最好是简单方法能解决,不能只能去修改注册表了
运行输入regedit点,启动注册表编辑器。
用户个人数据[HKEY_CURRENT_USER]
该分支中存放的是当前登录用户的个人喜好设置、所用的软件的设置等个人数据。无论来宾、受限用户、高级用户还是管理员,都可以修改属于自己个人的注册表数据。用户个人的注册表数据就是“注册表编辑器”左侧窗格[HKEY_CURRENT_USER]所包含的项、子项和值项。
系统的核心数据[HKEY_LOCAL_MACHINE]
只有管理员权限的用户可以访问系统注册表数据,其中存放了系统中各项重要的核心设置数据。系统的注册表数据就是“注册表编辑器”左侧窗格显示的[HKEY_LOCAL_MACHINE]所包含的项、子项和值项。
与备份注册表过招
任务1:备份注册表分支并编辑部分设置
第一步:点击“开始→运行”(或命令行提示符),输入以下命令导出两个注册表分支(驱动器、路径及文件可自定义),导出后的myreg.reg大小约为8MB~9MB,而sysreg.reg大小约为30MB~60MB,视个人情况略有不同。
reg export hkcu c:\myreg.reg
reg export hklm c:\sysreg.reg
第二步:分别右击myreg.reg和sysreg.reg,选择“编辑”或“发送到→记事本”(创建右键菜单“发送到→记事本”,可将“开始”菜单中的“记事本”快捷方式复制到“C:\Documents and Settings\username\SendTo”文件夹),用“记事本”程序打开myreg.reg文件。
第三步:点击菜单命令“编辑→查找”,输入要查找内容的关键字,单击“查找下一个”。查找到一个数据,可执行删除、修改操作,然后按F3键可继续查找下一个数据。查找、修改所有数据,选择菜单“文件→保存”保存注册表文件。
任务2:恢复用户设置
(1)图形界面恢复方式:在发生问题需要恢复时,右击myreg.reg选择“合并”即可。
(2)命令行模式恢复方式:在命令行模式下输入“reg import c:\myreg.reg”(不包括外引号)命令就能将其导入注册表。
任务3:自制Net Transport的128线程补丁
第一步:点击“开始→运行”,输入“Regedit.exe”(不含引号)回车,打开“注册表编辑器”,转至[HKEY_CURRENT_USER\Software\Xi\NetTransport 2\Download]。
第二步:在右侧的编辑框里新建一个DWORD值命名为“Max Threads”,双击这个值,在“数值”中输入128,在“基数”中选择“十六进制”。
第三步:选择菜单“文件→导出”,“保存类型”设为“Win9x/NT4注册文件”(在Windows 2000/XP中使用默认的保存类型导出的注册表文件无法在Windows 9x下导入),保存为128threads.reg
第四步:复制一份128threads.reg并将新文件命名为uninstall128.reg,用“记事本”打开该文件,将[HKEY_CURRENT_USER\Software\Xi\NetTransport 2\Download]子项下的“Max Threads=dword:00000128”修改为“Max Threads=-”(不包括外侧中文引号),在注册表文件中将键值设为“-”即代表删除该键值只需双击导入128threads.reg即可打上128线程补丁,而双击导入uninstall128.reg则将恢复未安装补丁前的状态。
★当要清除一个值项的键值而保留键名,可将键值设为(如“Max Threads=”)。无论该键值原来是什么类型,清除后都将变成“字符串值”类型,所以“字符串值”类型以外的其他类型的键值一般直接删除键值。当要修改一个值项的键值,可用“键名=类型:键值”的形式(例:“Max Threads=dword:00000001”),如为字符串值,则可省略类型但须在键值两侧加上英文双引号(例:“Title=Hello”)。
★当要删除一个子项或项,如要删除[HKEY_CURRENT_USER\Software\Xi\NetTransport 2\Download],则只需将语句设置为
“[-HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run\MyRunningProgram]”(不含中文引号,在项或子项名称的左侧添加一个减号“-”)。
任务4:自动备份注册表
[HKEY_CURRENT_USER]和[HKEY_LOCAL_MACHINE]这两个分支是黑客程序、后门、病毒及恶意网站最常攻击的目标,一旦这两个分支下的数据被病毒修改,要一一排查被修改的数据是件非常困难的事,而手动地输入命令备份相当麻烦,如何快速备份和恢复被“劫持”的系统呢?
第一步:打开“记事本”,输入下列内容,并保存为myregbak.bat:
@echo off
set mypath=c:\myfolder\%date%
if exist %mypath% rd /s /q %mypath%
md %mypath%
cd %mypath%
reg export hkcu myreg.reg
reg export hklm sysreg.reg
这段脚本的大意是:首先定义一个变量并将其设置为C:\myfolder下以当天的日期命名的一个目录,如果该目录不存在就根据变量值创建此目录。然后将当前目录转到这个目录中,如果已经存在用户个人的注册表备份文件myreg.reg则删除,重新导出用户个人的注册表数据到文件。如果已经存在系统的注册表备份文件sysreg.reg则删除,重新导出系统的注册表数据到文件。
如果不是管理员权限的用户,不需要备份系统的注册表数据(不要输入第7行即可)。以上提供的批处理角本在Windows XP下测试通过,驱动器、路径及文件名可自定义。
第二步:在桌面、任务栏、开始菜单处创建myregbak.bat批处理文件的快捷方式,随时手工备份。
第三步:单击“控制面板→任务计划→添加任务计划”,在向导中选择myregbak.bat批处理文件,创建“备份注册表”任务。右击“备份注册表”任务图标,选择“属性”,单击“计划”选项卡,选择一种每日定时或定期备份的方式,以便让计算机能够自动备份注册表。
任务5:每天首次登录/启动时备份注册表
适当修改myregbak.bat批处理文件,单击“开始→运行”,输入“gpedit.msc”,打开“组策略”。双击打开“用户配置→Windows设置→脚本→登录”或“计算机配置→Windows设置→脚本→启动”,点击“添加”按钮并选择myregbak.bat,即可实现每天首次登录/启动计算机时备份一次注册表。修改后的批处理文件如下:
@echo off
set mypath=c:\myfolder\%date%
if exist %mypath% goto :end
md %mypath%
cd %mypath%
reg export hkcu myreg.reg
reg export hklm sysreg.reg
:end
注意:本文提供的批处理脚本的保存位置应与mypath的位置在同一盘符下。
运行输入regedit点,启动注册表编辑器。
用户个人数据[HKEY_CURRENT_USER]
该分支中存放的是当前登录用户的个人喜好设置、所用的软件的设置等个人数据。无论来宾、受限用户、高级用户还是管理员,都可以修改属于自己个人的注册表数据。用户个人的注册表数据就是“注册表编辑器”左侧窗格[HKEY_CURRENT_USER]所包含的项、子项和值项。
系统的核心数据[HKEY_LOCAL_MACHINE]
只有管理员权限的用户可以访问系统注册表数据,其中存放了系统中各项重要的核心设置数据。系统的注册表数据就是“注册表编辑器”左侧窗格显示的[HKEY_LOCAL_MACHINE]所包含的项、子项和值项。
与备份注册表过招
任务1:备份注册表分支并编辑部分设置
第一步:点击“开始→运行”(或命令行提示符),输入以下命令导出两个注册表分支(驱动器、路径及文件可自定义),导出后的myreg.reg大小约为8MB~9MB,而sysreg.reg大小约为30MB~60MB,视个人情况略有不同。
reg export hkcu c:\myreg.reg
reg export hklm c:\sysreg.reg
第二步:分别右击myreg.reg和sysreg.reg,选择“编辑”或“发送到→记事本”(创建右键菜单“发送到→记事本”,可将“开始”菜单中的“记事本”快捷方式复制到“C:\Documents and Settings\username\SendTo”文件夹),用“记事本”程序打开myreg.reg文件。
第三步:点击菜单命令“编辑→查找”,输入要查找内容的关键字,单击“查找下一个”。查找到一个数据,可执行删除、修改操作,然后按F3键可继续查找下一个数据。查找、修改所有数据,选择菜单“文件→保存”保存注册表文件。
任务2:恢复用户设置
(1)图形界面恢复方式:在发生问题需要恢复时,右击myreg.reg选择“合并”即可。
(2)命令行模式恢复方式:在命令行模式下输入“reg import c:\myreg.reg”(不包括外引号)命令就能将其导入注册表。
任务3:自制Net Transport的128线程补丁
第一步:点击“开始→运行”,输入“Regedit.exe”(不含引号)回车,打开“注册表编辑器”,转至[HKEY_CURRENT_USER\Software\Xi\NetTransport 2\Download]。
第二步:在右侧的编辑框里新建一个DWORD值命名为“Max Threads”,双击这个值,在“数值”中输入128,在“基数”中选择“十六进制”。
第三步:选择菜单“文件→导出”,“保存类型”设为“Win9x/NT4注册文件”(在Windows 2000/XP中使用默认的保存类型导出的注册表文件无法在Windows 9x下导入),保存为128threads.reg
第四步:复制一份128threads.reg并将新文件命名为uninstall128.reg,用“记事本”打开该文件,将[HKEY_CURRENT_USER\Software\Xi\NetTransport 2\Download]子项下的“Max Threads=dword:00000128”修改为“Max Threads=-”(不包括外侧中文引号),在注册表文件中将键值设为“-”即代表删除该键值只需双击导入128threads.reg即可打上128线程补丁,而双击导入uninstall128.reg则将恢复未安装补丁前的状态。
★当要清除一个值项的键值而保留键名,可将键值设为(如“Max Threads=”)。无论该键值原来是什么类型,清除后都将变成“字符串值”类型,所以“字符串值”类型以外的其他类型的键值一般直接删除键值。当要修改一个值项的键值,可用“键名=类型:键值”的形式(例:“Max Threads=dword:00000001”),如为字符串值,则可省略类型但须在键值两侧加上英文双引号(例:“Title=Hello”)。
★当要删除一个子项或项,如要删除[HKEY_CURRENT_USER\Software\Xi\NetTransport 2\Download],则只需将语句设置为
“[-HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Run\MyRunningProgram]”(不含中文引号,在项或子项名称的左侧添加一个减号“-”)。
任务4:自动备份注册表
[HKEY_CURRENT_USER]和[HKEY_LOCAL_MACHINE]这两个分支是黑客程序、后门、病毒及恶意网站最常攻击的目标,一旦这两个分支下的数据被病毒修改,要一一排查被修改的数据是件非常困难的事,而手动地输入命令备份相当麻烦,如何快速备份和恢复被“劫持”的系统呢?
第一步:打开“记事本”,输入下列内容,并保存为myregbak.bat:
@echo off
set mypath=c:\myfolder\%date%
if exist %mypath% rd /s /q %mypath%
md %mypath%
cd %mypath%
reg export hkcu myreg.reg
reg export hklm sysreg.reg
这段脚本的大意是:首先定义一个变量并将其设置为C:\myfolder下以当天的日期命名的一个目录,如果该目录不存在就根据变量值创建此目录。然后将当前目录转到这个目录中,如果已经存在用户个人的注册表备份文件myreg.reg则删除,重新导出用户个人的注册表数据到文件。如果已经存在系统的注册表备份文件sysreg.reg则删除,重新导出系统的注册表数据到文件。
如果不是管理员权限的用户,不需要备份系统的注册表数据(不要输入第7行即可)。以上提供的批处理角本在Windows XP下测试通过,驱动器、路径及文件名可自定义。
第二步:在桌面、任务栏、开始菜单处创建myregbak.bat批处理文件的快捷方式,随时手工备份。
第三步:单击“控制面板→任务计划→添加任务计划”,在向导中选择myregbak.bat批处理文件,创建“备份注册表”任务。右击“备份注册表”任务图标,选择“属性”,单击“计划”选项卡,选择一种每日定时或定期备份的方式,以便让计算机能够自动备份注册表。
任务5:每天首次登录/启动时备份注册表
适当修改myregbak.bat批处理文件,单击“开始→运行”,输入“gpedit.msc”,打开“组策略”。双击打开“用户配置→Windows设置→脚本→登录”或“计算机配置→Windows设置→脚本→启动”,点击“添加”按钮并选择myregbak.bat,即可实现每天首次登录/启动计算机时备份一次注册表。修改后的批处理文件如下:
@echo off
set mypath=c:\myfolder\%date%
if exist %mypath% goto :end
md %mypath%
cd %mypath%
reg export hkcu myreg.reg
reg export hklm sysreg.reg
:end
注意:本文提供的批处理脚本的保存位置应与mypath的位置在同一盘符下。
温馨提示:内容为网友见解,仅供参考
第1个回答 2011-05-10
svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。
大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。
发现
在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。
如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。
svchost中可以包含多个服务
深入
windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?
原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。
从启动参数中可见服务是靠svchost来启动的。
实例
以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
解惑
因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。
假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它
-----------------------------------------------------
Shutdown
Shutdown使您能够一次关闭或重新启动一台本地或远程计算机。Windows XP的关机是由Shutdown.exe程序来控制的,位于Windows\System32文件夹中
。在Windows 2000中是没有该程序的,如果想让Windows 2000也实现同样的效果,可以把Shutdown.exe复制到系统目录下。使用方法:比如你的电脑要在22:00关机,可以选择“开始→运行”,输入“at 22:00 Shutdown -s”,这样,到了22点电脑就会出现“系统关机”对话框,默认有30秒钟的倒计时并提示你保存工作。如果你想以倒计时的方式关机,可以输入 “Shutdown.exe -s -t 3600”,这里表示60分钟后自动关机,“3600”代表60分钟。
语法:
shutdown [/i | /l | /s | /r | /a | /p | /h | /e] [/f] [/m \\ComputerName] [/t XXX] [/d [p:]XX:YY/c"Comment"]
参数
/i : 显示“远程关机对话框”。/i 选项必须是键入的第一个参数,之后的所有参数都将被忽略。
/l : 立即注销当前用户,没有超时期限。不能将 /l 与 /m \\ComputerName 或 /t 一起使用。
/s : 关闭计算机。
/r : 关机后重新启动计算机。
/a : 取消关机操作(仅在超时期限内有效)。a 参数仅可以与 /m \\ComputerName 一起使用。
/p : 仅关闭本地计算机(而不是远程计算机),没有超时期或警告。/p 只能和 /d 一起使用。如果您的计算机不支持关闭电源功能,使用 /p 将关闭系统但不会切断您的计算机电源。
/h : 使本地计算机处于休眠状态(如果已启用休眠)。仅可将 h 与 /f 一起使用。
/e : 允许在目标计算机上记录意外关机原因。
/f : 强制关闭正在运行的应用程序而不提前警告用户。
警告
• 使用 /f 选项可能导致未保存的数据丢失。
•/m \\ComputerName :指定目标计算机。不能与 /l 选项一同使用。
/t XXX : 将重新启动或关机前超时期限或延迟设置为 XXX 秒会使得在本地控制台显示一条警告信息。您可以指定的范围为 0 - 600 秒。如果省略 /t,则默认超时期限为 30 秒。
/d [p:]XX:YY : 列出系统重新启动、关机或关闭电源的原因。下表描述了参数值。
说明:
p: 表示重新启动或关机是已计划的。如果您不使用 p:选项,关机事件跟踪程序假设未计划重新启动或关机。
XX: 指定主要原因代码 (0-255)。
YY: 指定次要原因代码 (0-65535)。
/c"Comment" :使您可以对关机原因做出详细注释。必须首先使用 /d 选项提供一个原因。必须将注释引在引号中。最多可以使用 511 个字符。
/? :在命令提示符下显示帮助,包括在本地计算机上定义的主要原因和次要原因的列表。只键入 shutdown 而不带任何参数也可以显示帮助。
注释
• 必须为用户授予关闭系统的用户权利,该用户才能使用 shutdown 命令关闭本地或远程管理的计算机。详细信息,请参阅“相关主题”中的“访问控制概述”和“特权”。
• 用户必须是 Administrators 组的成员才能对本地或远程管理的计算机的意外关机进行批注。如果目标计算机已加入某个域,则 Domain Admins 组的成员可能会执行该过程。详细信息,请参阅默认本地组和默认组。
• 如果希望一次关闭多台计算机,可针对每台计算机使用脚本来调用 shutdown,或者可使用 shutdown /i 显示远程关机对话框。
• 一旦指定了主要和次要原因代码,您必须首先为计划使用某种特定原因的每个计算机定义那些原因代码。如果目标计算机上没有定义原因代码,关闭事件跟踪程序将无法记录正确的原因文本。
• 切记使用 p: 参数指出关机是计划关机。省略 p:表示关机是非计划关机。如果键入 p:,后面跟着非计划关机的原因代码,命令将不会执行关机。相反,如果省略 p:并为计划关机键入原因代码,命令也不会执行关机。
示例
要强制让应用程序在一分钟延迟后关闭并重新打开本地计算机,并注明原因是“应用程序:维护(计划内)”,注释内容为“重新配置 myapp.exe”,请键入:
shutdown /r /t 60 /c "Reconfiguring myapp.exe" /f /d p:4:1
要使用相同的参数重新启动远程计算机 \\ServerName,请键入:
shutdown /r /m \\servername /t 60 /c "Reconfiguring myapp.exe" /f /d p:4:1
----------------------------------------------------------
简单的说 倒计时关机的解决办法 开始=> 动行 => shutdown -a
参考资料:
大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。
发现
在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。
如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。
svchost中可以包含多个服务
深入
windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?
原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。
从启动参数中可见服务是靠svchost来启动的。
实例
以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
解惑
因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。
假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它
-----------------------------------------------------
Shutdown
Shutdown使您能够一次关闭或重新启动一台本地或远程计算机。Windows XP的关机是由Shutdown.exe程序来控制的,位于Windows\System32文件夹中
。在Windows 2000中是没有该程序的,如果想让Windows 2000也实现同样的效果,可以把Shutdown.exe复制到系统目录下。使用方法:比如你的电脑要在22:00关机,可以选择“开始→运行”,输入“at 22:00 Shutdown -s”,这样,到了22点电脑就会出现“系统关机”对话框,默认有30秒钟的倒计时并提示你保存工作。如果你想以倒计时的方式关机,可以输入 “Shutdown.exe -s -t 3600”,这里表示60分钟后自动关机,“3600”代表60分钟。
语法:
shutdown [/i | /l | /s | /r | /a | /p | /h | /e] [/f] [/m \\ComputerName] [/t XXX] [/d [p:]XX:YY/c"Comment"]
参数
/i : 显示“远程关机对话框”。/i 选项必须是键入的第一个参数,之后的所有参数都将被忽略。
/l : 立即注销当前用户,没有超时期限。不能将 /l 与 /m \\ComputerName 或 /t 一起使用。
/s : 关闭计算机。
/r : 关机后重新启动计算机。
/a : 取消关机操作(仅在超时期限内有效)。a 参数仅可以与 /m \\ComputerName 一起使用。
/p : 仅关闭本地计算机(而不是远程计算机),没有超时期或警告。/p 只能和 /d 一起使用。如果您的计算机不支持关闭电源功能,使用 /p 将关闭系统但不会切断您的计算机电源。
/h : 使本地计算机处于休眠状态(如果已启用休眠)。仅可将 h 与 /f 一起使用。
/e : 允许在目标计算机上记录意外关机原因。
/f : 强制关闭正在运行的应用程序而不提前警告用户。
警告
• 使用 /f 选项可能导致未保存的数据丢失。
•/m \\ComputerName :指定目标计算机。不能与 /l 选项一同使用。
/t XXX : 将重新启动或关机前超时期限或延迟设置为 XXX 秒会使得在本地控制台显示一条警告信息。您可以指定的范围为 0 - 600 秒。如果省略 /t,则默认超时期限为 30 秒。
/d [p:]XX:YY : 列出系统重新启动、关机或关闭电源的原因。下表描述了参数值。
说明:
p: 表示重新启动或关机是已计划的。如果您不使用 p:选项,关机事件跟踪程序假设未计划重新启动或关机。
XX: 指定主要原因代码 (0-255)。
YY: 指定次要原因代码 (0-65535)。
/c"Comment" :使您可以对关机原因做出详细注释。必须首先使用 /d 选项提供一个原因。必须将注释引在引号中。最多可以使用 511 个字符。
/? :在命令提示符下显示帮助,包括在本地计算机上定义的主要原因和次要原因的列表。只键入 shutdown 而不带任何参数也可以显示帮助。
注释
• 必须为用户授予关闭系统的用户权利,该用户才能使用 shutdown 命令关闭本地或远程管理的计算机。详细信息,请参阅“相关主题”中的“访问控制概述”和“特权”。
• 用户必须是 Administrators 组的成员才能对本地或远程管理的计算机的意外关机进行批注。如果目标计算机已加入某个域,则 Domain Admins 组的成员可能会执行该过程。详细信息,请参阅默认本地组和默认组。
• 如果希望一次关闭多台计算机,可针对每台计算机使用脚本来调用 shutdown,或者可使用 shutdown /i 显示远程关机对话框。
• 一旦指定了主要和次要原因代码,您必须首先为计划使用某种特定原因的每个计算机定义那些原因代码。如果目标计算机上没有定义原因代码,关闭事件跟踪程序将无法记录正确的原因文本。
• 切记使用 p: 参数指出关机是计划关机。省略 p:表示关机是非计划关机。如果键入 p:,后面跟着非计划关机的原因代码,命令将不会执行关机。相反,如果省略 p:并为计划关机键入原因代码,命令也不会执行关机。
示例
要强制让应用程序在一分钟延迟后关闭并重新打开本地计算机,并注明原因是“应用程序:维护(计划内)”,注释内容为“重新配置 myapp.exe”,请键入:
shutdown /r /t 60 /c "Reconfiguring myapp.exe" /f /d p:4:1
要使用相同的参数重新启动远程计算机 \\ServerName,请键入:
shutdown /r /m \\servername /t 60 /c "Reconfiguring myapp.exe" /f /d p:4:1
----------------------------------------------------------
简单的说 倒计时关机的解决办法 开始=> 动行 => shutdown -a
参考资料:
第2个回答 2011-05-10
确定下是不是系统服务启动项?是的话是禁止不了的。把这个进程的名字发出来
第3个回答 2011-05-09
用360软件管理试试
如何禁止某个进程开机启动
1、进入到“开始”——“运行”输入“gpedit.msc”这个命令 2、进入到“组策略”以后大家点开“计算机配置”——“windows设置”——“安全设置”——“软件限制策略”——“其他规则”3、进入到其他规则以后,大家新建一个“新散列规则”4、点击浏览,找到需要限制的文件。需要到文件夹里寻找哦,需要...
如何终止一个进程使下次开机时也不会启动它
适当修改myregbak.bat批处理文件,单击“开始→运行”,输入“gpedit.msc”,打开“组策略”。双击打开“用户配置→Windows设置→脚本→登录”或“计算机配置→Windows设置→脚本→启动”,点击“添加”按钮并选择myregbak.bat,即可实现每天首次登录\/启动计算机时备份一次注册表。修改后的批处理文件如下:echo ...
我的电脑不必要的进程如何让它开机不再打开
1.点击"开始"菜单——运行命令——输入msconfig后按下回车键——点击"启动"选项卡——在下面查找一下开机时自动开全的选项,找到后将前面的勾去掉,按确定命令。2.系统弹出“你必须重新启动你的计算机以便某些系统配置所作的更改生效。”对话框,根据需要选择“重新启动”或者“退出而不重新启动”按钮。...
没用的进程怎么禁止掉?下次开机不会启动被禁止的进程!
查看进程内容和目标,找到相关内容进入系统管理服务,关闭服务即可!只有一点,进程与服务对应,关闭掉服务进程就不再出现!
如何阻止进程不再自动开启、 下次开机时不要自动开启?
打开开始-程序-启动,把里面的项目删除,然后点开始-运行,输入msconfig回车,把启动项里面不想开机就启动的进程前面的勾去掉。
怎样永远结束任务管理器里的某个进程,而不让它在开机时又出现呢?
你下个360安全卫士(都是免费的),安装后打开它,在“高级”里面有个“启动项状态”,然后把你不想让它开机启动的项前面打勾,选择禁用就行了。360的很多功能很好用,你下个用用就知道了,在这里我也不用多说了。
怎么样才可以强行终止进程令他在下次开机时不再加载!
在运行里面msconfig 把启动的关闭 或者注册表 HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 里面删除也可以
...或者有方法使这些后台进程开机时就不加载呢?
1、点开始---运行---输入msconfig---回车 这时会弹出一个窗口。点启动,你就能看到系统启动时需要加载的各个进程。大多数都是没用的,像什么暴风影音啊、酷狗啊、qq啊什么的,把前面的勾点掉就行。然后点服务。系统提供的所有服务都在这里了,如果你能看的懂,想一些自动更新、打印、刻录这些不常用...
怎样让任务管理器里的一些进程开机的时候不启动?
开始,运行,输入msconfig.确定 启动选项卡,然后在里面把不需要自动运行的项目前的勾勾取消掉,确定,重启生效.
为什么电脑中的某些进程结束后,再重新开机它们又出现了,请问如何彻底结 ...
有些进程是系统开机或者运行中需要的,当然再开机就会出来,你可以借助一些软件先设置下开机自动运行的程序,把你不需要它启动的就不要启动,如果那可疑进程还出来并且不是系统进程的话,你可以去计算机的控制面板里的数据源里结束它的服务,禁止它启动 ...
相似回答
