網(wǎng)上有很多關(guān)于svchost.exe是什么進程,svchost.exe是什么病毒,svchost.exe占用cpu100%或占用大量內(nèi)存��,svchost.exe有十幾個���,svchost.exe偷偷連網(wǎng)很象木馬的問題�,本文提供關(guān)于svchost.exe進程的所有信息和用各種專業(yè)軟件進行查殺的方法�����。
1)svchost.exe是什么進程
Svchost.exe是微軟視窗操作系統(tǒng)里的一個系統(tǒng)進程����,管理通過Dll文件啟動服務(wù)的其它進程,一些病毒木馬偽裝成系統(tǒng)dll文件通過Svchost調(diào)用它�,試圖隱藏自己。每個svchost可以同時調(diào)用多個dll文件���,啟動多個服務(wù)���。3FB76BB1E33F840016BB4BE71E4EE8C8
【
誰都別牛,代替360和代替QQ的軟件同分享:
http://blog./2010_1698.html】
【
最好的替代QQ|取代QQ的軟件:
http://blog./2010_1700.html】
2)svchost.exe文件的位置
svchost.exe位于C:\WINDOWS\system32文件夾下面(假如你的系統(tǒng)安裝在C:\WINDOWS目錄)����,同時在C:\WINDOWS\system32\dllcache下面有一個備份。
3)svchost.exe進程應(yīng)該有幾個
Windows 2000有2個以上svchost進程����,Windows XP有4個以上,Windows Vista系統(tǒng)svchost進程有12個以上����。因此在任務(wù)管理器里看到多個svchost.exe并不代表他們就是病毒。
4)什么樣的svchost.exe是病毒
C:\WINDOWS\system32文件夾下面的svchost.exe文件�����,病毒一般是無法替換的�����,除了這個目錄和C:\WINDOWS\system32\dllcache目錄���,其它目錄下面都不應(yīng)該存在svchost.exe文件�����,如果有不是病毒就是木馬����,可放心刪除。如果無法刪除��,請用unlocker(http://blog./2009_774.html)等軟件強行刪除�����。
AVG9.0發(fā)布-最強的殺毒軟件下載優(yōu)秀的免費殺毒軟件PC Tools AntiVirus Free Edition(附下載)迪廳美女忘情的瘋狂熱舞��!
此外由于svchost.exe中間的o容易被0(零)冒充����,所以有不少蠕蟲,病毒冒充���,它們的名字有:svch0st.exe����、schvost.exe��、scvhost.exe��,要注意仔細辨別���,防止漏網(wǎng)之魚�����。
5)查看通過svchost.exe啟動的病毒
查看通過svchost.exe啟動的服務(wù)有多種方法��,在Windows 2000中��,可以運行cmd�,然后輸入tlist -s命令來查看����,在Windows XP和Vista中,可以通過tasklist /svc命令查閱����。
十個最好的免費殺毒軟件下載:http://blog./2009_1093.html
除了以上兩個命令,還可以通過svchost viewer(點擊下載)查看����,如圖:
左邊是svchost.exe和通過其啟動的服務(wù)列表,選中一項可以在右邊查看詳細信息��,如當前svchost.exe啟動了AudioSrv, BITS, Browser, CryptSvc, Dhcp, dmserver, EventSystem, FastUserSwitchingCompatibility, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, TapiSrv, Themes, TrkWks, winmgmt, WZCSVC等服務(wù)����,其中Browser服務(wù)是通過C:\WINDOWS\system32\svchost.exe -k netsvcs命令啟動的��,描述是:維護網(wǎng)絡(luò)上計算機的更新列表�,并將列表提供給計算機指定瀏覽����。如果服務(wù)停止,列表不會被更新或維護��。如果服務(wù)被禁用����,任何直接依賴于此服務(wù)的服務(wù)將無法啟動。
OK�����,這些描述都是這個dll文件自稱的��,任何病毒都可以這么寫�,那么我們?nèi)绾沃繠rowser服務(wù)是svchost.exe調(diào)用的哪個dll文件啟動的呢?svchost viewer并沒有告訴我們�。
這時我們可以通過Process Explorer(點擊下載)軟件來偵察,啟動Process Explorer后����,主窗口會列出所有運行的進程�,鼠標移動上去會顯示進程對應(yīng)的文件的完整路徑����,和它啟動的服務(wù)(如果有的話),如圖:
我們選中服務(wù)最多的那個svchost.exe進程����,右鍵菜單查看屬性(Properties)���,單擊Services(服務(wù))標簽���,可以看到熟悉的列表了:AudioSrv, BITS, Browser…等等服務(wù)盡收其中,Browser是c:\windows\system32\browser.dll提供的服務(wù)���。如圖:
大部分服務(wù)的dll文件都位于c:\windows\system32目錄�,如果在什么C:\Program Files甚至是D盤E盤的����,就要小心了,十有八九是個木馬����!如果我們懷疑一個dll不正常����,可以通過Google或者百度搜索���,還有一個專門的網(wǎng)站是用來查詢exe和dll文件信息的:http://www./��。
6)用360安全衛(wèi)士查看svchost.exe進程
如果你嫌上面的方法麻煩�,或者已經(jīng)安裝了360安全衛(wèi)士(官方網(wǎng)站:http://www.#/)����,則可以直接在【軟件管理】->【正在運行】里面查看,如圖:
360給出了每個進程占用內(nèi)存的情況����,調(diào)用的dll文件,是否安全等信息���,非常周到�。
7)svchost.exe占用cpu100%的問題處理辦法
通常情況下��,網(wǎng)絡(luò)不好時Windows自動更新服務(wù)可能會失敗����,導致其反復重試���,結(jié)果CPU負載極高。其表現(xiàn)為:系統(tǒng)啟動幾分鐘后 svchost.exe就會占100% cpu資源����,但是拔掉網(wǎng)線就好了。
解決辦法:刪除C:\WINDOWS\SoftwareDistribution下面所有的文件重啟機器�,如果提示”Automatic Updates”服務(wù)正在運行”無法刪除, 打開控制面板->管理工具->服務(wù)����,找到【自動更新(Automatic Updates)】���,設(shè)成手動更新或者關(guān)閉自動更新�����,然后重啟機器���,刪除C:\WINDOWS\SoftwareDistribution下面的文件,這時再在控制面板里恢復自動更新設(shè)置���。
8)強行關(guān)閉svchost進程
如果你懷疑某個svchost進程是冒充的病毒��,或者占用了90%以上CPU�,可以強制殺死它。
運行CMD后在dos窗口輸入ntsd -c q -p 800即可殺掉Svchost進程(假設(shè)svchost.exe進程的PID是800)�。
(要查看PID���,在windows任務(wù)管理器里單擊菜單【查看】->【選擇列】��,勾選PID (進程標識符)確定即可)
ntsd命令可以殺掉任何一個System/SMSS.EXE/CSRSS.EXE以外的進程����,即使你用任務(wù)管理器殺不死����。
