开机时.Wimdows提示说找不到文件C:WIDOWS\svchost.exe请确定文件名是否正确! 电脑开机时有问题.Wimdows找不到文件C:WIDOWS\...
主人公介绍
小菜:刚接触电脑不久的菜鸟,但对电脑知识有着非常浓厚的学习兴趣,常说的一句话是“菜鸟先飞”。
大嘴:乐于助人的老鸟,经常被别人冠以“大嘴高手”称号,不过这并不是指他嘴特别大,而是一谈到电脑知识就滔滔不绝。
一、紧急状况:系统发现严重病毒
小菜刚刚学习了进程的概念和知识,于是就打开“任务管理器”观察系统中的进程,这一看不要紧,还真发现了一个“病毒”Svchost.exe,这家伙在系统进程列表中竟然有5个之多(见图1),于是小菜就逐个结束这些进程,没想到第二个进程结束后还会再生,而结束第四个进程时更离谱,系统提示“系统即将关机,离关机还有60秒”,进程再生、错误提示,这些典型的病毒“症状”更让小菜相信“Svchost.exe”是病毒无疑,但无法结束进程,又该怎么清除病毒呢?小菜只好请来了大嘴。
图1 数量众多的SVCHOST进程
大嘴过来后还没看电脑,就先告诉小菜,系统中的Svchost.exe进程是正常系统进程,不是病毒,不仅仅是你,其他朋友一看到系统中这么多的 Svchost.exe进程,第一反应也感觉它是病毒,虽然系统中有多个Svchost.exe进程是正常的,但也不保证都是正常的。听起来似乎有些矛盾?这让小菜更有些迷糊,大嘴坐下后给小菜详细讲了起来。
二、松了口气:Svchost.exe是台“CD机”
1.服务装在“CD机”里
Svchost.exe是NT内核*作系统(Windows 2000/XP/2003都属于NT内核*作系统)独有的进程,“Svchost”其实就是“Service Host”(服务宿主)的缩写。微软官方对它的定义是:Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称,通俗讲,它就是一个服务装载器。大家可以把每个服务想象成一张音乐CD,而Svchost.exe就是用来播放这种CD的CD机。
2.为什么用“CD机”装服务
由于Windows 2000/XP系统服务越来越多,以EXE单独进程的形式启动所有服务会大大增加系统负担,为节省系统资源,微软将一些系统服务以动态链接库(DLL)形式实现,而Svchost.exe就是用来装载这些DLL文件以启动系统服务的程序。没有人会为了发行一张CD而制作一台专用播放此CD的CD机,微软也一样。
3.系统里有几台这样的“CD机”
那为什么系统进程列表中的Svchost.exe会有多个呢?微软为了让系统能更好地进行服务控制,就允许多个Svchost.exe进程同时运行,每个 Svchost.exe进程可以包含一组服务,想像一下可以同时容纳3张甚至更多CD的多碟CD机。打开注册表[HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Svchost]主键,在窗口右侧可以看到许多键值,这里的每个键值都代表一组服务,键值数据则包含了该组服务下面运行的服务名称列表,每组服务启动时都会通过单独的Svchost.exe进程来装载。Windows XP中默认共有六组服务(见图2),其中imgsvc、NetworkService、rpcss、termsvcs四个组,它们都只有一个服务运行,这些服务启动后的Svchost.exe进程用户名为“SYSTEM”。而LocalService和netsvcs组都启动了多个服务,它们的 Svchost.exe进程用户名分别为“LOCAL SERVICE”和“NETWORD SERVICE”,从图1中可以看到这种区别。
图2 众多svchost进程的区别
当然了,这六组服务通常并不都是启动状态的,根据系统启动的服务不同,反映在系统进程列表中的Svchost.exe进程数量也是不同的,Windows XP会有四个到六个Svchost.exe进程,而Windows 2000通常则会有两个Svchost.exe进程。
小提示:点击“开始→运行”,在运行框中输入“CMD”回车,然后在打开的命令行窗口中输入“Tasklist /svc”(不含引号)命令,可以更直观地看到每个Svchost.exe进程装载的服务名称列表(见图3)。
图3 查看svchost进程装载的服务名称
4.获取每张“CD”的详细信息
如果想更进一步了解Svchost.exe装载的这些服务都是什么功能,可以记下键值数据中的服务名称,例如“RpcSs”,接着打开注册表的 [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services],再打开下面的“RpcSs”子键,在右边的“Description”键值中就可以看到该服务的描述,而在“ImagePath”键值数据中则可以看到这个服务的运行命令正是“% SystemRoot%\system32\svchost -k rpcss”(见图4)。而在“RpcSs”子键下还有一个“Parameters”(参数)子键,其右边的“ServiceDll”键值数据“% SystemRoot%\system32\rpcss.dll”则表明了RpcSs服务启动时调用的是系统目录下的“Rpcss.dll”文件,这就好像你原来只知道CD中歌曲的歌名,现在又让你能够查到这首歌的演唱者。
图4 查看svchost的具体功能
如果觉得通过注册表查询服务名称了解其属性不太方便,也可以使用“全能助手用Windows服务管理专家”(以下简称“服务管理专家”)来查询,运行软件后单击“All Win32 Services”分支,在右侧服务列表中根据服务名称索引即可快速找到要查询的服务,单击服务名称,即可看到该服务的启动命令以及调用的DLL文件等相关信息(见图5)。同时软件还专门设计了Svchost Group分支,可以快速查询LocalService和netsvcs组中的服务详细信息。
图5 用工具查看svchost的情况
全能助手Windows服务管理专家 小档案
软件名称: 全能助手Windows服务管理专家
软件版本: 1.02
软件大小: 67KB
软件授权: 免费
适用平台: Windows 2000/XP
下载地址: 点击这里下载
三、危机仍在:小心病毒的骗局
由于Svchost.exe进程的特殊性,它隐藏了真正运行的程序的名称,在表面看到的只是Svchost.exe进程,这个特性同时也让许多病毒、木马有空可钻,企图以此迷惑用户。那么如何判断系统中的多个Svchost.exe进程是否正常呢?下面针对这类病毒常用的几种欺骗手法来进行分析。
骗局1:利用假冒Svchost.exe名称的病毒程序
火眼金睛:这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”(见图6),而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文件是位于%systemroot%\System32目录中的,而假冒的 Svchost.exe病毒或木马文件则会在其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在 Windows\System32\Wins目录中,将其删除,并彻底清除病毒的其他数据即可。
图6 查看可疑svchost进程
骗局2:一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载:
添加一个新的服务组,在组里添加病毒服务名
在现有的服务组里直接添加病毒服务名
修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序
判断方法:病毒程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINE\ Software\Microsoft\WindowsNT\CurrentVersion\Svchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开 LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,而它的文件版本、公司、描述信息更全部为空(见图7),如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:\ WINDOWS\System32\svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Services\IPRIP]主键,重新启动计算机,再删除%systemroot%\System32目录中的木马源程序“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInst.exe”,一并删除即可。
你再看看开始菜单里的启动里的有没有这个,还有C盘下的autoexec.bat里有没有东西,还有一个地方就是任务计划,看看里面有没有相应的项。我怀疑也有可能是病毒将你的系统文件给改了,你打开命令提示符,在里面输入sfc /scannow。然后插入安装盘,它会将你的系统文件恢复
还用360查看启动项 将可疑的都去掉
搞不定就把启动项复制了发上来 帮你参考
win7中 windows找不到文件XXX 请确定文件名是否正确~
你中毒了 杀毒过后的后遗症
svchost.exe文件正常应该在C:\WINDOWS\system32文件夹下
你在开始--运行--输入 msconfig --启动找到关于svchost.exe的条目 去掉前面的勾
另外你的第2个问题
"ox75c799f3"指定引用的"Ox7e228950"内存。该内存不能为"read",该内存不能用"read".要终止程序,请单击"确定"这样对话框的原因非常之多 基本上没有通吃的可以解决问题的方法
这个你在百度上搜索 不能read 就知道了 你会发现很多解决方法 但是往往你用过之后会发现 很多并不管用
我个人经验
1.对所有分区进行磁盘整理
2.卸载出现问题的程序 重新安装 你的这个问题中出事的程序似乎是金山的一个什么程序 你可能打错了
3.如果提示是系统中的某个程序出现这个问题 磁盘整理没有办法 那就只能重装或者忍
一般来说貌似影响不大 但是一般会越来越频繁 很烦人
该内存不能为written或read的解决方案
运行某些程序的时候,有时会出现内存错误的提示,然后该程序就关闭。
“0x????????”指令引用的“0x????????”内存。该内存不能为“read”。
“0x????????”指令引用的“0x????????”内存,该内存不能为“written”。
不知你出现过类似这样的故障吗?(0x后面内容有可能不一样。)
一般出现这个现象有方面的,一是硬件,即内存方面有问题,二是软件,这就有多方面的问题了。
下面先说说硬件:
一般来说,内存出现问题的可能性并不大,主要方面是:内存条坏了、内存质量有问题,还有就是2个不同牌子不同容量的内存混插,也比较容易出现不兼容的情况,同时还要注意散热问题,特别是超频后。你可以使用MemTest 这个软件来检测一下内存,它可以彻底的检测出内存的稳定度。
假如你是双内存,而且是不同品牌的内存条混插或者买了二手内存时,出现这个问题,这时,你就要检查是不是内存出问题了或者和其它硬件不兼容。
如果都没有,那就从软件方面排除故障了。
先简单说说原理:内存有个存放数据的地方叫缓冲区,当程序把数据放在其一位置时,因为没有足够空间,就会发生溢出现象。举个例子:一个桶子只能将一斤的水,当你放入两斤的水进入时,就会溢出来。而系统则是在屏幕上表现出来。这个问题,经常出现在windows2000和XP系统上,Windows 2000/XP对硬件的要求是很苛刻的,一旦遇到资源死锁、溢出或者类似Windows 98里的非法操作,系统为保持稳定,就会出现上述情况。另外也可能是硬件设备之间的兼容性不好造成的。
下面我从几个例子给大家分析:
例一:打开IE浏览器或者没过几分钟就会出现"0x70dcf39f"指令引用的"0x00000000"内存。该内存不能为“read”。要终止程序,请单击“确定”的信息框,单击“确定”后,又出现“发生内部错误,您正在使用的其中一个窗口即将关闭”的信息框,关闭该提示信息后,IE浏览器也被关闭。 解决方法:修复或升级IE浏览器,同时打上补丁。看过其中一个修复方法是,Win2000自升级,也就是Win2000升级到Win2000,其实这种方法也就是把系统还原到系统初始的状态下。比如你的IE升级到了6.0,自升级后,会被IE5.0代替。
例二:在windows xp下双击光盘里面的“AutoRun.exe”文件,显示“0x77f745cc”指令引用的“0x00000078”内存。该内存不能为“written”,要终止程序,请单击“确定”,而在Windows 98里运行却正常。 解决方法:这可能是系统的兼容性问题,winXP的系统,右键“AutoRun.exe”文件,属性,兼容性,把“用兼容模式运行这个程序”项选择上,并选择“Windows 98/Me”。win2000如果打了SP的补丁后,只要开始,运行,输入:regsvr32 c:\winnt\apppatch\slayerui.dll。右键,属性,也会出现兼容性的选项。
例三:RealOne Gold关闭时出现错误,以前一直使用正常,最近却在每次关闭时出现“0xffffffff”指令引用的“0xffffffff”内存。该内存不能为“read” 的提示。 解决方法:当使用的输入法为微软拼音输入法2003,并且隐藏语言栏时(不隐藏时没问题)关闭RealOne就会出现这个问题,因此在关闭RealOne之前可以显示语言栏或者将任意其他输入法作为当前输入法来解决这个问题。
例四:我的豪杰超级解霸自从上网后就不能播放了,每次都提示“0x060692f6”(每次变化)指令引用的“0xff000011”内存不能为“read”,终止程序请按确定。 解决方法:试试重装豪杰超级解霸,如果重装后还会,到官方网站下载相应版本的补丁试试。还不行,只好换就用别的播放器试试了。
例五:双击一个游戏的快捷方式,“0x77f5cd0”指令引用“0xffffffff”内 存,该内存不能为“read” ,并且提示Client.dat程序错误。 解决方法:重装显卡的最新驱动程序,然后下载并且安装DirectX9.0。
例六:一个朋友发信息过来,我的电脑便出现了错误信息:“0x772b548f”指令引用的“0x00303033”内存,该内存不能为“written”,然后QQ自动下线,而再打开QQ,发现了他发过来的十几条的信息。 解决方法:这是对方利用QQ的BUG,发送特殊的代码,做QQ出错,只要打上补丁或升级到最新版本,就没事了。
为什么连接打印机时总出现找不到打印机
答:因为没有添加网络打印机。添加网络打印机的步骤如下:1、首先找到开始菜单 - Windows 系统 -控制面板 2、之后在控制面板里面找到“硬件和声音”然后在硬件和声音下面找到添加硬件 3、此时会出现搜索不到到现象,这时候要选择左下角的“我所需到打印机未列出”4、打开“我所需的打印机未列出”选“使用...
共享时提示windows找不到IP地址
答:在Windows桌面上用右键点击“我的电脑”,选择“属性”,然后单击“计算机名”选项卡,看看该选项卡中有没有出现你的局域网工作组名称,如“workgroup”等。然后单击“网络 ID”按钮,开始“网络标识向导”:单击“下一步”,选择“本机是商业网络的一部分,用它连接到其他工作着的计算机”;单击“下一...
...shutdown-s-t加时间怎么弹出对话框说windows找不到文件是怎么回事啊...
答:。/c "Comment"使您可以对关机原因做出详细注释。必须首先使用 /d 选项提供一个原因。必须将注释引在引号中。最多可以使用 127 个字符。/?在命令提示符下显示帮助,包括在本地计算机上定义的主要原因和次要原因的列表。只键入 shutdown 而不带任何参数也可以显示帮助。参考资料:windows help ...
Windows找不到证书来让您登陆到网络123怎么解决
答:有用户遇到无法上网情况,然后提示:Windows找不到证书来让您登陆到网络 123。是什么原因呢?要如何解决这样的问题?其实不难,修改一些设置即可!下面就和大家说一下Windows找不到证书来让您登陆到网络的解决方法。解决方法如下:1、右键点击“网上邻居”,选择“属性”。2、右键点击&...
win10局域网共享提示0x80070035 找不到网络路径 求大神帮忙 有_百度...
答:1,打开Vista系统的控制面板,点击安全里的windows防火墙(允许程序通过Windows防火墙),并在其例为选项中,勾选文件和打印机共享,然后勾选网络发现项,如果此项不选,即会造成Vista平台在访问其他网络的计算机和被其它计算机访问时,形成无法连接主机,所以这里要开启网络发现功能,让其自动寻找第三方计算机.2...
win7电脑安装HP1010打印机提示找不到指定模块的两种解决方法
答:看到网上一些windows7系统用户反馈说在安装HP1010打印机驱动的时候,一直安装失败并且提示:找不到指定模块的问题(如下图)。打印机驱动大家办公和生活中经常使用到的。针对此故障问题,下面小编和大家分享win7电脑安装HP1010打印机提示“找不到指定模块”的解决方法。解决方法一:建议先卸载这个安装失败的...
我开完机时就出现了c;\WINDOWS\winsua,dll时出错找不到指定模块
答:出现加载错误的话,试试下面的方法看看能不能解决你的问题:1.到"msconfig"里的启动项里去把这个程序给删除掉去 2.或者到"注册表"里的启动项去把这个程序给删除掉去 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 3.或者直接把这个文件直接删除 4.如果以上方法还是不能解决问题的话...
HP LaserJet P2055d win7安装时windows update找不到驱动程序
答:1、Windows update是windows系统的补丁更新服务,一般来说与此款打印机的驱动程序无关。2、此款打印机找不到驱动程序,用户可以参考如下解决方法:1)、一般买打印机的时候会赠送一张驱动光盘,这时候就不需要下载了。直接将光盘插入光驱安装即可。2)、去HP的官网,找到”服务与支持“搜索打印机的型号,...
...游戏文件还丢失 开启软件的时候也说找不到文件 听音乐的时候也卡机...
答:电脑老死机蓝屏 游戏文件还丢失 开启软件的时候也说找不到文件 听音乐的时候也卡机 玩LOL刚要进去的时候会卡住重启一下进去就蓝屏了再重启进都进不去开启什么软件都会说丢失什么软件听音乐的时候会卡住开启LOL的时候说没有找到MSIdll求解答谢谢... 玩LOL 刚要进去的时候会卡住 重启一下进去就蓝屏了 再重启进都...
我进去用户帐户时,提示【windows找不到文件'c
答:我进去用户帐户时,提示【windows找不到文件'c:\WINDOWS\system32\rundll32.exe'。请确认文件名是否正确,再试一次。要搜索文件,请单击「开始」按钮,然后单击“搜索”。】怎么回事呀... 我进去用户帐户时,提示【windows找不到文件'c:\WINDOWS\system32\rundll32.exe'。请确认文件名是否正确,再试一次。要搜索文件,请...
