What is this Process and Why is it Running【二】

WmiPrvSE.exe

WMI 即 Windows Management Instrumentation（Windows 管理規範）的簡寫，是 Windows 操做系統的一項內置功能，它爲軟件和管理腳本提供了一種標準化方法，WMI Provider Host進程是Windows的重要組成部分，一般在後臺運行，旨在幫助Windows PC上的其餘應用來請求當前系統的各類信息，通常狀況下，這個過程一般不會使用不少系統資源，但若是調用請求的應用、代碼或腳本寫得很差的話，則可能致使 WmiPrvSE.exe 佔用很高的 CPU 資源。

對於集中管理Windows PC的企業或團體來講，WMI是一個特別有用的功能，IT Pro能夠經過腳本請求信息並在管理控制檯中以標準方式輸出顯示。即使在我的用戶的家用電腦上，某些軟件也會經過 WMI 接口來請求有關操做系統的信息。本身可使用WMI來查找有用的信息，獲取電腦的序列號，查看主板型號，或是硬盤的SMART運行情況等，運行WMI的工具－WMIC

長時間處於CPU高佔狀態

打開電腦的服務，點擊關閉服務就行。對於這種狀況通常是由於其調用其它WMI程序引發的，而非WMI　Provider自己，因此可使用 Eventvwr.msc 打開「事件查看器」，導航到「應用程序和服務日誌」——「Microsoft」——「Windows」——「WMI-Activity」——「操做」，在錯誤日誌的 ClientProcessId 字段中能夠查看到引發問題的進程 PID。正常狀況下這個進程是不容許禁止的,會影響到其餘服務.

RuntimeBroker

此進程是Windows8以上系統纔會出現的進程,用來進行開始屏幕磁貼與桌面的後臺交互,若是沒有運行任何磁貼程序應用的話,可能不會出如今進程中.

一樣的,當系統出現該進程佔用內存過高,應該是磁貼應用沒有完全關閉.

重複出現和CPU大量佔用

對於此進程,若是出現佔用CPU和磁盤很是大的狀況,不能武斷的關閉, 即便關閉了也會從新出現. 由於其做爲系統的核心進程,是不能隨便禁止的.而應該關掉照片裏的自我加強和連接的重複文件.

SystemSettingsBroker.exe

進程 System Settings Broker 是附屬於軟件 Microsoft Windows Operating System 由 Microsoft (www.microsoft.com) 發行,SystemSettingsBroker.exe 對於Windows很重要.

軟件開發商Microsoft提供直接支持
(www.microsoft.com/windows). 若是對於SystemSettingsBroker.exe有問題, 您能夠經過控制面板來刪除整個Microsoft Windows,或者檢查是否有新版本能夠更新.

假裝

有些病毒軟件假裝成 SystemSettingsBroker.exe,能夠利用工具Security Task Manager來檢查計算機.

CompatTelRunner.exe

Microsoft Compatibility Telemetry（微軟兼容性檢測）是微軟旗下的一個監測數據收集服務，若是加入Microsoft客戶反饋改善計劃，該服務就會在檢測系統異常並收集反饋到微軟。

網友大多數都建議將此服務禁止，我選擇了設置爲手動，即在啓動以後不會再出現佔用100%的情形，一旦須要能夠直接手動改開啓便可。若是想要直接禁止掉的，那麼除了這個服務，還包括Diagnostic Policy Service ，Diagnostic Service Host兩個服。

Likewise, if not disable, the file transfers the telemetry data, technical data about your operating system to micrisift. The app also restarts with each new windows log-in session despite the attempts to disable the task completely.

If you happen to be one of them and intend to terminate the application permanently…

【https://ugetfix.com/ask/how-to-disable-microsoft-compatibility-telemetry-compattelrunner-exe/】

ntoskrnl.exe Registry

Windows 10是一個大型操做系統，但它如何處理內存操做呢？這能夠歸功於ntoskrnl.exe內存處理程序。Ntoskrnl.exe（Windows NT操做系統內核的縮寫）也稱爲內核映像，是一個系統應用程序文件，提供Windows NT內核空間的內核和執行層，負責各類系統服務【附加：內存管理的工做原理】，是系統的重要組成部分。

ntoskrnl.exe是一個受系統保護的文件，不會輕易被刪除或損壞。但一旦損壞，ntoskrnl.exe將發生故障而且不知道何時寫入RAM或何時釋放RAM空間。這可能會致使堆積數據和內存頁面，從而使CPU更難以管理此內存空間。您的硬盤驅動器可能會因一樣的緣由而填滿。它管理內存，但常常會出現佔用過大內存的狀態，嚴重的狀況一般是由硬件和惡意軟件引發的內存泄漏引發的。

**當心在線分發的共享軟件和免費軟件**。
他們可能故意將本身嵌入到ntoskrnl.exe系統文件中，或者劫持此文件的功能致使內存泄漏。
它也可能會改變它們的可執行文件註冊表。這意味着ntoskrnl.exe沒法按預期繼續工做。
因爲惡意軟件旨在損害您的計算機，所以它容許將數據流式傳輸到RAM中，但不容許任何其餘內容。
該病毒也可能正在積極寫入ntoskrnl.exe擁有的內存空間。
這會填滿你的內存並致使大量的CPU使用。保存到HDD的頁面可能會填滿您的存儲空間。

參考：https://appuals.com/high-cpu-or-disk-usage-by-ntoskrnl-exe-on-windows-10/

dllhost.exe

是操做系統的一部分，運行COM+的組件，用於管理DLL應用，運行web和http服務器必須建基於它。

關於dllhost.exe的誤區

1. 是病毒文件的存在，好多網上的資料直接指定其爲病毒文件，然年後提供刪除操做，實際上，這是系統的組成部分，不必定是病毒；
2. 此進程不是沒用的，有好多程序運行都須要此進程的存在。

判斷dllhost.exe文件是否是病毒文件的方法：
看位置，通常狀況下會出如今system32中dllcache文件下，若是右鍵找到詳細位置發如今其餘位置，則有多是病毒。

mDNSResponder.exe

mDNSResponder.exe是Apple出品的Bonjour一個組件，在任務進程中以Bonjour Service顯示，mDNSResponder（Bonjour Multicast Domain Name System Responder）。當用戶安裝某些軟件（例如：iTunes，Adobe Creative Suite CS3），這個程序就被一塊兒安裝。它能夠查找本地網絡的計算機和打印機。

這個文件不知Windows的核心文件，能夠這麼說，這個文件不被Windows須要

有些病毒軟件假裝成 mDNSResponder.exe, 尤爲是處於windows 或system32目錄下 . 所以,須要檢查計算機中的mDNSResponder.exe進程,確保它不是病毒. 推薦使用Security Task Manager來確保您的計算機安全.

此文件威脅程度排序（從大到小）：

C:\Program Files\Common Files  >  C:\Program Files  > C:\Users\username

sedsvc.exe

sedsc.exe對於Windows操做系統不是必須的，而且致使相對較少的問題，存放在C盤下，有十多種變體，在PC上做爲sedsvc服務運行，該服務能夠修復Windows Update組件，該程序不可見，不是Windows系統文件，且該文件具備數字簽名，安全性較差。

檢查

該文件有可能時病毒假裝而成，尤爲是當其存在於Windows或者system32文件目錄下的時候，能夠經過檢查進程中的sedsvc.exe進程是否異常，或者下載Security Task Manager工具進行檢查。

To help you analyze the sedsvc.exe process on your computer, the following programs have proven to be helpful: ASecurity Task Manager displays all running Windows tasks, including embedded hidden processes, such as keyboard and browser monitoring or Autostart entries. A unique security risk rating indicates the likelihood of the process being potential spyware, malware or a Trojan. BMalwarebytes Anti-Malware detects and removes sleeping spyware, adware, Trojans, keyloggers, malware and trackers from your hard drive.【來自https://www.file.net/process/sedsvc.exe.html】

nidmsrv.exe

此應用程序是國家儀器公司的一個後臺進程，提供了一種專門爲NI共享變量創建域服務器的方法。在運行過程當中經過端口鏈接LAN和INTERNET，若是中止或禁用此服務，則在配置共享變量安全性時，此計算機將沒法充當域。一樣的也不是Windows操做系統必須的，在PC中以NIDomain Service運行。一樣的該程序沒有可見的窗口，能夠像應用同樣直接在控制面板中刪除。

檢查

一樣的，對於此進程，也是數字簽名的，判斷方法同上。

nidmsrv.exe

National Instruments Domain Service

lkcitdl.exe

Lookout Citadel Server

nisvcloc.exe

NI Service Locator

lktsrv.exe

National Instruments Time Synchronization

lkads.exe

National Instruments PSP Server Locator

以上五項是National Instruments安裝後，在系統啓動後多出的5個進程，涉及到五項服務，應改成手動並關閉【在個人電腦右鍵屬性中，找到服務，將此五項服務的服務改成手動】

附加： 1.內存管理的工做原理：任務將與將執行此任務的程序一塊兒加載到內存（RAM）中。這是獲取部分。CPU對其進行解碼，執行任務並將結果記錄到內存中，而後由加載的程序將其記錄到磁盤中。執行部分能夠訪問多個設備，包括GPU，CPU，磁盤空間（ROM或HDD，SSD等），網絡設備和更多設備，具體取決於正在執行的任務。當程序關閉時，它將從內存（RAM）中及其正在處理的數據中卸載。如今能夠釋放空間以供其餘任務使用。