我禁工作管理員有5個svchost.exe

經常在一些反病毒論壇上瀏覽時，發現一些朋友對任務管理器中的svchost進程不甚了解，看見存在許多svchost進程就以為自己中了病毒，其實不然。

　　svchost.exe是NT核心系統非常重要的文件，對于Win2000/XP來說，不可或缺。這些svchost進程提供很多系統服務，如︰rpcss服務（remote procedure call）、dmserver服務（logical disk manager）、dhcp服務（dhcp client）等等。

　　如果要了解每個svchost進程到底提供了多少系統服務，可以在WinXP的命令提示符窗口中輸入“tasklist /svc”命令來查看。

先看看微軟是怎樣描述Svchost.exe的。在微軟知識庫314056中對Svchost.exe有如下描述：Svchost.exe 是從動態連結程式庫 (DLL) 中運行的服務的通用主機進程名稱。

其實Svchost.exe是Windows XP系統的一個核心進程。Svchost.exe不單單只出現在Windows XP中，在使用NT內核的Windows系統中都會有Svchost.exe的存在。一般在Windows 2000中Svchost.exe進程的數目為2個，而在Windows XP中Svchost.exe進程的數目就上升到了4個及4個以上。所以看到系統的進程列表中有幾個Svchost.exe不用那麼擔心。

Svchost.exe到底是做什麼用的呢？

首先我們要瞭解一點那就是Windows系統的中的進程分為：獨立進程和共用進程這兩種。由於Windows系統中的服務越來越多，為了節約有限的系統資源微軟把很多的系統服務做成了共用模式。那Svchost.exe在這中間是擔任怎樣一個角色呢？

Svchost.exe的工作就是作為這些服務的宿主，即由Svchost.exe來啟動這些服務。Svchost.exe只是負責為這些服務提供啟動的條件，其自身並不能實現任何服務的功能，也不能為用戶提供任何服務。Svchost.exe通過為這些系統服務調用動態連結程式庫（DLL）的方式來啟動系統服務。

那Svchost.exe是病毒這種說法是任何產生的呢？

因為Svchost.exe可以作為服務的宿主來啟動服務，所以病毒、木馬的編寫者也挖空心思的要利用Svchost.exe的這個特性來迷惑用戶達到入侵、破壞電腦的目的。

如何才能辨別哪些是正常的Svchost.exe進程，而哪些是病毒進程呢？

Svchost.exe的鍵值是在
“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”，
微軟還為我們提供了一種察看系統正在運行在Svchost.exe列表中的服務的方法。以Windows XP為例：在“運行”中輸入：cmd，然後在命令行模式中輸入：tasklist /svc。如果使用的是Windows 2000系統則把前面的“tasklist /svc”命令替換為：“tlist -s”即可。
如果你懷疑電腦有可能被病毒感染，Svchost.exe的服務出現異常的話通過搜索Svchost.exe檔就可以發現異常情況。一般只會找到一個在：“C:\Windows\System32”目錄下的Svchost.exe程式。如果你在其他目錄下發現Svchost.exe程式的話，那很可能就是中毒了。

還有一種確認Svchost.exe是否中毒的方法是在任務管理器中察看進程的執行路徑。但是由於在Windows系統自帶的任務管理器不能察看進程路徑，所以要使用第三方的進程察看工具。

上面簡單的介紹了Svchost.exe進程的相關情況。總而言之，Svchost.exe是一個系統的核心進程，並不是病毒進程。但由於Svchost.exe進程的特殊性，所以病毒也會千方百計的入侵Svchost.exe。通過察看Svchost.exe進程的執行路徑可以確認是否中毒。

因為SVCHOST進程啟動各種服務，所以病毒、木馬也想盡辦法來利用它，企圖利用它的特性來迷惑用戶，達到感染、入侵、破坏的目的（如沖擊波變種病毒“W32.Welchia.Worm”）。 但Windows系統存在多個SVCHOST進程是很正常的，在受感染的机器中到底哪個是病毒進程呢？這里僅舉一例來說明。

　　假設Windows XP系統被“W32.Welchia.Worm”感染了。正常的
SVCHOST文件存在于“C:\Windows\system32”目錄下，如果發現該文件出現在其他目錄下就要小心了。“W32.Welchia.Worm”病毒存在于“C:\Windows\system32\wins”目錄中，因此使用進程管理器查看SVCHOST 進程的執行文件路徑就很容易發現系統是否感染了病毒。Windows系統自帶的任務管理器不能夠查看進程的路徑，可以使用第三方進程管理軟件，如“Windows優化大師”進程管理器，通過這些工具就可很容易地查看到所有的SVCHOST進程的執行文件路徑，一旦發現其執行路徑為不平常的位置就應該馬上進行檢測和處理。

　　由于篇幅的關系，不能對SVCHOST全部功能進行詳細介紹，這是一個Windows中的一個特殊進程，有興趣的朋友可參考有關技朮資料進一步去了解它。
http://forums.micros oft.com/TechNet-CHT/ ShowPost.aspx?PostID =1084524&SiteID= 23
http://search.micros oft.com/results.aspx ?mkt=zh-HK&setla ng=zh-HK&q=SVCHO ST


圖片參考：http://hk.yimg.com/i/icon/16/1.gif
裡面有解決的方法。