[編輯本段]解惑
因?yàn)閟vchost進(jìn)程啟動(dòng)各種服務(wù)，所以病毒、木馬也想盡辦法來(lái)利用它，企圖利用它的特性來(lái)迷惑用戶，達(dá)到感染、入侵、破壞的目的(如沖擊波變種病毒“w32.welchia.worm) 。但windows系統(tǒng)存在多個(gè)svchost進(jìn)程是很正常的，在受感染的機(jī)器中到底哪個(gè)是病毒進(jìn)程呢?這里僅舉一例來(lái)說(shuō)明 。
假設(shè)windowsxp系統(tǒng)被“w32.welchia.worm感染了 。正常的svchost文件存在于“c:windowssystem32目錄下，如果發(fā)現(xiàn)該文件出現(xiàn)在其他目錄下就要小心了 。“w32.welchia.worm病毒存在于“c:windowssystem32wins目錄中，因此使用進(jìn)程管理器查看svchost進(jìn)程的執(zhí)行文件路徑就很容易發(fā)現(xiàn)系統(tǒng)是否感染了病毒 。windows系統(tǒng)自帶的任務(wù)管理器不能夠查看進(jìn)程的路徑，可以使用第三方進(jìn)程管理軟件，如“windows優(yōu)化大師進(jìn)程管理器，通過(guò)這些工具就可很容易地查看到所有的svchost進(jìn)程的執(zhí)行文件路徑，一旦發(fā)現(xiàn)其執(zhí)行路徑為不平常的位置就應(yīng)該馬上進(jìn)行檢測(cè)和處理 。
Svchost.exe說(shuō)明解疑對(duì)Svchost的困惑
---------------
Svchost.exe文件對(duì)那些從動(dòng)態(tài)連接庫(kù)中運(yùn)行的服務(wù)來(lái)說(shuō)是一個(gè)普通的主機(jī)進(jìn)程名 。Svchost.exe文件定位在系統(tǒng)的%systemroot%system32文件夾下 。在啟動(dòng)的時(shí)候，Svchost.exe檢查注冊(cè)表中的位置(HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvcHost)來(lái)構(gòu)建需要加載的服務(wù)列表 。這就會(huì)使多個(gè)Svchost.exe在同一時(shí)間運(yùn)行 。每個(gè)Svchost.exe的回話期間都包含一組服務(wù)，以至于單獨(dú)的服務(wù)必須依靠Svchost.exe怎樣和在那里啟動(dòng) 。這樣就更加容易控制和查找錯(cuò)誤 。
Svchost.exe 組是用下面的注冊(cè)表值來(lái)識(shí)別 。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost
每個(gè)在這個(gè)鍵下的值代表一個(gè)獨(dú)立的Svchost組，并且當(dāng)你正在看活動(dòng)的進(jìn)程時(shí)，它顯示作為一個(gè)單獨(dú)的例子 。每個(gè)鍵值都是REG_MULTI_SZ類型的值而且包括運(yùn)行在Svchost組內(nèi)的服務(wù) 。每個(gè)Svchost組都包含一個(gè)或多個(gè)從注冊(cè)表值中選取的服務(wù)名，這個(gè)服務(wù)的參數(shù)值包含了一個(gè)ServiceDLL值 。
HKEY_LOCAL_MACHINESystemCurrentControlSetServices
簡(jiǎn)單的說(shuō)沒(méi)有這個(gè)RPC服務(wù)，機(jī)器幾乎就上不了網(wǎng)了 。很多應(yīng)用服務(wù)都是依賴于這個(gè)RPC接口的，如果發(fā)現(xiàn)這個(gè)進(jìn)程占了太多的CPU資源，直接把系統(tǒng)的RPC服務(wù)禁用了會(huì)是一場(chǎng)災(zāi)難：因?yàn)檫B恢復(fù)這個(gè)界面的系統(tǒng)服務(wù)設(shè)置界面都無(wú)法使用了 ?；謴?fù)的方法需要使用注冊(cè)表編輯器，找到 HKEY_LOCAL_MACHINE >> SYSTEM >> CurrentControlSet >> Services >> RpcSs, 右側(cè)找到Start屬性，把它的值改為2再重啟即可
造成svchost占系統(tǒng)CPU 100%的原因并非svchost服務(wù)本身：以上的情況是由于Windows Update服務(wù)下載/安裝失敗而導(dǎo)致更新服務(wù)反復(fù)重試造成的 。而Windows的自動(dòng)更新也是依賴于svchost服務(wù)的一個(gè)后臺(tái)應(yīng)用，從而表現(xiàn)為svchost.exe負(fù)載極高 。常發(fā)生這類問(wèn)題的機(jī)器一般是上網(wǎng)條件(尤其是去國(guó)外網(wǎng)站)不穩(wěn)定的機(jī)器，比如家里的父母的機(jī)器，往往在安裝機(jī)器幾個(gè)月以后不定期發(fā)生，每個(gè)月的第二個(gè)星期是高發(fā)期：因?yàn)樽罱鼛啄闙S很有規(guī)律的在每個(gè)月的第二個(gè)星期發(fā)布補(bǔ)丁程序) 。上面的解決方法并不能保證不重發(fā)作，但是為了svchost文件而每隔幾個(gè)月重裝一次操作系統(tǒng)還是太浪費(fèi)時(shí)間了 。
為了能看到正在運(yùn)行在Svchost列表中的服務(wù) 。
開(kāi)始-運(yùn)行-敲入cmd
然后再敲入 tlist -s (tlist 應(yīng)該是win2k工具箱里的東東)
Tlist 顯示一個(gè)活動(dòng)進(jìn)程的列表 。開(kāi)關(guān) -s 顯示在每個(gè)進(jìn)程中的活動(dòng)服務(wù)列表 。如果想知道更多的關(guān)于進(jìn)程的信息，可以敲 tlist pid 。
Tlist 顯示Svchost.exe運(yùn)行的兩個(gè)例子 。
0 System Process
8 System
【svchost.exe進(jìn)程】132 smss.exe

推薦閱讀

• 

  2022杭州臨安人才公寓申請(qǐng)審核流程
• 

  碟剎怎么調(diào)松緊？
• 

  ios電腦手機(jī)升級(jí)區(qū)別
• 

  炸完?yáng)|西的油看剩余油的色彩確定是否可以繼續(xù)使用
• 

  蘋(píng)果提醒iTunes用戶不要急于安裝Vista
• 

  在劫難逃孫曉萌怎么死的，孫曉萌和趙彬彬是什么關(guān)系？
• 

  QD上實(shí)現(xiàn)“一鍵”聽(tīng)音樂(lè)
• 

  教你一招輕松解決手機(jī)發(fā)燙 手機(jī)一玩就燙手怎么回事
• 

  商人和企業(yè)家有什么區(qū)別
• 

  牛奶燉桃膠的做法，牛奶燉桃膠怎么做
• 

  蘇格蘭獵鹿犬怎么美容？蘇格蘭獵鹿犬美容方法
• 

  享譽(yù)海內(nèi)外的三潭枇杷來(lái)自哪個(gè)縣，枇杷的營(yíng)養(yǎng)價(jià)值
• 

  大學(xué)有沒(méi)有期中考試
• 

  抖音80后女人經(jīng)典語(yǔ)錄，80后女人的人生感悟說(shuō)說(shuō)
• 

  浪花激起的泡沫美麗極了改為比喻句
• 

  熏醋能預(yù)防寶寶感冒嗎

• 進(jìn)程文件 fetionfx.exe
• KHALMNPR - KHALMNPR.exe - 進(jìn)程信息
• c:windowsfinish.exe進(jìn)程
• kvcore.exe進(jìn)程是什么
• 00thotkey.exe - 00thotkey - 進(jìn)程信息
• vttimer.exe - vttimer - 進(jìn)程信息
• webproxy.exe - webproxy - 進(jìn)程信息
• vstskmgr.exe - vstskmgr - 進(jìn)程信息
• vsserv.exe - vsserv - 進(jìn)程信息
• viewmgr.exe - viewmgr - 進(jìn)程信息