系统服务七宗罪

woxihuan2011

作者:微软MVP盆盆原发表于<<电脑爱好者>
  暴食、贪婪、懒惰、嫉妒、骄傲、愤怒，这是电影《七宗罪》中描述的人类的七项罪行。现在，Windows中的系统服务也面临着七宗罪的审判，系统服务的七项最常见故障，急待你的救赎……

罪行一
错误提示:系统找不到指定的文件  错误代码:2
故障现象:尝试在“服务”管理单元窗口手动启动服务时，系统提示“错误2:系统找不到指定的文件”。
原因分析:
(1)服务的可执行文件丢失或者被破坏。
(2)服务相关注册表键值ImagePath的数值数据被篡改，导致SCM(服务管理器)无法加载服务的可执行文件。
在“服务”管理单元窗口里可以看到每个服务的可执行文件路径，请仔细检查可执行文件所在路径(见图1)，如果和参照系统的正确配置不符合，说明注册表键值ImagePath的数值数据有误。如果此处的配置没有问题，则说明可执行文件丢失或者被破坏。





解决办法:以“Task Scheduler”服务为例。如果注册表键值ImagePath的数值数据被篡改，可以运行regedit.exe打开“注册表编辑器”定位至[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSchedule]，在右侧窗格中将ImagePath键值数值修改为正确的值，并重启系统。也可以借助sc命令，运行CMD打开“命令提示符”，在其中键入“sc config Schedule binpath= " %SystemRoot%System32svchost.exe -k netsvcs "”(不含最外侧中文引号)。如果是可执行文件svchost.exe丢失或破坏，请用正确的副本进行替换，并重启系统。

罪行二
错误提示:服务没有及时相应启动或控制请求 错误代码:1053
故障现象:尝试在“服务”管理单元窗口手动启动服务时，系统提示“错误1053:服务没有及时相应启动或控制请求”。
原因分析:在图1所示的界面中可以看到可执行文件的附加命令参数配置有误，所以在启动时会导致问题。
解决办法:参照上文中的方法进行排错。

罪行三
错误提示:配置成在该可执行程序中运行的这个服务不能执行该服务 错误代码:1083
故障现象:尝试在“服务”管理单元窗口手动启动服务时，系统提示“错误1083:配置成在该可执行程序中运行的这个服务不能执行该服务”。

原因分析:该故障通常在由svchost服务宿主进程所启动的服务上发生。Windows XP SP2最多可以启动七个svchost进程实例，分别负责启动一组服务。每个svchost实例负责启动的服务由以下注册表中[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost]下的键值决定，其下共有7个键值:DcomLaunch、HTTPFilter、imgsvc、LocalService、netsvcs、NetworkService、rpcss和termsvcs。每个键值都定义了一个或者多个服务，也就是对应每个svchost进程实例所能启动的一组服务。本例中“Task Scheduler”服务的可执行程序参数是“svchost.exe -k netsvcs”，对应的svchost进程在启动该服务之前，会先到[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost]下的netsvcs键值里查找是否有该服务的定义，如果没有，就会出现该故障现象。
解决办法:运行services.msc，找出并打开该服务的属性对话框，查看其可执行程序的命令参数(本例是netsvcs)，然后展开注册表分支[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionSvcHost]，在右侧窗格中找到并双击netsvcs，在其数值数据里添加该服务名即可，本例是Schedule(见图2)，最后重启系统。




[Page: ]
罪行四
错误提示:找不到指定的模块  错误代码:126
故障现象:尝试在“服务”管理单元窗口手动启动服务时，系统提示“错误126:找不到指定的模块”。
原因分析:该故障通常在由svchost服务宿主进程所启动的服务上发生。这一类服务，其实是以DLL模块的形式插入某个svchost进程。如果该DLL文件被破坏，或者注册表的相关键值被篡改，就可能导致问题。
有不少网友抱怨无法打开“磁盘管理”窗口，寻根溯源发现是“Logical Disk Manager”服务无法启动所导致，而这种情况则有可能是木马PCShare感染造成的，木马修改了“Logical Disk Manager”服务的注册表键值，将[HKLMSYSTEMCurrentControlSetServicesdmserverParameters]下的ServiceDll键值指向木马文件。后来由于木马文件被杀毒软件删除，但是未能修正注册表键值，导致无法打开“磁盘管理”。
解决办法:确保[HKLMSYSTEMCurrentControlSetServicesdmserverParameters]下ServiceDll键值的数值数据修改为“%SystemRoot%System32dmserver.dll”，如果注册表键值没有问题，请用正确的文件副本替换原来的dmserver.dll文件，并重启系统。

罪行五
错误提示:此服务的账户不同于运行于同一进程上的其他服务的账户 错误代码:1079
故障现象:尝试在“服务”管理单元窗口手动启动服务时，系统提示“错误1079:此服务的账户不同于运行于同一进程上的其他服务的账户”。
原因分析:该故障通常在由svchost服务宿主进程所启动的服务上发生。刚才说过Windows XP SP2最多可以启动七个svchost进程实例，分别负责启动一组服务。一组服务中的每个服务必须和对应的svchost进程实例运行在同一个启动账户下。例如Alert服务属于LocalService组的服务，其对应的svchost进程实例运行在LocalService账户下，如果错误地将Alert服务的启动账户修改为别的账户，例如Local System账户，就会报错。
解决办法:首先根据该服务的可执行文件路径属性找到其所属的服务组，例如Alert服务属于LocalService的服务组，然后确定同一组的其他服务的启动账户，将其修改为相同的启动账户即可。

罪行六
错误提示:依存服务或组无法启动  错误代码:1068
故障现象:尝试在“服务”管理单元窗口手动启动服务时，系统提示“错误1068:依存服务或组无法启动”。
原因分析:某些服务依赖于其他服务或者驱动，只有这些依赖的服务或者驱动都启动成功，该服务才能顺利启动，否则就会报1068的错误。
解决办法:首先我们要对这些不能启动的依赖服务或驱动进行排错，可能有以下原因:
(1)由第三方应用程序向系统服务添加额外的依赖服务，一旦这些额外的依赖服务出错或者被删除，而注册表中的相关键值并没有做相应的改动，则会导致问题。
(2)这些依赖的服务或者驱动被标志为禁用。
对于第(1)种情况，这里有一个实例，打印机是Legend LX1+1 1201i-2401i，现在无法正常使用，在“事件查看器”里的错误日志如下:

事件来源: Service Control Manager
事件种类: 无
事件 ID: 7003
日期: 2006-3-22
事件: 17:57:45
用户: N/A
描述: Print Spooler 服务和下列不存在的服务存在相依的关系: LexBceS

此联想打印机其实是利盟OEM的，所以系统会安装利盟的驱动程序，该第三方的驱动程序会给系统的Print Spooler服务添加一个新的依赖服务LexBceS，由于某种原因，该依赖服务LexBceS破坏，连累Print Spooler服务启动失败。可以在“命令行提示”窗口运行“sc config spooler depend= RPCSS”(不含引号)命令恢复Windows默认的依赖关系(Print Spooler服务默认依赖RPCSS服务):
当然也可以在“注册表编辑器”将[HKLMSYSTEMCurrentControlSetServicesSpooler]下的DependOnService键值修改为RPCSS，删除其他任何的依赖服务。

罪行七
错误提示:未知的验证服务  错误代码:1747
故障现象:尝试在“服务”管理单元窗口手动启动服务时，系统提示“错误1747:未知的验证服务”。
原因分析:未安装Microsoft网络客户端，就会导致某些服务无法启动，这些服务可能是WWW、FTP、IPSec Service等和网络有关的服务。
解决方法:打开“网络连接”，打开任意连接的属性，然后在“常规”选项卡中安装或者重装Microsoft网络客户端，重新启动即可解决问题。

     

8191

七宗罪
我还以为是……
算了，学习下

woxihuan2011

8191 发表于 2012-9-18 22:26
七宗罪
我还以为是……
算了，学习下

湿湿?

8191

woxihuan2011 发表于 2012-9-18 22:32
湿湿?

是的