这个到底是不是病毒啊?

goldenid

我有一次无意中打开"任务管理器",发现有三个"SVCHOST.EXE"在运行,请问这个是不是病毒啊?我记得系统的应该是"svchost.exe"吧?如果是病毒怎么办?

bobo1086

可能根据程序调用不同大小写也会不同。系统默认情况下四个算正常.

thwj

暂时只看到7个……这种不放心么找个进程管理软件来看看

单数

以下转自 中国IT认证实验室 的一篇文章《戳穿优化Windows XP的经典谣言》的其中之一，稍有点长

经典误区六：干掉Svchost.exe进程
　　
　　经典程度：★★★★
　　危险程度：★★
　　
　　1.错误的解决方法描述
　　
　　当我们按下Alt+Ctrl+Del打开任务管理器，发现进程中出现多个Svchost.exe，则表明系统中毒，我们首先将所有的Svchost结束掉，然后使用相关的杀毒工具查杀病毒。
　　
　　2.方案由来及后果
　　
　　在很多人的印象中，每个应用程序一般只对应一个进程，如QQ对应QQ.EXE进程、记事本对应notepad.exe进程等。所以当看到系统有多个同样名字的进程时，总是会将其联想为病毒或者木马程序在作怪。如果不加思索，野蛮的将其中的某些Svchost.exe进程结束掉，会让系统的运行变得不稳定。
　　
　　3.正确的解决办法
　　
　　Windows进程分为独立进程和共享进程两种，Svchost.exe属于后者。Windows XP为了节约系统资源，将很多个系统服务做为共享方式由Svchost.exe来启动。Svchost本身只是作为服务宿主，并不能实现任何服务功能，svchost通过调用相应服务的动态链接库（DLL）来启动该服务，而Windows将这些服务分为几个组，同组的服务共享一个Svchost进程，不同的组所指向的Svchost不同。通常情况下，Windows XP有4个由Svchost启动的服务组，也就是说Windows XP系统一般有4个Svchost.exe进程。当然某些应用程序或服务也有可能会调用Svchost，所以当你看到系统中有多余4个的Svchost.exe进程，也不要盲目判断系统中了病毒。实际上Svchost.exe进程的个数跟是否中毒无直接关系。
　　
　　小提示：
　　
　　★笔者做了下面一个非常有趣的测试：打开任务管理器，切换到"进程"选项卡，首先手动结束掉由上到下的第三个Svchost.exe进程，结束完后系统会马上重新建立该进程，接下来我们手动结束掉由上到下的最后一个Svchost.exe进程，系统会出现一个类似中了冲击波病毒的对话窗口，并倒计时关机，这是由于该Svchost.exe进程引导RPC服务，终止该进程则导致RPC服务中断，系统自然会重新启动了。
　　
　　★Windows 2000中一般有两个Svchost.exe进程，Windows　Server 2003则非常多，一般有6个。
　　
　　既然系统中Svchost.exe进程数与是否中毒无关，我们究竟如何区别正常的和病毒伪造的Svchost进程呢？我们可以使用下面两种方法来鉴别：
　　
　　方法一：在系统所在分区进行搜索，如果发现多个Svchost.exe文件，则系统很有可能中毒。正常的Svchost.exe位于%windir%\system32目录下，如果发现其它目录中有Svchost.exe文件，你就要小心了。例如冲击波的变种Win32.Welchia.Worm会在%windir%\system32\wins目录种下Svchost.exe文件。
　　
　　方法二：察看Svchost.exe进程对应文件的路径。Windows XP自带的任务管理器中无法察看，我们需要借助第三方工具，例如Windows优化大师自带的进程管理工具，运行它后定位到Svchost.exe进程，可以看到它对应的运行文件的真实路径。
　　
　　小提示：
　　
　　★不少木马程序会采用将自己伪装成跟常见进程相似的文件名或者相同的文件名但扩展名不相同，如果你在任务管理器中看到Scvhost.exe、Svch0st.exe等进程，肯定有木马已经植入你的系统。
　　★很多朋友在查看CPU占用率时，一个叫做"System Idle Process"的进程常常会显示为90-99%。不必担心，实际上恰恰相反的是这里的90-99%是CPU资源空闲了出来的资源。这里的数字越大表示CPU可用资源越多，数字越小则表示CPU资源越紧张。

rockwei

[quote=bobo1086]可能根据程序调用不同大小写也会不同。系统默认情况下四个算正常.[/quote]

恩，那个是正常的。。。
我这里是4个，，，xp sp2系统。。。

goldenid

谢谢了!

DT·conan

svchost.exe是宿主程序,各类服务寄存于其中,当然也可能包含木马创建的服务

tasklist /scv查看后判断

xiaobin

我这里是5个，不过用别的软件查看，好象路径都是正确的

Darth Dy

不放心的话可以用进程监控软件监视可疑的进程.