如何禁用电脑上的svchost.exe?

如何禁用svchost.exe进程~

svchost.exe是一个Windows系统程序，用于执行.dll文件但是svchost.exe也有可能是W32.Welchia.Worm病毒，它利用WindowsLSASS漏洞，制造缓冲区溢出，导致你计算机关机 判断方法：运行的病毒并没有直接利用真正的Svchost.exe，而是启动了一个名称同样是Svchost.exe的病毒进程，由于没有加载系统服务，它和真正的 Svchost.exe进程是不同的只需在命令行窗口中运行一下“Tasklist /svc”如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”，而不是一个具体的服务名，那么它就是病毒进程了，记下这个病毒进程对应的PID数值(进程标识符)，即可在任务管理器的进程列表中找到它，结束进程后，在C盘搜索Svchost.exe文件，也可以用第三方进程工具直接查看该进程的路径，正常的Svchost.exe文件是位于% systemroot%\System32目录中的，而假冒的Svchost.exe病毒文件则会在其他目录。Svchost.exe病毒的简单处理：
　　1.当发现Svchost.exe不在%systemroot%\System32目录中的，可以安全删除，同时在注册表中查找对应的注册项删除掉。注册表路径：【HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost】（病毒程序要通过真正的Svchost.exe进程加载，就必须要修改相关的注册表数据）所以打开注册表后观察有没有增加新的服务组，同时要留意服务组中的服务列表，观察有没有可疑的服务名称（通常来说，病毒不会在只有一个服务名称的组中添加，往往会选择LocalService和netsvcs这两个加载服务较多的组，以干扰分析），有的话把其子健删掉即可（这需要些许经验，你慢慢摸索吧，说不清楚）2.Svchost.exe在%systemroot%\System32目录，说明Svchost.exe是被病毒感染了，可以用杀毒软件清除。 （注：清除和删除要分清楚，清除是清除病毒，删除则是删文件，所以不要手动删除该文件，否则会引起什么进程不能为read之类的情况，更严重电脑直接瘫痪，只有重装系统）
svchost.exe到底启动了那些服务？
如果你想了解每个SVCHOST进程当前到底提供了哪些系统服务，可以在命令提示符下输入命令来查看，具体如下如果是Windows XP中，打开命令提示符cmd（运行--cmd），tasklist /svc命令查看；Windows 2000中，Tlist -S命令查看 另外：：如果想得到所有进程的详细信息，可以在cmd中用　tasklist /svc>abc.txt 命令在当前目录中生成一个abc.txt文件，其内容就是当前正在运行的所有进程情况，例如进程名、PID号、该进程启动了哪些服务

耗尽CPU资源的Explored病毒清除法

出处：网易[ 2005-11-03 10:26:15 ] 作者：佚名 责任编辑：linjixiong

昨天单位这好几台机器病毒大爆发，因为都不是专家高手，折腾了很久才清理掉，过程中有些体会，觉得可以写下来，跟大家作一番交流。

首先是病毒的发现。昨天出现了两个症状。

一、在局域网上出现广播包(ARP)暴增，甚至把出口堵死。

二、机器CPU资源耗尽。

用任务管理器可以看到可疑的进程explored.exe和services.exe一起占用CPU近100%(后来才知道，这是因为该病毒是通过服务启动的)，该进程无法停止，注册表键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

这里有该项存在，即使将该项删除，重启后仍如原样。这个文件是存在在WINDOWS的SYSTEM32目录下，未中毒机器没有该文件。因此可基本确认该进程是病毒。

然后是病毒的查杀。这过程中出现两个问题，一是瑞星开始无法升级，这是因为病毒本身把出口堵塞，TCP流无法正常传输。

我们尝试了一下，发现可以用防火墙(例如天网)将病毒程序隔离，然后再连网进行升级。第二个问题是瑞星查毒过程缓慢(查毒前已经将网卡先禁用了)，这是因为病毒程序explored占用CPU太狠，在无法设置删除该进程的情况下，可以用任务管理器提高瑞星进程的优先级(比如实时)，这样瑞星从病毒手中抢过CPU资源来正常地运行。

不过，这次瑞星只查杀了伪装成svchost.exe的蠕虫病毒，explored仍然存在。

我们无可奈何下只好采用很笨的方法删除explored，就是进入安全模式，到Windows的System32目录下直接把该文件删除掉。顺便也把注册表中启动运行那项也删掉了。

重启后，提示有服务出错，到管理工具下的“服务”一看，才终于发现了该病毒的真实面目:原来“服务”里面有一栏“Windows Login”，属性显示服务名称是“MpR”，可执行文件路径正是“C:\WINNT\SYSTEM32\explored.exe -services”。

这就说明了为什么进程中止不了，删掉注册表中系统启动项也没用。也就是说，当初应该到服务里将该服务停止，而不是在任务管理器试图将其删除。

最后就病毒查杀的心得作一点小结:上述病毒发作都有一定迹象，例如CPU占满，网络带宽占满(可以通过网络连接状态看，如果后台没有运行什么进程，网络接口上收/发包数激增，就很可能是中毒或是连接的网络上有机器中毒)，因为平时要保持警惕，发现异常就赶紧查毒。

最好是用查毒软件，用任务管理器有时被骗，现在的病毒起名往往跟系统程序相似甚至相同，例如explored, smsss(smss是系统程序)，svchost等等。最好知道真正的系统程序所在目录，例如系统svchost.exe应该在system32下，而病毒可能藏在system32\drivers下。

病毒的自启动可能通过很多途径:注册表，INI文件，甚至——象explored这样——通过服务启动。

与其中了毒再查再杀，不如切实做好防护措施——补丁，病毒保护，防火墙，一个都不能少啊!

揭开SVCHOST.exe进程之谜
作者： 时间： 2004-07-02 文档类型：转载 来自：天极网
浏览统计 total:240819 | year:184705 | Quarter:49433 | Month:15355 | Week:2124 | today:708

svchost.exe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。

大家对windows操作系统一定不陌生，但你是否注意到系统中“svchost.exe”这个文件呢？细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。

发现

在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。

如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。

svchost中可以包含多个服务

深入

windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss（remote procedure call）服务为例，进行讲解。

从启动参数中可见服务是靠svchost来启动的。

实例

以windows xp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。

在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项，找到类型为“reg_expand_sz”的键“magepath”，其键值为“%systemroot%system32svchost -k rpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“servicedll”的键，其值为“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。

解惑

因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

由于篇幅的关系，不能对svchost全部功能进行详细介绍，这是一个windows中的一个特殊进程，有兴趣的可参考有关技术资料进一步去了解它。大家都要知道Svchost.exe,是系统必不可少的一个进程,很多服务都会多多少少用到它,
但是我想大家也知道,由于它本身特殊性,高明的"黑客们"肯定是不会放过的,前段时间的Svchost.exe木马风波,大家应该是记忆犹新吧,而且现在还是有很多机器里都藏有此木马,因为它伪装和系统进程Svchost.exe一样,所以很多人分不清,那个是进程,那个是木马....
好的,还是让我们详尽了解一下Svchost.exe进程吧

1.多个服务共享一个 Svchost.exe进程利与弊
windows 系统服务分为独立进程和共享进程两种，在windows NT时只有服务器管理器SCM（Services.exe）有多个共享服务，随着系统内置服务的增加，在windows 2000中ms又把很多服务做成共享方式，由svchost.exe启动。windows 2000一般有2个svchost进程，一个是RPCSS（Remote Procedure Call）服务进程，另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中，则一般有4个以上的svchost.exe服务进程，windows 2003 server中则更多，可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。这样做在一定程度上减少了系统资源的消耗，不过也带来一定的不稳定因素，因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出。另外就是有一点安全隐患，首先要介绍一下svchost.exe的实现机制。

2. Svchost原理
Svchost本身只是作为服务宿主，并不实现任何服务功能，需要Svchost启动的服务以动态链接库形式实现，在安装这些服务时，把服务的可执行程序指向svchost，启动这些服务时由svchost调用相应服务的动态链接库来启动服务。

那么svchost如何知道某一服务是由哪个动态链接库负责呢？这不是由服务的可执行程序路径中的参数部分提供的，而是服务在注册表中的参数设置的，注册表中服务下边有一个Parameters子键其中的ServiceDll表明该服务由哪个动态链接库负责。并且所有这些服务动态链接库都必须要导出一个ServiceMain()函数，用来处理服务任务。

例如rpcss（Remote Procedure Call）在注册表中的位置是 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs，它的参数子键Parameters里有这样一项：
"ServiceDll"=REG_EXPAND_SZ:"%SystemRoot%system32 pcss.dll"
当启动rpcss服务时，svchost就会调用rpcss.dll，并且执行其ServiceMain()函数执行具体服务。

既然这些服务是使用共享进程方式由svchost启动的，为什么系统中会有多个svchost进程呢？ms把这些服务分为几组，同组服务共享一个svchost进程，不同组服务使用多个svchost进程，组的区别是由服务的可执行程序后边的参数决定的。

例如rpcss在注册表中 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs 有这样一项：
"ImagePath"=REG_EXPAND_SZ:"%SystemRoot%system32svchost -k rpcss"
因此rpcss就属于rpcss组，这在服务管理控制台也可以看到。

svchost的所有组和组内的所有服务都在注册表的如下位置： HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost，例如windows 2000共有4组rpcss、netsvcs、wugroup、BITSgroup，其中最多的就是netsvcs=REG_MULTI_SZ:EventSystem.Ias.Iprip.Irmon.Netman.

Nwsapagent.Rasauto.Rasman.Remoteaccess.SENS.Sharedaccess.Tapisrv.Ntmssvc.wzcsvc..

在启动一个svchost.exe负责的服务时，服务管理器如果遇到可执行程序内容ImagePath已经存在于服务管理器的映象库中，就不在启动第2个进程svchost，而是直接启动服务。这样就实现了多个服务共享一个svchost进程。

3. Svchost代码
现在我们基本清楚svchost的原理了，但是要自己写一个DLL形式的服务，由svchost来启动，仅有上边的信息还有些问题不是很清楚。比如我们在导出的ServiceMain()函数中接收的参数是ANSI还是Unicode？我们是否需要调用RegisterServiceCtrlHandler和StartServiceCtrlDispatcher来注册服务控制及调度函数？

这些问题要通过查看svchost代码获得。下边的代码是windows 2000+ service pack 4 的svchost反汇编片段，可以看出svchost程序还是很简单的。

主函数首先调用ProcCommandLine()对命令行进行分析，获得要启动的服务组，然后调用SvcHostOptions()查询该服务组的选项和服务组的所有服务，并使用一个数据结构 svcTable 来保存这些服务及其服务的DLL，然后调用PrepareSvcTable() 函数创建 SERVICE_TABLE_ENTRY 结构，把所有处理函数SERVICE_MAIN_FUNCTION 指向自己的一个函数FuncServiceMain()，最后调用API StartServiceCtrlDispatcher() 注册这些服务的调度函数。

svchost.exe是系统服务，具体有多少个也关系到你所启用 服务，服务启动的越多，所产生的进程，包括svchost.exe就可能越多，但也不排除病毒，不过目前svchost.exe已经不是那么多了，你先确保机器无毒，然后对系统服务进行优化
下面是我编辑好的优化批处理
打开记事本
将以下内容复制进去 并保存成.bat格式
例如1.bat 然后双击1.bat 后 重启电脑 就完成了对服务的自动优化了
cls

@echo off
rem 服务最优批处理文件！！

@rem Alerter 1

sc config Alerter start= DISABLED

@rem Application Layer Gateway Service 2
sc config ALG start= DISABLED

@rem Application Management (应用程序管理) 3
sc config AppMgmt start= DEMAND

@rem Background Intelligent Transfer Service 4
sc config BITS start= DISABLED

@rem Computer Browser (计算机浏览器) 5
sc config Browser start= DISABLED

@rem Indexing Service (索引服务) 6
sc config CiSvc start= DISABLED

@rem ClipBook (剪贴簿) 7
sc config ClipSrv start= DISABLED

@rem COM+ System Application 8
sc config COMSysApp start= AUTO

@rem Cryptographic Services 9
sc config CryptSvc start= DEMAND

@rem DCOM Server Process Launcher 10
sc config DcomLaunch start= AUTO

@rem DHCP Client (DHCP 客户端) 11
sc config Dhcp start= DISABLED

@rem Logical Disk Manager Administrative Service (逻辑磁盘管理员系统管理服务) 12
sc config dmadmin start= DEMAND

@rem Logical Disk Manager (逻辑磁盘管理员) 13
sc config dmserver start= DEMAND

@rem DNS Client (DNS 客户端) 14
sc config Dnscache start= DISABLED

@rem Error Reporting Service 15
sc config ERSvc start= DISABLED

@rem Event Log (事件记录文件) 16
sc config Eventlog start= AUTO

@rem COM+ Event System (COM+ 事件系统) 17
sc config EventSystem start= DEMAND

@rem Help and Support 18
sc config helpsvc start= DISABLED

@rem Human Interface Device Access 19
sc config HidServ start= DISABLED

@rem http sll 20
sc config HTTPFilter start= DISABLED

@rem IMAPI CD-Burning COM Service 21
sc config ImapiService start= DISABLED

@rem Server (服务器) 22
@rem 微软： 透过网络为这台计算机提供档案、打印、及命名管道的共享。如果停止这个服务，将无法共享受文件
@rem 补充： 如果你以后都不会在这台机子上共享东西，那就禁止吧，不过我觉得还是开着，毕竟有时候还是要复制文件的嘛,追求PF的就禁止
@rem 依存： Computer Browser
@rem 建议： 自动
sc config lanmanserver start= AUTO

@rem TCP/IP NetBIOS Helper (TCP/IP NetBIOS 协助程序) 23
@rem 微软： 启用 [NetBIOS over TCP/IP (NetBT)] 服务及 NetBIOS 名称解析的支持。
@rem 补充： 如果你的网络不使用 NetBios 或是 WINS ，你大可关闭
@rem 依存： AFD 网络支持环境、NetBt
@rem 建议： 禁止
sc config LmHosts start= DISABLED

@rem Messenger (信差) 24
@rem 微软： 在客户端及服务器之间传输网络传送及 [Alerter] 服务讯息。这个服务与 Windows Messenger 无关。
@rem 补充： 允许网络之间互相传送提示讯息的功能，如 net send 功能，如不想被骚扰话可关了,停止这个服务Alerter 讯息将不会被传输。
@rem 依存： NetBIOS Interface、Plug and Play、remote Procedure Call (RPC)、Workstation
@rem 建议： 禁止
sc config Messenger start= DISABLED

@rem NetMeetingremote Desktop Sharing (NetMeeting 远程桌面共享) 25
@rem 微软： 让经过授权的使用者可以使用 NetMeeting 透过公司近端内部网络，由远程访问这部计算机。如果这项服务停止的话，远程桌面@rem 共享功能将无法使用。如果服务停用的话，任何依赖它的服务将无法启动。
@rem 补充： 可以将计算机的控制权分享予网络上或因特网上的其它使用者，不想多开后门，就关了罗
@rem 建议： 禁止
sc config mnmsrvc start= DISABLED

@rem Distributed Transaction Coordinator (分布式交易协调器) 26
@rem 微软： 协调跨越多个资源管理员的交易，比如数据库、讯息队列及档案系统。如果此服务被停止，这些交易将不会发生。如果服务被停@rem 用 ，任何明显依存它的服务将无法启动。
@rem 补充： 一般网吧用户用不太到，除非你启用Message Queuing
@rem 依存：remote Procedure Call (RPC) 和 Security Accounts Manager
@rem 建议： 禁止
sc config MSDTC start= DISABLED

@rem Windows Installer (Windows 安装程序) 27
@rem 微软： 根据包含在 .MSI 档案内的指示来安装，修复以及移除软件。
@rem 补充： 是一个系统服务，协助使用者正确地安装、设定、追踪、升级和移除软件程序, 强烈建议手动别到时候安装微软产品麻烦多哦
@rem 依存： remote Procedure Call (RPC)
@rem 建议： 手动
sc config MSIServer start= DEMAND

@rem Network DDE (网络 DDE) 28
@rem 微软： 为动态数据交换 (DDE) 对在相同或不同计算机上执行的程序提供网络传输和安全性。如果这个服务被停止，DDE 传输和安全性将@rem 无法使用。如果这个服务被停用，任何明确依存于它的服务将无法启动。
@rem 补充： 呵呵~不多说啦 禁止
@rem 依存： Network DDE DSDM、ClipBook
@rem 建议： 禁止
sc config NetDDE start= DISABLED

@rem Network DDE DSDM (网络 DDE DSDM) 29
@rem 微软： 讯息动态数据交换 (DDE) 网络共享。如果这个服务被停止，DDE 网络共享将无法使用。
@rem 补充： 没用到这个东西过。。。。。
@rem 依存： Network DDE
@rem 建议： 禁止
sc config NetDDEdsdm start= DISABLED

@rem Net Logon 30
@rem 微软： 支持网域上计算机的账户登入事件的 pass-through 验证。
@rem 补充： 我晕网吧计算机还去登入域审查这个服务
@rem 依存： Workstation
@rem 建议： 禁止
sc config Netlogon start= DISABLED

@rem Network Provisioning Service 31
@rem 在域内为自动网络提供管理 XML 配置文件。
@rem 建议手动
sc config xmlprov start= DEMAND

@rem Network Connections (网络联机) 32
@rem 微软： 管理在网络和拨号联机数据夹中的对象，您可以在此数据夹中检视局域网络和远程联机。
@rem 补充： 控制你的网络联机，停止此服务，负带影响，不能查看网上邻居属性，别给自己找麻烦，改为手动,要不设IP时候就知道了
@rem 依存： remote Procedure Call (RPC)、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
@rem 建议： 手动
sc config Netman start= DEMAND

@rem Network Location Awareness (NLA) 33
@rem 微软： 收集并存放网络设定和位置信息，并且在这个信息变更时通知应用程序。
@rem 补充： 如果不使用 ICF 和 ICS 可以关了它
@rem 依存： AFD网络支持环境、TCP/IP Procotol Driver、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
@rem 建议： 禁止
sc config Nla start= DISABLED

@rem NT LM Security Support Provider (NTLM 安全性支持提供者) 34
@rem 微软： 为没有使用命名管道传输的远程过程调用 (RPC) 程序提供安全性。
@rem 补充： 不使用Message Queuing或Telnet Server 那就关了它
@rem 依存： Telnet
@rem 建议： 禁止
sc config NtLmSsp start= DISABLED

@rem @rem ovable Storage (卸除式存放装置) 35
@rem 微软： 好象是移动U盘或者FLASH闪盘的东东，官方没太多描述
@rem 补充： 除非你有 Zip 磁盘驱动器或是 USB 之类可携式的硬件或是 Tape 备份装置，
@rem 依存： remote Procedure Call (RPC)
@rem 建议： DISABLED
sc config NtmsSvc start= DEMAND

@rem Office Source Engine (office 2003) 36
@rem 可保存用于更新和修复的安装文件，并且在下载安装程序更新和 Watson 错误报告时必须使用。网吧谁用这鬼东西 禁止
@rem 建议: 禁止
@rem sc config ose start= DEMAND

@rem Plug and Play (随插随用) 37
@rem 微软： 启用计算机以使用者没有或很少的输入来识别及适应硬件变更，停止或停用这个服务将导致系统不稳定。
@rem 补充： 顾名思义就是 PNP 环境 ,你关这个，带来的麻烦，别来找我哦~强烈建议自动
@rem 依存： Logical Disk Manager、Logical Disk Manager Administrative Service、Messenger、Smart Card、Telephony、Windows Audio
@rem 建议： 自动
sc config PlugPlay start= AUTO

@rem IPSEC Services (IP 安全性服务) 38
@rem 微软： 管理 IP 安全性原则并启动 ISAKMP/Oakley (IKE) 及 IP 安全性驱动程序。
@rem 补充： IPSec为虚拟私人网络 (VPN) 中提供安全性,不过一般我们好象不怎么用~呵呵
@rem 依存： IPSEC driver、remote Procedure Call (RPC)、TCP/IP Protocol Driver
@rem 建议： 禁止
sc config PolicyAgent start= DISABLED

@rem Protected Storage (受保护的存放装置) 39
@rem 微软： 提供受保护的存放区，来储存私密金钥这类敏感数据，防止未授权的服务、处理、或使用者进行存取。
@rem 补充： 用来储存你计算机上密码的服务,像 Outlook、拨号程序、其它应用程序等等,另外安装一些MICROSOFT软件最好之前先启用它
@rem 依存： remote Procedure Call (RPC)
@rem 建议： 禁止
sc config ProtectedStorage start= DISABLED

@rem remote Access Auto Connection Manager (远程访问自动联机管理员) 40
@rem 微软： 当程序参照到远程 DNS 或 NetBIOS 名称或地址时，建立远程网络的联机。
@rem 补充： ADSL/Cable 提供者，需要用此来处理登入程序，家里ADSL用户别禁止啦，改为手动，网吧客户机全设禁止
@rem 依存： remote Access Connection Manager、Telephony
@rem 建议： 禁止
sc config RasAuto start= DISABLED

@rem remote Access Connection Manager (远程访问联机管理员) 41
@rem 微软： 建立网络联机。
@rem 补充： 远程网络联机用,在网吧做事的用不到
@rem 依存： Telephony、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)、remote Access Auto @rem Connection Manager
@rem 建议： 禁止
sc config RasMan start= DISABLED

@rem remote Desktop Help Session Manager 42
@rem 微软： 管理并控制远程协助。如果此服务停止的话，远程协助将无法使用。
@rem 补充： 如上说的管理和控制远程协助，如果不使用可以关了,对QQ远程协助没任何影响,放心禁止
@rem 依存： remote Procedure Call (RPC)
@rem 建议： DISABLED
sc config RDSessMgr start= DISABLED

@rem Routing andremote Access (路由和远程访问) 43
@rem 微软： 提供连到局域网络及广域网络的公司的路由服务。
@rem 补充： 提供拨号联机到区网或是 VPN 服务，一般网吧谁用这个。。。。。。。。。。。。。
@rem 依存：remote Procedure Call (RPC)、NetBIOSGroup
@rem 建议： 禁止
sc config remoteAccess start= DISABLED

@rem remote Registry (远程登录服务) 44
@rem 微软： 启用远程使用者修改这个计算机上的登录设定。如果这个服务被停止，登录只能由这个计算机上的使用者修改。
@rem 补充： 远程修改注册表，这个东西绝对要禁止,除非你想远程修改自己的一些设置
@rem 依存： remote Procedure Call (RPC)
@rem 建议： 禁止
sc config remoteRegistry start= DISABLED

@rem remote Procedure Call (RPC) Locator (远程过程调用定位程序) 45
@rem 微软： 管理 RPC 名称服务数据库。
@rem 补充： 一般计算机上很少用到，禁止
@rem 依存： Workstation
@rem 建议： DISABLED
sc config RpcLocator start= DISABLED

@rem remote Procedure Call (RPC) (远程过程调用，RPC) 46
@rem 微软： 提供结束点对应程序以及其它 RPC 服务。
@rem 补充： 重要程度高级，我想你还没那么疯狂，连这个服务都关了。。。。不多解释啦 绝对设置为自动
@rem 依存： 太多了，自己去看看
@rem 建议： 自动
sc config RpcSs start= AUTO

@rem Security Accounts Manager (安全性账户管理员) 47
@rem 微软： 储存本机账户的安全性信息。
@rem 补充： 管理账号和群组原则(gpedit.msc)应用，PF着想的朋友设置为手动，我已经设置为手动，保守的人就改自动AUTO
@rem 依存： remote Procedure Call (RPC)、Distributed Transaction Coordinator
@rem 建议： 自动
sc config SamSs start= DEMAND

@rem Smart Card (智慧卡) 48
@rem 微软： 管理这个计算机所读取智能卡的存取。如果这个服务被停止，这个计算机将无法读取智能卡。如果这个服务被停用，任何明确依@rem 存于它的服务将无法启动。
@rem 补充： 朋友你有智能卡吗？
@rem 依存： Plug and Play
@rem 建议： 禁止
sc config SCardSvr start= DISABLED

@rem Task Scheduler (工作排程器) 49
@rem 微软： 让使用者能够在这个计算机上设定和排定自动的工作。如果停止这个服务，这些工作在它们排定的时间时将不会执行。
@rem 补充： 磁盘扫瞄、病毒定时扫瞄、更新等等，象我是很少用这个服务,PF着想禁止（服务器上建议自动）
@rem 依存： remote Procedure Call (RPC)
@rem 建议： 禁止
sc config Schedule start= DISABLED

@rem Secondary Logon 50
@rem 微软： 启用在其它认证下的起始程序。如果这个服务被停止，这类的登入存取将无法使用。
@rem 补充： 允许多用户处理程序，建议为手动
@rem 建议： 手动
sc config seclogon start= DEMAND

@rem System Event Notification (系统事件通知) 51
@rem 微软： 追踪诸如 Windows 登入、网络、和电源事件的系统事件。通知这些事件的 COM+ 事件系统订阅者。
@rem 补充： 没必要把这个服务设为自动，改为手动就行了，要用的时候自己会激活开起,不过我是设置为禁止啦，保守的设为手动DEMAND
@rem 依存： COM+ Event System
@rem 建议： 手动
sc config SENS start= DISABLED

@rem Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS) 52
@rem 微软： 为您的家用网络或小型办公室网络提供网络地址转译、寻址及名称解析服务和/或防止干扰的服务。
@rem 补充： 不使用因特网联机共享(ICS)或是 XP 内含的因特网联机防火墙(ICF)你可以关掉,另外ADSL家庭用户不要关闭此服务,客户机禁止
@rem 依存： Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、remote Access Connection @rem Manager
@rem 建议： 禁止
sc config SharedAccess start= DISABLED

@rem Shell Hardware Detection 53
@rem 微软： 为自动播放硬件事件提供通知。
@rem 补充： 使用在记忆卡或是CD装置、DVD装置上 网吧客户机不需要这个东东
@rem 依存： remote Procedure Call (RPC)
@rem 建议： 禁止
sc config ShellHWDetection start= DISABLED

@rem Print Spooler (打印多任务缓冲处理器) 54
@rem 微软： 将档案加载内存中以待稍后打印。
@rem 补充： 此服务占内存资源，而且我看就算网吧服务器都很少带了打印机吧，这个还是个漏斗服务，关了他还可以少打一个补丁
@rem 依存： remote Procedure Call (RPC)
@rem 建议： 禁止
sc config Spooler start= DISABLED

@rem Windows Image Acquisition (WIA) (Windows影像取得程序) 55
@rem 微软： 为扫描仪和数字相机提供影像撷取服务。
@rem 补充： 如果扫描仪和数字相机内部具有支持WIA功能的话，那就可以直接看到图档，不需要其它的驱动程序，不影响摄象头打开的
@rem 依存： remote Procedure Call (RPC)
@rem 建议： 禁止
sc config stisvc start= DISABLED

@rem MS Software Shadow Copy Provider 56
@rem 微软： 管理磁盘区阴影复制服务所取得的以软件为主的磁盘区阴影复制。如果停止这个服务，就无法管理以软件为主的磁盘区阴影复制。
@rem 补充： 用来备份的东西，如MS Backup 程序就需要这个服务 禁止
@rem 依存： remote Procedure Call (RPC)
@rem 建议： 禁止
sc config swprv start= DISABLED

@rem Performance Logs and Alerts (效能记录文件及警示) 57
@rem 微软： 基于事先设定的排程参数，从本机或远程计算机收集效能数据，然后将数据写入记录
@rem 补充： 没什么价值的服务
@rem 建议： 禁止
sc config SysmonLog start= DISABLED

@rem Telephony (电话语音) 58
@rem 微软： 为本机计算机上及经由局域网络连接到正在执行此服务的服务器上，控制电话语音装置和 IP 为主语音联机的程序，提供电话语@rem 音 API (TAPI) 支持。
@rem 补充： 一般的拨号调制解调器或ADSL用户需要用此服务,注意点就行了，网吧客户机放心禁止
@rem 依存： Plug and Play、remote Procedure Call (RPC)、remote Access Connection Manager、remote Access Auto Connection @rem Manager
@rem 建议： 禁止
sc config TapiSrv start= DISABLED

@rem Terminal Services (终端机服务) 59
@rem 微软： 允许多位使用者互动连接到同一部计算机、桌面的显示器及到远程计算机的应用程序。远程桌面的加强 (包含系统管理员的 RD)@rem 、快速切换使用者、远程协助和终端机服务器。
@rem 补充： 远程桌面或是远程协助的功能，没必要
@rem 依存： remote Procedure Call (RPC)、Fast User Switching Compatibility、InteractiveLogon
@rem 建议： 禁止
sc config TermService start= DISABLED

@rem Themes 60
@rem 微软： 提供使用者经验主题管理。
@rem 补充： 这个服务占了不少资源，建议禁止
@rem 建议： 禁止
sc config Themes start= DISABLED

@rem Distributed Link Tracking Client (分布式连结追踪客户端) 61
@rem 微软： 维护计算机中或网络网域不同计算机中 NTFS 档案间的连结。
@rem 补充： 维护区网内不同计算机之间的档案连结,没NTFS文件格式的就禁止吧
@rem 依存： remote Procedure Call (RPC)
@rem 建议： 禁止
sc config TrkWks start= DISABLED

@rem Windows User Mode Driver Framework 62 我汗。。。太难标了 朋友门自己标下，饿死了还没吃饭类~~~~
@rem 启用 Windows 用户模式驱动程序。
@rem 建议: 手动
sc config UMWdf start= DEMAND

@rem Uninterruptible Power Supply (不断电供电系统)
@rem 微软： 管理连接到这台计算机的不断电电源供应 (UPS)。
@rem 补充： 你的电源供应器有具备此功能，不然就禁止
@rem 建议： 禁止
sc config UPS start= DISABLED

@rem Volume Shadow Copy
@rem 微软： 管理及执行用于备份和其它目的的磁盘区卷影复制。如果这个服务被停止，卷影复制将无法用于备份，备份可能会失败。
@rem 补充： 没多大作用，建议禁止
@rem 依存：remote Procedure Call (RPC)
@rem 建议： 禁止
sc config VSS start= DISABLED

@rem Windows Time (Windows 时间设定)
@rem 微软： 维护在网络上所有客户端及服务器的数据及时间同步处理。如果这个服务停止，将无法进行日期及时间同步处理。如果这个服务@rem 被停用，所有依存的服务都会停止。
@rem 补充： 网络内部电脑对时校准用的，我汗。。。没必要搞这个服务，其实还占了一点点的网络资源，服务器我用的锐起，绝对禁止这个
@rem 建议： 禁止
sc config W32Time start= DISABLED

@rem WebClient
@rem 微软： 启用 Windows 为主的程序来建立、存取，以及修改因特网为主的档案。如果停止这个服务，这些功能将无法使
@rem 补充： 基于安全性的理由，可以禁止，不过建议改为手动~
@rem 依存： WebDav Client Redirector
@rem 建议： 手动
sc config WebClient start= DEMAND

@rem Windows Management Instrumentation (WMI)
@rem 微软： 提供公用接口及对象模型，以存取有关操作系统、装置、应用程序及服务的管理信息。如果这个服务已停止，大多数的 Windows @rem 软件将无法正常工作。如果这个服务已停用，所有依存于它的服务都将无法启动。
@rem 补充： 一个标准的基础结构来监视和管理系统资源的服务，别打它注意 重要程度中级
@rem 依存： Event Log、remote Procedure Call (RPC)
@rem 建议： 自动
sc config winmgmt start= AUTO

@rem Portable Media Serial Number
@rem 微软： 透过联机计算机重新取得任何音乐拨放序号
@rem 补充： 没什么价值的服务
@rem 建议： 禁止
sc config WmdmPmSN start= DISABLED

@rem Windows Management Instrumentation Driver Extensions (Windows Management Instrumentation 驱动程序延伸)
@rem 微软： 提供系统管理信息给予/取自驱动程序。
@rem 补充： Windows Management Instrumentation 的延伸，提供信息用的
@rem 建议： 手动
sc config Wmi start= DEMAND

@rem WMI Performance Adapter
@rem 微软： 提供来自 WMIHiPerf 提供者的效能链接库信息。
@rem 依存： remote Procedure Call (RPC)
@rem 建议： 禁止
sc config WmiApSrv start= DISABLED

@rem Automatic Updates
@rem 微软： 启用重要 Windows 更新的下载及安装。如果停用此服务，可以手动的从 Windows Update 网站上更新操作系统。
@rem 补充： 要更新还不如自己手动更新~~~ 记得手动更新时候，要把这个服务启用哦 注意下就行了
@rem 建议： 禁止
sc config wuauserv start= DISABLED

@rem Wireless Zero Configuration
@rem 微软： 为 802.11 适配卡提供自动设定
@rem 补充： 你们有无限网卡吗。。。。。。。
@rem 依存： NDIS Usermode I/O Protocol、remote Procedure Call (RPC)
@rem 建议： 禁止
sc config WZCSVC start= DISABLED

@rem Fast User Switching Compatibility
@rem 为在多用户下需要协助的应用程序提供管理。依赖RPC。
@rem 建议 禁止
sc config FastUserSwitchingCompatibility start= DISABLED

@REM System Restore Service
@REM 执行系统还原功能。 要停止服务，请从“我的电脑”的属性中的系统还原选项卡关闭系统还原。
sc config srservice start= DISABLED

@REM SSDP Discovery Service
@REM 启动您家庭网络上的 UPnP 设备的发现。
@REM 补充: 没几个人用到吧。。。。。
@REM 建议; 禁止
sc config SSDPSRV start= DISABLED

@rem telnet
@REM 微软:允许远程用户登录到此计算机并运行程序，并支持多种 TCP/IP Telnet 客户，包括基于 UNIX 和 Windows 的计算机。如果此服务停止，远程用户就不能访问程序，任何直接依靠它的服务将会启动失败。
@REM 建议: 禁止
sc config TlntSvr start= DISABLED

@REM Universal Plug and Play Device Host
@REM 为主持通用即插即用设备提供支持。
@REM 建议: 手动
sc config upnphost start= DEMAND

@REM Security Center
@REM 监视系统安全设置和配置。
@REM 建议 禁止
sc config wscsvc start= DISABLED

@REM Intranet Messenger
@REM 发送和接收局域网内部系统管理员或者“警报”，我们一般谁会利用这个服务,请大家明智点,保守的设置为手动
sc config NHLscA start= DISABLED

@rem Windows Audio
@rem 微软： 管理用于 Windows 为主程序的音讯装置。你是聋子的话大可以关闭此服务嘿嘿。
@rem 补充： 如果你没有声卡可以关了他
@rem 依存： Plug and Play、remote Procedure Call (RPC)
@rem 建议： 自动
sc config AudioSrv start= AUTO

@rem Workstation (工作站)
@rem 微软： 建立并维护到远程服务器的客户端网络联机。如果停止这个服务，这些联机将无法使用。如果停用这个服务，所有依存于它的服@rem 务将无法启动。
@rem 补充： 因特网联机中所必要的一些功能,别打它注意OK？
@rem 依存： Alerter、Background Intelligent Transfer Service、Computer Browser、Messenger、Net Logon、remote Procedure Call @rem (RPC) Locator
@rem 建议： 自动
sc config lanmanworkstation start= AUTO

---

新河县15233663141： Svchost.exe怎么关闭 - ？
紫楠亮菌： 1、关闭svchost进程的方法是: 同时按ctrl+alt+delete组合键,启动进程管理器,在进程项下找到svchost进程鼠标右键结束它即可. 2、但是,这个进程是系统启动的必要程序,除非是病毒伪装调用了svchost程序,否则结束它系统就变成蓝屏,无法正常使用. 3、如果病毒伪装调用了svchost进程,建议安装杀毒软件进行查杀. 4、svchost.exe是nt核心系统非常重要的进程.它是动态链接库 (DLL) 中运行的服务通用主机进程的名称.对系统的正常运行不可或缺,不能随便被结束的.

新河县15233663141： 如何取消windows svchost 服务?？
紫楠亮菌： svchost.exe关系到一系列的服务,一般都是网络有关等. 建议不要随便关服务. 可以在控制面板-->管理工具-->服务里面禁用,也可以在Windows优化大师或者360里面改. 关于svchost涉及到什么服务可以到Google上搜索. 希望我的回答能对你有所帮助

新河县15233663141： 开机时,如何禁止一个svchost.exe运行?？
紫楠亮菌： 进程文件:svchost或者svchost.exe 进程名称:microsoft service host process 描述:svchost.exe是一个属于微软windows操作系统的系统程序,用于执行dll文件.这个程序对你系统的正常运行是非常重要的.注意:svchost.exe也有可能是w32.welchia.worm病毒,它利用windowslsass漏洞,制造缓冲区溢出,导致你计算机关机.请注意此进程的名字,还有一个病毒是svch0st.exe,名字中间的是数字0,而不是英文字母o.请注意此进程所在的文件夹,正常的进程应该是在windows的system32和servicepackfiles\i386下面

新河县15233663141： 怎么禁止电脑里的svchost.exe访问网络啊,总是在下载,用无线网卡上的流量没多久就用完了,以前从没出... - ？
紫楠亮菌： svchost.exe是个通用的进程,很多程序都可调用,你调出任务管理器,可以看见好几个svchost.exe进程.所以你要通过网络监控如360的等看那些程序访问网络,不需要的禁止就行了.如果发现不了,就需要你杀毒了.

新河县15233663141： win10 svchost.exe是什么进程 win10 svchost.exe怎么关闭 - ？
紫楠亮菌： Svchost.exe进程是一个属于微软Windows操作系统的系统进程,微软系统自身联网升级更新什么的需要Svchost.exe,大部分软件也需要Svchost.exe联网之后才能升级,这个程序对系统的正常运行是非常重要.您可以打开任务管理器.点击“...

新河县15233663141： SVCHOST是什么?怎样禁止?? - ？
紫楠亮菌： 不能禁用禁了系统也启动不了了! 因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”).但windows系统存在多个...

新河县15233663141： win10里面的Svchost.exe特别费网速,怎么关闭? - ？
紫楠亮菌： 1 按WIN+R组合键,在运行框中输入services.msc回车.2 找到Background Intelligent Transfer Service服务,服务状态点击停止.启动类型:选择手动3 重启电脑2015年1月21日,微软在华盛顿发布新一代Windows系统,并表示向运行Windows7...

新河县15233663141： 如何禁用svchost.exe进程 - ？
紫楠亮菌： svchost.exe是一个Windows系统程序,用于执行.dll文件但是svchost.exe也有可能是W32.Welchia.Worm病毒,它利用WindowsLSASS漏洞,制造缓冲区溢出,导致你计算机关机 判断方法:运行的病毒并没有直接利用真正的Svchost....

新河县15233663141： 怎么永远关闭电脑上的svchost程序,占用网速的 - ？
紫楠亮菌： 这个是系统核心进程关不掉的 xp系统最多可达到8个 w7以上系统可达到15之多 可以查看路径是否在C:\Windows\system32下 若不是说明已中毒 干净杀毒吧

新河县15233663141： 我的电脑总是显示“svchost.exe 遇到问题需要关闭.我们对此引起的不便表示抱歉 - ？
紫楠亮菌： svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺.很多病毒、木马也会调用它.所以,深入了解这个程序,是玩电脑的必修课之一. 大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个...