svchost.exe进程正常情况下有几个，并且如何判断是否为木马

schost.exe太多了。。。。。

已解决问题 收藏 转载到QQ空间 病毒杀不掉，路径svchost.exe>>c:\window.1|system32\s...hack.exploit.w，还有一个隐藏病毒？ [ 标签：svchost.exe system,window,system ] 问题补充 2009-08-19 20:41 瑞星每天杀一遍都是这两个病毒加一个隐藏病毒，每次杀掉还有，删除染毒文件也不行 juju 回答:4 人气:4 解决时间:2009-08-20 15:59 满意答案 一、SVCHOST.EXE分析

　　Svchost.exe其实是windows操作系统一个非常重要的进程模块。由于该模块的重要性很多病毒都想利用svchost.exe来迷惑大家。但是只要我们仔细观察就会知道是不是病毒。正常的svchost.exe在XP操作系统下有五到六个，SYSTEM用户名下有3个svchost.exe。 LOCAL SERVICE用户名下有一个svchost.exe。NETWORK SERVICE用户名下有一个svchost.exe。其他系统也是大致如此，他们的用户名都是LOCAL SERVICE、NETWORK SERVICE 、SYSTEM这三个。如果不是这三个那么就有可能是病毒了。而且还有一个非常重要的就是正常的svchost.exe这个程序是在windowssystem32这个目录下。这就说明如果你的svchost.exe不在这个目录下那肯定就是病毒了。进程里面的svchost.exe个数不重要，关键看他是什么用户名而且位置是不是在windowssystem32这个目录下。

　　二、SVCHOST.EXE病毒

　　通常情况下svchost.exe不会是病毒的。那么病毒程序编写者没有办法覆盖系统的svchost.exe这个程序。他们一般是采用混淆的方式，让用户产生错觉。一般是把svchost.exe里面的o改成0。注意一个是欧一个是零。改成这样svch0st.exe，让你很难看出来的!

　　三、SVCHOST.EXE病毒查杀、专杀。

　　SVCHOST.EXE这个病毒一般有以下几种情况

　　1、 直接是SVCHOST.EXE这个文件但放在其他目录下。清除方法直接查找SVCHOST.EXE这个文件。windowssystem32目录下除外，其他目录下的SVCHOST.EXE全部删除掉。

　　2、 SVCHOST.EXE把里面的O变成0。即SVCH0ST.EXE。知名的网银大盗病毒就是这样。有些不一定便O而是把里面加一个字母或者增加一个字母之类的病毒。比如SVCHAOST.EXE。达到迷惑计算机用户。这种病毒发作力不强。一般就是盗窃用户键盘输入信息并且发送信息到指定的邮箱中去。这种病毒各大流行杀毒软件都能很好的解决。只要把杀毒软件病毒库更新到最新就可以彻底解决这种病毒。

　　3、 SVCHOST.EXE进程CPU使用率100%。出现这种情况一边不是SVCHOST.EXE本身出问题了。而是系统的某个进程大量使用这个进程导致的。比如某个模块大量使用网络资源。举个例子吧比如杀毒软件自动更新程序。这个适合你可以把应用程序一个一个结束调，然后在查看SVCHOST.EXE这个进程CPU使用率还是不是100%就可以判断到底是那个程序出问题了。

　　确实仍然没有办法解决的话可以到微软网站更新这个程序!

回答人的补充 2009-08-19 20:42

看看这个

1.假冒Svchost.exe程序的病毒
　　运行的病毒并没有直接利用真正的Svchost.exe，而是启动了一个名称同样是Svchost.exe的病毒进程，由于没有加载系统服务，它和真正的 Svchost.exe进程是不同的，只需在命令行窗口中运行一下“Tasklist /svc”，如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”，而不是一个具体的服务名，那么它就是病毒进程了，记下这个病毒进程对应的PID数值(进程标识符)，即可在任务管理器的进程列表中找到它，结束进程后，在C盘搜索Svchost.exe文件，也可以用第三方进程工具直接查看该进程的路径，正常的Svchost.exe文件是位于% systemroot%System32目录中的，而假冒的Svchost.exe病毒文件则会在其他目录。
　　2:一些高级病毒则采用类似系统服务启动的方式，通过真正的Svchost.exe进程加载病毒程序，而Svchost.exe是通过注册表数据来决定要装载的服务列表的，所以病毒通常会在注册表中采用以下方法进行加载：
　　添加一个新的服务组，在组里添加病毒服务名
　　在现有的服务组里直接添加病毒服务名
　　修改现有服务组里的现有服务属性，修改其“ServiceDll”键值指向病毒程序

　　病毒程序要通过真正的Svchost.exe进程加载，就必须要修改相关的注册表数据，可以打开[HKEY_LOCAL_MACHINESoftware MicrosoftWindowsNTCurrentVersionSvchost]，观察有没有增加新的服务组，同时要留意服务组中的服务列表，观察有没有可疑的服务名称，通常来说，病毒不会在只有一个服务名称的组中添加，往往会选择LocalService和netsvcs这两个加载服务较多的组，以干扰分析。还有通过修改服务属性指向病毒程序的，通过注册表判断起来都比较困难，这时可以利用前面介绍的服务管理专家，分别打开 LocalService和netsvcs分支，逐个检查右边服务列表中的服务属性，尤其要注意服务描述信息全部为英文的，很可能是第三方安装的服务，同时要结合它的文件描述、版本、公司等相关信息，进行综合判断。

Svchost.exe病毒的清除方法：

　　1、用unlocker删除类似于C:SysDayN6这样的文件夹：例如C:Syswm1i、C:SysAd5D等等，这些文件夹有个共同特点，就是名称为 Sys*** （***是三到五位的随机字母），这样的文件夹有几个就删几个。
　　2、开始——运行——输入“regedit”——打开注册表，展开注册表到以下位置：
　　HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
　　删除右边所有用纯数字为名的键，如
　　<66><C:SysDayN6svchost.exe>
　　<333><C:Syswm1isvchost.exe>
　　<50><C:SysAd5Dsvchost.exe>
　　<4><C:SysWsj7svchost.exe>
　　3、重新启动计算机，病毒清除完毕。 完善答案 天逸 回答采纳率:19.5% 2009-08-19 20:41 评价答案

• 是否解决问题(参与评价0次)


• 能 解 决： 0次 评价成功原创加2!


• 部分解决： 0次 评价成功原创加2!


• 不能解决： 0次 评价成功原创加2!

• 是否原创答案(参与评价0次)


• 原 创： 0次 评价成功原创加2!


• 非原创： 0次 评价成功原创加2!

满意答案首先，请您不用惊慌，仔细看完下面的介绍：

教你全面认识系统“svchost”进程

很多朋友对svchost.exe进程都不太了解，有时在任务管理器中一旦看到有多个该进程，就以为自己的电脑中了病毒或木马，其实并非如此！正常情况下，Windows中可以有多个svchost.exe进程同时运行，例如Windows 2000至少有2个svchost进程，Windows XP中有4个以上，Windows 2003中则有更多，所以当你看到多个svchost进程时，未必就是病毒！



svchost.exe进程是干什么的？
svchost.exe文件存在于“%system root%\system32”（例如C:\Windows\system32）目录下，它是Windows NT核心的重要进程（Windows 9X没有该进程），专门为系统启动各种服务的。例如svchost.exe调用rpcss.dll文件，就会启动rpcss服务（remote procedure call）。
svchost.exe实际上是一个服务宿主，它本身并不能给用户提供任何服务，但是可以用来运行动态链接库DLL文件，从而启动对应的服务。svchost.exe进程可以同时启动多个服务。
svchost是如何启动系统服务的？
由于系统服务都是以动态链接库(DLL)形式实现的，它们把可执行程序指向svchost，因此svchost只要调用某个动态链接库，即可启动对
应的服务。那么svchost启动某服务时，又是如何知道应该调用哪个动态链接库？由于系统服务在注册表中都设置了相关参数，因此svchost通过读取某服务在注册表中的信息，即可知道应该调用哪个动态链接库，从而启动该服务。
下面我们以svchost启动helpsvc(Help and Support)服务为例，介绍其启动服务的方法。在Windows XP中点击“开始” “运行”，输入“services.msc”命令，弹出服务对话框，然后双击打开“Help and Support”服务属性对话框，可以看到helpsvc服务的可执行文件的路径为“C:\WINDOWS\System32\svchost.exe -k netsvcs” 说明helpsvc服务是依靠SVCHOST调用“netsvcs”参数来实现的，而参数的内容则是存放在系统注册表中的。


在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc]项，找到类型为“REG_EXPAND_SZ”的键“magePath”，其键值为“%SystemRoot%\System32\svchost.exe -k netsvcs”(这就是在服务窗口中看到的服务启动命令)，另外在“Parameters”子项中有个名为“ServiceDll”的键，其值为“%WINDIR%\PCHealth\HelpCtr\Binaries\pchsvc.dll”，其中“pchsvc.dll”就是helpsvc服务要使用的动态链接库文件。这样SVCHOST进程通过读取“helpsvc”服务注册表信息，就能启动该服务了。

svchost到底启动了哪些服务？
如果你想了解每个SVCHOST进程当前到底提供了哪些系统服务，可以在命令提示符下输入命令来查看。例如在Windows XP中，打开“命令提示
符”，键入tasklist /svc命令查看；在Windows 2000中，则输入“Tlist -S”命令来查看。
如果你在Windows XP中，想得到所有进程的详细信息，可以打开“命令提示符”，键入tasklist /svc >abc.txt 命令，于是在当前目录中，将会生成一个abc.txt文件，其内容就是当前正在运行的所有进程情况，例如进程名、PID号、该进程启动了哪些服务。

需要注意的部分：
========================================================================================================
如何发现svchost进程有问题？
由于svchost进程可以启动各种服务，因此病毒、木马也经常伪装成系统的DLL文件，使svchost调用它，从而进入内存中运行、感染和控制电
脑。
建议你使用“Windows优化大师”进程管理器（可以到《个人电脑》的下载频道 http://download.pcpro.com.cn的“系统工具”中去下载），查看所有svchost进程的执行文件路径，正常的svchost文件应该存在于“c:\Windows\system32”目录下，如果你发现其执行路径在其他目录下，就有可能染上了病毒或木马了，应该马上进行检测和处理。

svchost进程杀不掉怎么办？
====================================================
如果有些svchost进程，你在任务管理器中无法关闭之，可以使用ntsd命令来杀掉它，方法如下：

首先需要了解欲杀的svchost进程，其PID是多少？在Windows XP下，按Ctrl+Alt+Del打开任务管理器，点击“进程选项卡” “查看” “选择列”，在弹出的窗口，勾选“PID（进程标识符）”，然后回到任务管理器中，即可看见PID了（例如要杀的svchost进程，其PID是844）。
接下来关闭该进程。点击“开始” “程序” “附件” “命令提示符”，在命令提示符下，输入命令ntsd -c q -p 844即可杀掉svchost进程（PID是844）。
小提示：除了System、SMSS.EXE和CSRSS.EXE这三个进程，ntsd命令可以杀掉任何一个系统进程。从Windows 2000开始，微软就提供了ntsd工具，该命令执行后，可让你获得系统的debug权，因此能够用来关闭大部分的系统进程，如果你遇到无法关闭的进程，就可以使用该命令，其杀进程的命令格式为：ntsd -c q p XXX
以上XXX为欲杀进程的PID；
ntsd p XXX 表示在调试器中打开某进程（PID为XXX）；
而-c q参数则表示退出调试器。由于调试器关