SVCHOST

Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务，以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。windows 2k一般有2个svchost进程，一个是RPCSS（Remote Procedure Call）服务进程，另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中，则一般有4个以上的svchost.exe服务进程，windows 2003 server中则更多。由于Svchost.exe进程的特殊性，所以病毒也会千方百计的入侵Svchost.exe。通过察看 Svchost.exe进程的执行路径可以确认是否中毒。如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索 Svchost.exe文件就可以发现异常情况。一般只会在C:\Windows\System32目录下找到一个Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了


如何辨别Svchost.exe进程是否正常？
既然系统中Svchost.exe进程数与是否中毒无关，我们究竟如何区别正常的和病毒伪造的Svchost进程呢？ 我们可以使用下面两种方法来鉴别： 方法一： 在系统所在分区进行搜索，如果发现多个Svchost.exe文件，则系统很有可能中毒。正常的Svchost.exe位于%windir% system32目录下，如果发现其它目录中有Svchost.exe文件，你就要小心了。例如冲击波的变种Win32.Welchia.Worm会在% windir%system32wins目录种下Svchost.exe文件。 方法二： 察看Svchost.exe进程对应文件的路径。 Windows XP自带的任务管理器中无法察看，我们需要借助第三方工具，例如Windows优化大师自带的进程管理工具，运行它后定位到Svchost.exe进程，可以看到它对应的运行文件的真实路径。


Svchost.exe解决方法如下：
Windows 进程分为独立进程和共享进程两种，Svchost.exe属于后者。Windows XP为了节约系统资源，将很多个系统服务做为共享方式由Svchost.exe来启动。Svchost本身只是作为服务宿主，并不能实现任何服务功能， svchost通过调用相应服务的动态链接库（DLL）来启动该服务，而Windows将这些服务分为几个组，同组的服务共享一个Svchost进程，不同的组所指向的Svchost不同。通常情况下，Windows XP有4个由Svchost启动的服务组，也就是说Windows XP系统一般有4个Svchost.exe进程。当然某些应用程序或服务也有可能会调用Svchost，所以当你看到系统中有多余4个的 Svchost.exe进程，也不要盲目判断系统中了病毒。实际上Svchost.exe进程的个数跟是否中毒无直接关系。

Svchost.exe第二种解决方法：
在开始菜单的运行中输入cmd，出现命令行提示，输入命令“tasklist /svc >c:\1.txt”（例如：C:\Documents and Settings\Administrator>tasklist /svc >c:\1.txt），就会在C盘根目录生成1.txt文件，打开1.txt可以看到如下内容：查找svchost.exe的PID值和服务名称。
图像名 PID 服务
System Idle Process 0 暂缺
System 4 暂缺
smss.exe 1168 暂缺
csrss.exe 1228 暂缺
winlogon.exe 1260 暂缺
services.exe 1308 Eventlog, PlugPlay
lsass.exe 1320 PolicyAgent, ProtectedStorage,
SamSs
ibmpmsvc.exe 1484 IBMPMSVC
ati2evxx.exe 1520 Ati HotKey Poller
svchost.exe 1544 DcomLaunch, TermService
svchost.exe 1684 RpcSs
svchost.exe 380 AudioSrv, BITS, Browser,
CryptSvc, Dhcp, EventSystem,
FastUserSwitchingCompatibility, helpsvc, lanmanserver,
lanmanworkstation, Netman, Nla, RasMan, Schedule,
seclogon,
SENS, SharedAccess,
ShellHWDetection, TapiSrv, Themes, TrkWks,
W32Time, winmgmt, wscsvc, wuauserv, WZCSVC
btwdins.exe 420 btwdins
ati2evxx.exe 456 暂缺
EvtEng.exe 624 EvtEng
S24EvMon.exe 812 S24EventMonitor
svchost.exe 976 Dnscache
svchost.exe 1192 Alerter, LmHosts,
RemoteRegistry, SSDPSRV, WebClient
spoolsv.exe 1852 Spooler
IPSSVC.EXE 272 IPSSVC
AcPrfMgrSvc.exe 288 AcPrfMgrSvc
guard.exe 1064 AVG Anti-Spyware Guard
avp.exe 1124 AVP
mDNSResponder.exe 1284 Bonjour Service
inetinfo.exe 1848 IISADMIN, W3SVC
ibguard.exe 3464 InterBaseGuardian
RegSrvc.exe 3556 RegSrvc
svchost.exe 3596 stisvc
SUService.exe 3968 SUService
TPHDEXLG.exe 3788 TPHDEXLGSVC
TpKmpSvc.exe 3804 TpKmpSVC
tvtsched.exe 3836 TVT Scheduler
wdfmgr.exe 3920 UMWdf
vmware-authd.exe 3956 VMAuthdService
vmount2.exe 3576 vmount2
vmnat.exe 4112 VMware NAT Service
vmnetdhcp.exe 4360 VMnetDHCP
AcSvc.exe 4388 AcSvc
ibserver.exe 4684 InterBaseServer
explorer.exe 5416 暂缺
alg.exe 5704 ALG
SynTPEnh.exe 3776 暂缺
SvcGuiHlpr.exe 4912 暂缺
TPHKMGR.exe 5088 暂缺
UNavTray.exe 5120 暂缺
TpShocks.exe 5136 暂缺
TPONSCR.exe 4532 暂缺
avp.exe 4648 暂缺
TpScrex.exe 4412 暂缺
CRavgas.exe 5196 暂缺
ctfmon.exe 5284 暂缺
VStart.exe 6020 暂缺
QQ.exe 6124 暂缺
TXPlatform.exe 5584 暂缺
dllhost.exe 4164 COMSysApp
davcdata.exe 1232 暂缺
Maxthon.exe 2212 暂缺
EmEditor.exe 2004 暂缺
cmd.exe 6360 暂缺
conime.exe 2928 暂缺
wmiprvse.exe 5552 暂缺
tasklist.exe 1900 暂缺
****************************************************************************** 如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”，而不是一个具体的服务名，那么它就是病毒进程了，记下这个病毒进程对应的PID数值(进程标识符)，即可在任务管理器的进程列表中找到它，结束进程后，在C盘搜索Svchost.exe文件，也可以用第三方进程工具直接查看该进程的路径，正常的Svchost.exe文件是位于%systemroot%\System32目录中的，而假冒的Svchost.exe病毒或木马文件则会在其他目录，例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在Windows\System32\Wins目录中，将其删除，并彻底清除病毒的其他数据即可