文件更适合的目标类型。

5.Fonts, fontsize, FS Templates :系统属性条中所选择文件系统模板, 服务器,桌面计算机或者笔记本电脑信息。

6.MS-DOS Emulation :包括一个应用程序兼容子键 为大量过时的程序二进制键所设。

7.MS-DOS Options :在dos模式下的设置,如himem.sys,cd-roms等。

8.Network :网络驱动的配置。

9.Nls, Policies :系统管理员认为你不应该去做的事。

10.ProfileList :所有可以登陆你计算机的用户名列表。

11.在Windows启动时运行的程序的神秘之处是它们并不在开始菜单的启动文件夹中。它们在HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\下的子键中被执行。

Run : 程序在启动时运行

RunOnce : windows初始化时程序在启动时只运行一次,这个经常用在当安装软件之后需要重新启动系统的时候,所以这个键一般都是空的。

RunServices : 它就象Run一样,但是包含了“服务”,它不象一般的程序它们是比较重要的或者是“系统”程序。但是它们不是VXDs,就象McAfee或者RegServ工作一样。

RunServicesOnce : 它只运行一次,但是是“系统自身”的安装(大量的windows安装参数:通常键值包括了系统目录位置,和win95更新,可选项安装组件,和windows启动目录的子键。

注意:在很多黑客木马软件中,常常在这里添加键值(一般是在Run中),这样使得木马软件可以随着windows启动而启动并且很隐秘。在这里可以查看不正常的启动项和去掉无用的运行程序(比如我就很不喜欢超级解霸的自动伺服器,在这里可以去掉它)。

12.SharedDLLs:共享DLL的列表,每一个都给出了在一个不可知系统的一个数字等级。

13.Shell Extensions:列出了“被认可的”OLE注册条,和相应的CLSID连接。

14.ShellScrap :这个包含了一个PriorityCacheformats的子键,它包括了一个空的有限值,它更象过去SmartDrive命令行参数的派生。

15.Time Zones : 主键值是你现在的时区;子键定义了所以可能的时区。

16.Uninstall:这个保存了程序在添加/删除程序对话框的显示;子键包含了指向反安装程序的路径。和安装向导相似.......)winlogon(包含了合法登陆布告的文本句)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

这个子键包括设备驱动和其他服务的描述和控制。不同于windows nt,win95只包括限制驱动的控制设置信息。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

这个子键包括了win95控制面板中的信息。不要编辑这些信息,因为一些小程序的改变在很多地方,一个丢失的项会使这个系统变的不稳定

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

这个键包括了所有win95的标准服务。所有被添加的服务和设备,每个标准的服务键包括了它的设置和辨认设置。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Arbitrators

atbitrators键包括了当两个设备共同占用同样的设置需要解决的信息。四个子键包括了内存地址,冲突,DMA,I/O端口冲突和IRQ冲突。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Class

class键包括了所有win95支持的设备classes控制,这些和你在添加新硬件出现的硬件组很类似,还包括了这些设备如何安装的信息。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\inetaccs

这个键包括了关于这个系统变化的ie附件的可用性,它仅在你安装过ie2。0或者更高版本才出现。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSNP32

msnp32描述了客户机如何在microsoft网络中实现功能,它包括了认证过程和认证者的信息。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NWNP32

nenp32键描述了windows客户如何在netware网络中工作功能,它包括了关于认证过程和证明者的信息。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteAccess

在这个键里包括需要远程工作在win95系统上的信息,有认证参数,主机信息,和为了建立一个拨号连接工作的协议信息。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP

这个键包括了所以snmp(简单网络管理协议)的参数。它包括了允许的管理,配置陷阱,和有效的团体。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VxD

vxd键包括了win95中所有32位虚拟设备驱动信息,win95自动管理它们,所以不必要用注册表编辑器编辑它们,所以的静态vxds用子键列出。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebPost

webpost键包括了所有装载的internet邮局的设置,如果你连接一个isp,并且它列出载这里,你应该给自己选则一个服务器。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock

这个键列出了当连接到internet上winnsock文件的信息,如果列出了不正确的文件,你将不会连接上internet。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinTrust

wintrust功能是检查从Internet上下载来的文件是否有病毒,它可以确保你得到干净安全的文件。

HKEY_CLASSES_ROOT

在注册表中HKEY_CLASSES_ROOT是系统中控制所有数据文件的项。这个在Win95和Winnt中是相通的。HKEY_CLASSES_ROOT控制键包括了所有文件扩展和所有和执行文件相关的文件。它同样也决定了当一个文件被双击时起反应的相关应用程序。

HKEY_CLASSES_ROOT被用作程序员在安装软件时方便的发送信息,在Win95和Winnt中,HKEY_CLASSES_ROOT和HKEY_LOCAL_MACHINE\Software\Classes是相同的。程序员在运行他们的启动程序时不需要担忧实际的位置,相反的,他们只需要在HKEY_CLASSES_ROOT中加入数据就可以了。

在Windows用户图形界面下,每件事----每个文件,每个目录,每个小程序,每个连接,每个驱动---都被看做一个对象;每个对象都有确定的属性和它联系。HKCR包含着对象类型和它们属性的列表。HKCR主要的功能被设置为:

一个对象类型和一个文件扩展名关联

一个对象类型和一种图标关联

一个对象类型和一个命令行动作的关联

定义对象类型相关菜单选项和定义每一个对象类型属性选项

在Win95中,相关菜单就是当你鼠标右击一个对象时所弹出的菜单;属性就是当你选择属性项后一个展开的对话框。用简单术语来说就是在改变HKCR中的设置可以改变一个给定文件扩展名缺省的关联。改变一个文件类型的缺省图标,和添加或者删除给定对象类型的弹出菜单内容(或者所有的对象类型)

HKCR包括了三种基本类型的子键

\? 或者文件扩展名子键

文件扩展名子键在弹出菜单上连接文件扩展名到对象类型和相关操作,属性项,和相关操作。

\object 类型子键

对象类型子键定义了一个对象类型在它缺省图标的项,它的弹出菜单和属性项,它的相关操作和它的CLSID连接。

\CLSID 子键

在Windows下每件事都被用一个数字取代它的名字来对待。就象人往往是用名字来处理事情一样。CLSID是标识所有列出的图标,应用程序,目录,文件类型等等对象的数字。是微软为制造商分配的,每一个都必须是唯一的。制造商将CLSID放入安装程序文件这样就可以在安装时更新注册表。

注册表是应用程序进行时它们需要关于做什么的指示的数据库。比如说,假定你有一个微软Excel 7电子数据表的Word 7文档,当你在Word中双击这个电子数据表,应用程序菜单就会变成Excel的菜单而且电子数据表进入编辑状态,就好象你在Excel中一样。它是如何知道该做什么呢?每个Excel 7创建的文件都有Excel的CLSID连接。Word读这个CLSID后,到注册表中寻找指示,依赖CLSID下的数据运行.DLL文件或者应用程序。

CLSID子键为对象类型提供了OLE和DDE信息和图标。相关菜单,或者包含在它子键中的属性项信息。这个可能是多数让人看到后觉得“恐怖”的键。每个CLSID数必须是唯一的,实际上,为了这个目的微软已经出产了CLSID-产生程序--这个结果导致你往往得到32位16进制的数字串,除非你是程序员,否则多数部分键看起来是很枯燥的。它们包括内存管理模式,客户机/服务器配置,和OLE处理的.dll连接。

关于子键的一点注解

1)shell:Shell键有个一”action“子键,如同”open“一样,这里有一个command子键;command子键有一个缺省句值,它包含了运行程序的命令行。将一个”open“子键放在一个对象类型的shell子键中会在这个对象类型的弹出菜单上多出一个”open“选项,给这个open子键一个command(缺省命令行"C:\Windows \Notepad.exe %1")子键会使得打开这个对象类型时使用笔记本做为缺省应用程序。其他操作选项包括View,Print,Copy,Virus,Scan等等。

2)shellex:Shellex键有一个子键。它们包含的每一个子键指向一个为对象类型执行OLE和DDE功能的CLSID项(比如说快速查看,一个菜单处理子键下指向一个有句值的CLSID键列出了包含了文件浏览功能的.dll文件)

3)shellnew:ShellNew包含了一个“command”句,它包含了一个打开对象类型“新”文件的命令行。

4)DefaultIcon:DefaultIcon子键包含了一个“default”句

svchost.exe是病毒吗?

因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。假设windowsxp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32\wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。 Svchost.exe说明解疑对Svchost的困惑 --------------- Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svchost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost)来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。 Svchost.exe 组是用下面的注册表值来识别。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost 每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services 简单的说没有这个RPC服务,机器几乎就上不了网了。很多应用服务都是依赖于这个RPC接口的,如果发现这个进程占了太多的CPU资源,直接把系统的RPC服务禁用了会是一场灾难:因为连恢复这个界面的系统服务设置界面都无法使用了。恢复的方法需要使用注册表编辑器,找到 HKEY_LOCAL_MACHINE >> SYSTEM >> CurrentControlSet >> Services >> RpcSs,右侧找到Start属性,把它的值改为2再重启即可 造成svchost占系统CPU 100%的原因并非svchost服务本身:以上的情况是由于Windows Update服务下载/安装失败而导致更新服务反复重试造成的。而Windows的自动更新也是依赖于svchost服务的一个后台应用,从而表现为svchost.exe负载极高。常发生这类问题的机器一般是上网条件(尤其是去国外网站)不稳定的机器,比如家里的父母的机器,往往在安装机器几个月以后不定期发生,每个月的第二个星期是高发期:因为最近几年MS很有规律的在每个月的第二个星期发布补丁程序)。上面的解决方法并不能保证不重发作,但是为了svchost文件而每隔几个月重装一次操作系统还是太浪费时间了。 注意点: svchost.exe 常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。 在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于6个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了。

相关病毒清除办法

1.用unlocker删除类似于C:SysDayN6这样的文件夹:例如C:Syswm1i、C:SysAd5D等等,这些文件夹有个共同特点,就是名称为 Sys*** (***是三到五位的随机字母),这样的文件夹有几个就删几个。 2.开始——运行——输入“regedit”——打开注册表,展开注册表到以下位置: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 删除右边所有用纯数字为名的键,如 <66><C:SysDayN6svchost.exe> <333><C:Syswm1isvchost.exe> <50><C:SysAd5Dsvchost.exe> <4><C:SysWsj7svchost.exe> 3.重新启动计算机,病毒清除完毕。编辑本段操作指南  为了能看到正在运行在Svchost列表中的服务。 开始-运行-敲入cmd 然后再敲入 tlist -s (tlist 应该是win2k工具箱里的东东) Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于进程的信息,可以敲 tlist pid。 Tlist 显示Svchost.exe运行的两个例子。 0 System Process 8.System 132.smss.exe 160.csrss.exeTitle: 180.winlogon.exeTitle: NetDDE Agent 208services.exe Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi 220.lsass.exe Svcs: Netlogon,PolicyAgent,SamSs 404.svchost.exe Svcs: RpcSs 452.spoolsv.exeSvcs: Spooler 544.cisvc.exeSvcs: cisvc 556.svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv 580.regsvc.exeSvcs: RemoteRegistry 596.mstask.exeSvcs: Schedule 660.snmp.exeSvcs: SNMP 728.winmgmt.exeSvcs: WinMgmt 852.cidaemon.exeTitle: OleMainThreadWndName 812.explorer.exeTitle: Program Manager 1032 OSA.EXE Title: Reminder 1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s 1080 MAPISP32.EXE Title: WMS Idle 1264 rundll32.exeTitle: 1000.mmc.exeTitle: Device Manager 1144 tlist.exe 在这个例子中注册表设置了两个组。 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost: netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc rpcss :Reg_Multi_SZ: RpcSs smss.exe csrss.exe 这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。编辑本段调用程序服务  (第一行为"服务名字",第二行为"服务的说明",第三行为"调用程序") Application Management 应用程序管理组件,负责msi文件格式的安装,但是实际上禁止了该服务并无大碍。 svchost.exe Automatic Updates Windows的自动更新服务。 svchost.exe Background Intelligent Transfer Service 实现http1.1服务器之间的信息传输,微软称支持windows更新时的断点续传。 svchost.exe COM+ Event System 某些COM+软件需要,检查c:/program files/ComPlus Applications目录,如果里面没有文件就可以把这个服务关闭. svchost.exe Computer Browser 用来浏览局域网电脑的服务,但关了不影响浏览! svchost.exe Cryptographic Services Windows更新时用来确认windows文件指纹的,可以在更新的时候开启。 svchost.exe DHCP Client 使用静态IP的用户需要,对使用Modem的用户无用。 svchost.exe Distributed Link Tracking Client 用于局域网更新连接信息,(比如在电脑A有个文件,在电脑B做了个连接,如果文件移动了,这个服务将会更新信息。占用4兆内存。) svchost.exe DNS Client DNS解释器,把域名解释为IP地址 svchost.exe Error Reporting Service 错误报告器,把windows中错误报告给微软。 svchost.exe Fast User Switching Compatibility 多用户快速切换服务,你喜欢吗? svchost.exe Help and Support Windows的帮助。新手还是要靠他来指点的。 svchost.exe Human Interface Device Access 支持“人体工学”的电脑配件,比如键盘上调音量的按钮等等。 svchost.exe Internet Connection Firewall/Internet Connection Sharing XP的防火墙/为多台电脑联网共享一个拨号网络访问Internet提供服务。 svchost.exe Logical Disk Manager 磁盘管理服务。需要时系统会通知你开启。 svchost.exe Network Location Awareness (NLA) 如有网络共享或ICS/ICF可能需要.(服务器端)。 svchost.exe Portable Media Serial Number Windows Media Player和Microsoft保护数字媒体版权. svchost.exe Remote Access Auto Connection Manager 宽带者/网络共享需要的服务! svchost.exe Remote Procedure Call (RPC) 系统核心服务!如果在Windows2000中禁止该服务,系统将无法启动。 svchost.exe Remote Registry Service 远程注册表运行/修改。 svchost.exe编辑本段减少进程数方式  你可以把下面这段代码复制到一个空的记事本中,然后另存为“.bat”格式的批处理文件,再运行这个批处理。就可以关闭无用的系统服务了,你会发现少了很多SVCHOST.EXE。 @echo off REM 关闭“为 Internet 连接共享和 Windows 防火墙提供第三方协议插件的支持” sc config alg start= disabled REM 关闭“Windows自动更新功能” sc config wuauserv start= disabled REM 关闭“剪贴簿查看器” sc config clipsrv start= disabled REM 关闭“Messenger” sc config Messenger start= disabled REM 关闭“通过NetMeeting远程访问此计算机” sc config mnmsrvc start= disabled REM 关闭“打印后台处理程序” sc config Spooler start= disabled REM 关闭“远程修改注册表” sc config RemoteRegistry start= disabled REM 关闭“监视系统安全设置和配置” sc config wscsvc start= disabled REM 关闭“系统还原” sc config srservice start= disabled REM 关闭“计划任务” sc config Schedule start= disabled REM 关闭“TCP/IP NetBIOS Helper” sc config lmhosts start= disabled REM 关闭“Telnet服务” sc config tlntsvr start= disabled REM 关闭“防火墙服务” sc config sharedaccess start= disabled REM 关闭“Computer Browser” sc config Browser start= disabled REM 关闭“错误报警” sc config Alerter start= disabled REM 关闭“错误报告” sc config ERSvc start= disabled REM 关闭“本地和远程计算机上文件的索引内容和属性” sc config cisvc start= disabled REM 关闭“管理卷影复制服务拍摄的软件卷影复制” sc config SwPrv start= disabled REM 关闭“支持网络上计算机 pass-through 帐户登录身份验证事件” sc config NetLogon start= disabled REM 关闭“为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制” sc config NtLmSsp start= disabled REM 关闭“收集本地或远程计算机基于预先配置的日程参数的性能数据,然后将此数据写入日志或触发警报” sc config SysmonLog start= disabled REM 关闭“通过联机计算机重新获取任何音乐播放序号” sc config WmdmPmSN start= disabled REM 关闭“管理连接到计算机的不间断电源(UPS)” sc config UPS start= disabled编辑本段修复方法一般修复

svchost.exe出错,很多是因为系统中了流氓软件,如果不了解系统,不知道svchost.exe在电脑中的存放位置,那么建议使用修复工具对系统进行最全面的扫描和修复。 首先,建议使用金山毒霸。 然后,点击主界面的快速扫描,进行全面的系统扫描。 最后,按提示重新启动电脑,svchost.exe下载修复完毕。

下载修复

一、如果您的系统提示“没有找到svchost.exe”或者“缺少svchost.exe ”等类似错误信息,请把svchost.exe下载到本机

二、直接拷贝该文件到系统目录里:

1、Windows 95/98/Me系统,则复制到C:WindowsSystem目录下。

2、Windows NT/2000系统,则复制到C:WINNTSystem32目录下。

3、Windows XP系统,则复制到C:WindowsSystem32目录下。

三、然后打开“开始-运行-输入regsvr32 svchost.exe”,回车即可解决错误提示!

常见中毒现象处理

1.病毒木马原因导致的 , 因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,使svchost成为病毒的傀儡进程,进行病毒下载操作,从而下载大量木马,**用户信息。推荐使用金山卫士对木马病毒木马查杀。

2. IE组件在注册表中注册信息被破坏 , 重新注册ie组件信息问题即可解决。

3.如果电脑有打印机,还可能是因为打印机驱动安装错误,也会造成的错误 ,只要重新安装打印机驱动即可解决 4.某些软件与Svchost.exe发生冲突导致的,解决方法就是卸载该软件或者升级该软件到最新版本。 5.现在大多数网民喜欢使用ghost系统,破解版系统,但是使用这些系统可能存在不兼容因素 ,很容易导致发生的错误 ,最好解决方法就是安装使用正版操作系统。

该进程占用CPU100%解决方法

1.什么程序都没打开! 常见svchost.exe这个进程占用CPU资源高到100% 检查方法: 按(Ctrl+Alt+Del)进入——任务管理器里。查看svchost.exe进程CPU资源是否占用50%—100%。(占用CPU资源100%或者内存50%)。 解决方法: 开始—控制面板—打印机和传真—MicrosoftXXXXX微软虚拟打印机(系统默认有个打印机)—打开打印机—删除取消所有正在打印中的文档,或者右键删除系统默认打印机程序,就解决CPU占用100%。

电脑系统更新重启后,打开只剩桌面背景,没有任何软件标识,急待解决

朋友,请根据1234.。。顺序进行!

1、首先,右击桌面空白处——排列图标——显示桌面图标。(一般这样就可以解决了)

2、如果不行,打开任务管理器(按下“Ctrl+Alt+Del”组合键即可打开),点击“文件”→“新建任务”,在打开的“创建新任务”对话框中输入“explorer”或者“explorer.exe”,单击“确定”按钮后,稍等一下就可以见到桌面图标了。

3、然后,再运行“regedit”注册表。找到键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell,修改成Explorer.exe。重启即可。

如果以上方法不行,你还可以试下如下方法:

1、进入一次安全模式,再重启,进入正常模式。

2、单击“开始→运行”,输入“Gpedit.msc”后回车,打开“组策略”。然后依次展开“用户配置→管理模板→桌面”,双击右侧窗口中的“隐藏和禁用桌面上的所有项目”→弹出“隐藏和禁用桌面上的所有项目属性”窗口→选择“配置”页→选择“已禁用(D)”[此处选择“未配置(C)”也可]→“应用(A)”→“确定”后再退出“组策略”窗口即可。

3、还有一种情况就是用户存储在电脑上的配置文件损坏了,造成的结果就是每次电脑进入系统,就跟新装的系统一样,桌面没有,你做的个性化设置也没有,如果是这种情况只要进入我的电脑属性-高级-本地配置文件,把文件删除,然后下次登陆会自动创建一个新的本地配置文件,然后你设置一下重启就OK了。

电脑任务管理器又好多系统的进程,那些是必须的,不可以关的?

actmovie.exe是微软Windows操作系统自带的程序,用于支持显示卡运行一些屏幕保护和微软程序。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题

agentsvr.exe是一个ActiveX插件,用于多媒体程序。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。

ASPNET_WP.exe是涉及Microsoft asp.net技术的程序运行所必须的程序。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

AcctMgr.exe是Norton systemworks套装的一部分,用于你计算机上相关密码。该进程对计算机的稳定和安全是重要的。

acrobat.exe是the Adobe Acrobat创建器的一部分。它能够创建和打印PDF文档。该进程不是运行所必须的,但终止它可能有问题。

acrord32.exe是Adobe Acrobat Reader阅读器的一部分。该进程用于打开和察看PDF文档,它能够从Adobe.com下载。

AcroTray.exe是Acrobat助手程序,用于帮助你打印你的PDF文档。

ACSd.exe是AOL的相关程序。该进程在后台运行和自动重新连接到AOL。

ADGJDET.exe是Creative创新声卡的一部分。

AdobeUpdateManager.exe是Adobe产品软件升级程序。

ADService.exe是Iomega Zip驱动器驱动相关程序。

ADService.exe是Iomega Zip驱动器驱动相关程序。

agent.exe是Dell电脑提供的用户监视和管理系统的程序。这不是一个重要的进程。禁用它可以节省用户资源。注意:agent.exe也可能是Forte Agent Newsgroup Reader新闻组阅读器。

agrsmmsg.exe是软猫调制解调器的消息程序。

AgtServ.exe是在线字典软件,提供屏幕点击查询词典功能。

aim.exe是AOL Instant Messenger即时通讯软件。

aim95.exe是AOL Instant Messenger即时通讯软件,提供在线聊天服务。

AIT 索尼Sony音乐机。提供35G的容量和4M的传输速度。AIT技术提供最多100G的空间,AIT-3提供最多800G的空间。

alogserv.exe是McAfee VirusScan杀毒软件的一部分。该进程记录McAfee VirusScan的应用程序操作日志。

anvshell.exe是ASUS显示卡硬件驱动程序。它也会在系统托盘创建图标用于进行控制。

AOLacsd.exe是AOL Internet软件的连接器,用于Internet连接。

AOLDial.exe是AOL Internet软件(9.0版本或更高版本)的一部分。用于拨号连接Internet网络。

aom.exe是Adobe公司产品的进程,用于Web检测更新。

apntex.exe是Alps电子硬件驱动软件。

asfagent.exe是Dell电脑系统管理套件的一部分。

ashWebSv.exe是Avast网络安全套件的一部分。用于保护你的电脑免受网络攻击。

astart.exe是华硕ASUS显示卡硬件驱动程序。该程序会在系统托盘中添加图标,用于配置设备。

ati2evxx.exe是ATI显示卡增强工具。它用于管理ATI HotKey特性。

ATIevxx.exe是ATI一些显卡硬件产品的软件部分。

ATIPtaxx.exe是ATI显示卡驱动的一部分,在系统托盘有显示。

Atrack.exe是Norton Internet Security网络安全和Norton Personal Firewall个人防火墙的一部分。它会提醒你一些软件尝试访问网络。

aupdate.exe是Symantec产品的LiveUpdate在线升级程序。该进程自动在线检测是否有Symantec产品的更新,提醒你进行下载。

autochk.exe是微软操作系统的一部分。它会备份和还原系统设定到初始状态。

avconsol.exe是McAfee VirusScan反病毒软件的一部分。

AVENGINE.EXE是Panda Antivirus熊猫卫士反病毒套装的一部分,用于保护你的计算机免受网络攻击。

avgserv.exe是AVG AntiVirus反病毒网络安全程序。用于实时保护你的计算机安全。

avgw.exe是Grisoft网络安全组件的一部分,用于保护你计算机的安全。免受病毒、间谍软件、蠕虫和木马的攻击。

avpcc.exe是卡巴斯基Kaspersky反病毒套装的一部分,用于保护你的计算机免受病毒和蠕虫的攻击。

avsynmgr.exe是McAfee网络安全套装的一部分。它用于更新同步病毒定义文件,保持你的计算机使用最新病毒特征库。

btwdins.exe是为了微软Windows操作系统支持蓝牙技术的程序。

backweb-137903.exe是惠普HP相关软件。

backweb-8876480.exe是罗技Logitech相关产品软件。它用于自动检测升级罗技相关产品。

bacstray.exe是宽度调制解调器Modem相关进程,用于配置和诊断。

blackd.exe是BlackICE计算机防火墙的一部分。

bpcpost.exe是Microsoft TV察看器程序。

BRMFRSMG.EXE是Brother Print兄弟打印机相关程序,该进程使用户通过并口、USB口连接兄弟打印机相关设备。

brss01a.exe是兄弟打印机相关程序。

bttnserv.exe用于支持Compaq EasyAccess多媒体键盘按钮,移除该进程,会导致附加按钮无法使用。

ccmexec.exe是微软SMS操作系统服务。该SMS Agent Host服务在其它服务之上。这个程序对你系统的正常运行是非常重要的。

cidaemon.exe是一个索引服务,为了让你更加快速的查找文件。

cisvc.exe是微软Windows操作系统自带的程序。它用于监测CIDAEMON.exe内存使用状态,防止可用内存过低问题。这是一个系统进程,不要进行删除。

clisvcl.exe是微软Windows系统自带程序。该进程调用SMSS进程检测在你计算机上的软件。

cmd.exe是微软Windows系统的命令行程序,类似与微软的DOS操作系统。cmd.exe是一个32位的命令行程序,运行在Windows NT/2000/XP上。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

Control.exe是微软Windows操作系统自带的程序。用于访问控制面板。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。 注意:csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播,当你打开附件时,即被感染。该蠕虫会在受害者机器上建立SMTP服务,用以自身传播。该病毒允许攻击者访问你的计算机,窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。

ctfmon.exe是Microsoft Office产品套装的一部分。它可以选择用户文字输入程序,和微软Office XP语言条。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

ca.exe是ETrust EZ Firewall防火墙的一部分,用于保护你的计算机免受网络攻击。

calc.exe是微软附件中自带的计算器程序,包括基本和科学计算。

carpserv.exe是调制解调器Modem相关软件,用于对调制解调器的声音进行控制,例如你听到的拨号时听到的声音。

CCAP.EXE是Symantec AntiVirus反病毒网络安全套装的一部分,用于保护你的计算机免受网络危险攻击。

ccapp.exe是Norton AntiVirus 2003反病毒软件的一部分。它能够自动保护你的计算机安全。

ccevtmgr.exe是Norton Internet Security网络安全套装的一部分。该进程会同反病毒与防火墙程序同时安装。

ccproxy.exe是Symantec Internet Security网络安全套装的一部分。该进程用于设定基本网络共享,用于你的网络共享给你的家庭或者办公室。

ccpxysvc.exe是Norton Antivirus反病毒和Norton Personal Firewall个人防火墙的服务程序。

ccregvfy.exe是Norton Internet Security网络安全套装的一部分。该进程检测是否存在恶意的篡改注册表。

cdac11ba.exe是MacroVision safeCast反复制保护软件。该进程是一些软件为了保护其产品不被盗版而安装的。

cdantsrv.exe是MacroVison C-Dilla许可管理软件的一部分。

cfd.exe是Motive通讯的宽带相关软件。

cfgwiz.exe是Norton Antivirus反病毒软件的一部分。

cftmon.exe是微软Microsoft Office套件的一部分,用于输入法相关。

charmap.exe是微软Micorsoft Windows工具,用于帮助你定位非标准字符集。

cleanup.exe是网络清理程序的一部分。它用于删除网络浏览痕迹,包括cookies、历史记录以及其它。

cli.exe是ATi显示卡硬件驱动程序。在状态栏上有图标用于进行调节。

cmanager.exe是操作日志记录程序。

cmmpu.exe是C-Media声卡驱动程序。

Companion.exe是AOL连接套件的一部分,其图标驻留在系统托盘上。它提供访问AOL的快捷方式。

comsmd.exe是3com 3C9xx系列网卡驱动的一部分。它提供诊断和配置功能。

cpd.exe是McAfee Personal Firewall个人防火墙的一部分。它在后台运行,用于不同的安全特性。

crypserv.exe是Kenonic控制加密软件的主程序。

cthelper.exe是创新Creative公司Soundblaster声卡的程序。它是一个第三方的声卡相关插件/软件。

cctnotify.exe是创新Creative声卡产品的一部分。该进程用于侦测插入的CD光盘。

ctsvccda.exe是创新Creative公司的相关软件,它与Soundblaster声卡驱动和一些其它创新程序一同安装。

c***d.exe是Cisco ***虚拟专用网络相关软件的一部分,它用于你使用加密或非密码***连接到远程服务器。

ddhelp.exe是微软Windows操作系统的一部分。该进程是DirectX的一部分,用于对Windows 3D显示卡加速。

dfssvc.exe是分布式文件系统服务。只在微软服务器版Windows上出现,该进程是重要的DFS分布式文件系统服务。微软Windows服务器版基础服务。

dllhost.exe是微软Windows操作系统的一部分。dllhost.exe用于管理DLL应用。这个程序对你系统的正常运行是非常重要的。

dos4gw.exe是微软DOS操作系统在32位操作系统上的扩展壳。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

dotnetfx.exe是微软Windows升级到.net技术的一个进程。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

dumprep.exe是微软Windows XP操作系统的一部分,记录出现错误的程序信息。当一个程序出现错误时,该程序发送相关错误信息到微软。该程序不是纯粹的系统进程,安装是为了第三方使用。

dadapp.exe是Dell电脑自带的相关软件。用于Dell键盘可编程键。它会在系统托盘增加图标。

dadtray.exe是Dell电脑相关软件,用于配置Dell电脑相关热键。如果移除该进程会导致附加键不可用。

damon.exe是Dell电脑技术支持软件套装的一部分。

dap.exe是SpeedBit's DownLoad Accelator下载加速器主程序。

DavCData.exe是微软Microsoft Internet Information网络信息服务的一部分,用于让你的个人计算机或者Windows服务器对外提供Web服务。

dcfssvc.exe是柯达Kodak数码相机相关程序。该进程用于用户传输照片。

ddcman.exe是Wild Tangent计算机游戏相关程序。

defwatch.exe是Norton Antivirus反病毒企业版的一部分,用于检查病毒库特征文件是否有新的升级。

delayrun.exe是惠普HP相关产品,它用于防止HP计算机相关问题。

devenv.exe是微软Microsoft Visual Studio的一部分,用于应用程序开发。

devldr.exe是与Sound Blaster Live!声卡安装的程序。

explorer.exe是Windows程序管理器或者Windows资源管理器,它用于管理Windows图形壳,包括开始菜单、任务栏、桌面和文件管理。删除该程序会导致Windows图形界面无法适用。注意:explorer.exe也有可能是w32.Codered和w32.mydoom.b@mm病毒。该病毒通过email邮件传播,当你打开病毒发送的附件时,即被感染。该病毒会在受害者机器上建立SMTP服务。该病毒允许攻击者访问你的计算机、窃取密码和个人数据。该进程的安全等级是建议删除。

fast.exe是Windows XP的一部分。该进程用于用户账号的快速切换。该进程不是纯粹的系统进程,但是安装它是需要的。

grpconv.exe是Windows操作系统的工具。它用于转换Windows 3.1的文件夹格式升级至Windows 95以及更高版本的Windows。这个程序对你系统的正常运行是非常重要的。

hidserv.exe用于支持Windows操作系统的USB多媒体设备。这个程序对你系统的正常运行是非常重要的。

iexplore.exe是Microsoft Internet Explorer的主程序。这个微软Windows应用程序让你在网上冲浪,和访问本地Interanet网络。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。iexplore.exe同时也是Avant网络浏览器的一部分,这是一个免费的基于Internet Explorer的浏览器。注意iexplore.exe也有可能是Trojan.KillAV.B病毒,该病毒会终止你的反病毒软件,和一些Windows系统工具,该进程的安全等级是建议删除。

imapi.exe是微软Windows操作系统的一部分。用于CD刻录镜像管理。这个程序对你系统的正常运行是非常重要的。

inetinfo.exe主要用于支持微软Windows IIS网络服务的除错。这个程序对你系统的正常运行是非常重要的。

internat.exe 是微软Windows多语言输入程序。这个程序对你系统的正常运行是非常重要的。internatt.exe也有可能是Win32.Lydra.a木马的一部分。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。

kernel32.exe是Floodnet病毒的一部分,通过Outlook发送邮件进行传播。这个进程的安全等级是建议立即进行删除。

launch32.exe是储存管理服务的远程部署与安装程序。这个程序对你系统的正常运行是非常重要的。

loadwc.exe是微软Internet Explorer浏览器的一部分。该程序用于更高Internet Explorer的设置和喜好。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

Locator.exe的作用是为了稳定的让远程程序调用Windows系统本地服务。该进程维护一个数据库程序。这个程序对你系统的正常运行是非常重要的。

logonui.exe是一个系统进程,用于显示微软Windows XP系统用户切换界面。这个程序对你系统的正常运行是非常重要的。

lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。注意:lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。

mad.exe是Microsoft Exchange重要的一部分,用于调用DLL和记录消息。这个程序对你系统的正常运行是非常重要的。

mapisp32.exe用于调用Microsoft Exchange和Outlook以及其它调用MAPI消息的程序。禁用该程序,可能导致相关需求的程序出现问题。

msdtc.exe是微软分布式传输协调程序。该进程调用系统Microsoft Personal Web Server和Microsoft SQL Server。该服务用于管理多个服务器。

msiexec.exe是Windows Installer的一部分。用于安装Windows Installer安装包(MSI)。这个程序对你系统的正常运行是非常重要的。

msoobe.exe是Windows XP产品激活程序,用于管理在线注册许可密钥。这个程序对你系统的正常运行是非常重要的。

mstask.exe是Windows计划任务程序。它用于管理计划任务,包括备份和更新,定时运行。如果你删除该进程,计划任务将无法运行。

mprexe.exe只会在微软Windows 9x和Me出现。该进程用于计算机使用多个网络协议和网卡与路由的连接。正常情况下,该进程似乎只会在Windows出现问题的情况下,才会出现的Windows的任务管理器中。在其它情况下,它是不被调用的。

msconfig.exe用于帮助编辑和管理配置文件,例如Win.ini和autoexec.bat。这个程序对你系统的正常运行是非常重要的。

msgsrv32.exe仅会在微软Windows 9x和Me系统出现。该进程是一个32位的消息服务,似乎只在出现问题的时候,才会在Windows任务管理器中出现。在其它时候是不可见的。

MSMMsg.exe是BCM语音调制解调器驱动程序。

mstinit.exe是微软计划任务精灵,用于管理杀毒软件和磁盘碎片整理。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

mmc.exe是Windows管理控制程序,是显示管理插件的控制面板,例如驱动器管理。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

mmtask.tsk只会在微软Windows 9x和Me系统出现,通常情况下是隐藏的。它用于Windows进行多媒体的多任务处理。这个程序对你系统的正常运行是非常重要的。

System Idle System Idle不是一个进程,更多用于统计剩余的CPU资源情况。无法删除。

ndisuio.sys属于NDIS User Mode I/O (NDISUIO)协议驱动,用于支持无线设备,例如蓝牙之类。这个程序对你系统的正常运行是非常重要的。

netdde.exe是微软Windows的网络动态数据Exchange服务。它用于帮助exchange数据在网络传输。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

ntoskrnl.exe是保护性的进程,在你计算机反复启动的情况下出现。在正常情况下,在任务管理器是不会有该进程的。注意:ntoskrnl.exe也可能是w32.bolzano病毒。请使用杀毒软件进行查杀。

ntvdm.exe是Windows 16位虚拟机的一部分。该进程用于使16位的进程能够运行在32位的系统环境下。这个程序对你系统的正常运行是非常重要的。

pchschd.exe用于监视分析系统硬件使用。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

pstores.exe属于储存保护服务。它用于应用程序储存,如Internet Explorer储存机密数据。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

rasautou.exe是微软远程访问拨号器程序。它用于系统或者第三方应用程序,管理调制解调器Modem拨号连接。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

rdpclip.exe用于文件复制。它用于从服务器到本地拷贝粘贴文件。这个程序对你系统的正常运行是非常重要的。

regsvc.exe 是Windows服务集中的一个系统服务。它用于远程计算机访问本地注册表。一些本地程序也能够通过该服务编辑注册表。这个程序对你系统的正常运行是非常重要的。

regsvr32.exe用于注册Windows操作系统的动态链接库和ActiveX控件。这个程序对你系统的正常运行是非常重要的。

rnaapp.exe是微软Windows 98/Me操作系统的进程,用于进行拨号网络连接。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

rpcss.exe是微软Windows操作系统的一部分。它用于本地计算机的远程程序调用服务。它是本地网络的公用服务。这个程序对你系统的正常运行是非常重要的。

rsvp.exe是用于保证客户端与服务端的音频和视频流质量的服务。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

rundll.exe 是Windows 95/98/Me系统的一部分。这个程序对你系统的正常运行是非常重要的。注意:rundll.exe也可能是LOXOSCAM和Backdoor.SchoolBus.B木马的一部分。该病毒会在Windows XP和2000中出现。该病毒允许攻击者访问你的计算机。该进程的安全等级是建议立即删除。

rundll32.exe用于在内存中运行DLL文件,它们会在应用程序中被使用。这个程序对你系统的正常运行是非常重要的。注意:rundll32.exe也可能是W32.Miroot.Worm病毒。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。

runonce.exe是微软Run Once的包装。它用于第三方应用程序的安装程序。它允许安装程序添加到启动项中,用于再次启动后,进行进一步配置。这个程序对你系统的正常运行是非常重要的。

sapisvr.exe是Windows XP自带的进程。它用于语音识别支持。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

savedump.exe用于NT内存储存。该进程会写内存内容到页面文件。重新启动后,内存中的内存会保存成一个文件。这个程序对你系统的正常运行是非常重要的。

scanregw.exe是微软Windows操作系统的一部分。该进程用于检测Windows注册表。如果找到错误,会使用Windows上次可用的较好配置文件启动Windows。这个程序对你系统的正常运行是非常重要的。

scardsvr.exe是微软Windows操作系统的一部分,用于认证你本地系统的简单安全卡。

services.exe是微软Windows操作系统的一部分。用于管理启动和停止服务。该进程也会处理在计算机启动和关机时运行的服务。这个程序对你系统的正常运行是非常重要的。注意:services也可能是W32.Randex.R(储存在%systemroot%\system32\目录)和Sober.P (储存在%systemroot%\Connection Wizard\Status\目录)木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。

smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意:smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。

snmp.exe是微软Windows自带的网络相关进程。该进程用于局域网LAN和局域网基础配置。这个程序对你系统的正常运行是非常重要的。

spoolss.exe是微软Windows操作系统的一部分。该进程用于将打印机任务发送到本地打印机。这个程序对你系统的正常运行是非常重要的。

spoolsv.exe用于将Windows打印机任务发送给本地打印机。注意spoolsv.exe也有可能是Backdoor.Ciadoor.B木马。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全级别是建议立即删除。

srvany.exe是一个Windows附加程序,用于将一个程序注册为一个服务。这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

svchost.exe是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。这个程序对你系统的正常运行是非常重要的。注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。该进程的安全等级是建议立即删除。

systray.exe是一个后台程序,用于显示信息,例如日期和时间。这个程序对你系统的正常运行是非常重要的。

tapisrv.exe 这是一个后台服务,用于Windows 98和Windows NT4的Windows电话(TAPI)支持。这个程序对你系统的正常运行是非常重要的。

taskmgr.exe用于Windows任务管理器。它显示你系统中正在运行的进程。该程序使用Ctrl+Alt+Del打开,这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。

tlntsvr.exe属于微软Telnet程序的一部分。Telnet是一个基于TCP/IP网络的终端程序。

tcpsvcs.exe是微软Windows网络组件的一部分。这个系统进程用于计算机使用专用的TCP/IP网络服务,例如DHCP,简单TCP和打印服务。这个程序对你系统的正常运行是非常重要的。

Userinit.exe是Windows操作系统一个关键进程。用于管理不同的启动顺序,例如在建立网络链接和Windows壳的启动。

WinLogon.exe是Windows NT登陆管理器。它用于处理你系统的登陆和登陆过程。该进程在你系统的作用是非常重要的。注意:winlogon.exe也可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播,当你打开病毒发送的附件时,即会被感染。该病毒会创建SMTP引擎在受害者的计算机上,群发邮件进行传播。该病毒允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。 [TOP↑]

WMIADAP.EXE是微软操作系统的部分。该进程AutoDiscovery/AutoPurge ( ADAP)进程传输性能库到WMI库。这个程序对你系统的正常运行是非常重要的。

Wmiexe.exe是Windows管理程序。该后台程序让用户访问基本系统信息。删除这个重要进程会导致你的系统出现错误。

wmiprvse.exe是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。这个程序对你系统的正常运行是非常重要的。

wscntfy.exe是Windows安全相关策略的一部分。这个程序对你系统的正常运行是非常重要的。

wuaclt.exe是微软Windows系统自动检测你计算机上软件更新功能的一部分。这个程序对你系统的正常运行是非常重要的。注意:wuaclt.exe也可能是W32.Cult木马,该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议立即删除。

WUAUBoot.exe用于管理Windows自动更新。该进程会检测检测更新。

Wuauclt.exe是Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使你无法得到最新更新信息。

wuaudt.exe是微软操作系统自动更新的一部分。这个程序对你系统的正常运行是非常重要的。

WUCrtUpd.exe用于检测Windows的更新。该进程定时自动链接到在线地址检测更新。删除该进程将使你无法得到最新更新信息。

1xconfig.exe是SCM MicroSystems多媒体硬件产品的软件。该进程提供方便的托盘操作方式。

3dm2.exe 3dm2.exe是3ware ATA/SATA RAID硬盘Web界面控制工具。该进程不是运行所必须的,但终止它可能有问题。

电脑开机了,桌面只显示屏保,别的什么图标都没有,是怎么回事?

一般软件问题比较多一点。

1、最后一次正确的配置:在开机启动未进入到操作系统之前不停按下F8键,选择“最后一次正确的配置”然后回车即可。

2、安全模式:如果“最后一次正确的配置”不能解决问题,开机就按F8,进入安全模式,用360之类的软件修复下系统文件,并查杀病毒。

3、如不能修复,可以进入安全模式进行系统还原。

4、以上方法都不行,建议重装系统。

360重装步骤:

1、运行360安全卫士,在所有工具中添加系统重装;

2、在360重装大师中点击重装环境检测;

3、环境检测完毕之后,提示用户备份好C盘所有数据;

4、接着将自动检测当前系统与新系统的差异文件,并进行文件下载;

5、下载完成后,点击立即重启;

6、重启电脑进入系统重装操作,重装过程会有4次的重启;

7、系统安装完成后,会进行系统的配置和驱动程序的自动安装;

8、完成所有操作后,提示恭喜您!系统重装完成!。