tt白-
* 回复内容中包含的链接未经审核,可能存在风险,暂不予完整展示!照理说一个机器中有很多的svchost.exe是很正常的,应该没有中毒吧。
以下是对svchost.exe的解释,比较长,能有点用吧~~~
svchost.exe
开放分类: 电脑-进程信息-操作系统-svchost.exe
进程文件: svchost or svchost.exe
进程名称: Microsoft Service Host Process
进程类别:其他进程
位置:C:/windows/system32/svchost.exe (如果你的svchost.exe进程不是在这个目录下的话,那么就要当心了)
英文描述:
svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated. Note: svchost.
中文参考:
svchost.exe是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。这个程序对你系统的正常运行是非常重要,而且是不能被结束的。(注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。更多详细信息参考:http://www.m*******.com/technet/security/bulletin/ms04-011.mspx,该进程的安全等级是建议立即删除。)
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程:Yes
后台程序:Yes
网络相关:Yes
常见错误:N/A
内存使用:N/A
安全等级 (0-5): 0
间谍软件:No
广告软件:No
病毒:No
木马:No
发现
在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remoteprocedurecall)、dmserver服务(logicaldiskmanager)、dhcp服务(dhcpclient)等。到了Windows Vista 系统时svchost 进程多达12个,这些svchost.exe都是同一个文件路径下C :WindowsSystem32svchost.exe , 它们分别是imgsvc、 NetworkServiceNetworkRestricted、 LocalServiceNoNetwork 、NetworkService 、LocalService 、netsvcs 、LocalSystemNetworkRestricted、 LocalServiceNetworkRestricted 、services 、rpcss、 WerSvcGroup 、DcomLaunch服务组。
如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist-s”命令来查看,该命令是win2000supporttools提供的。在winxp则使用“tasklist/svc”命令。
svchost中可以包含多个服务
深入
windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot%system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?
原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remoteprocedurecall)服务为例,进行讲解。
从启动参数中可见服务是靠svchost来启动的。
实例
以windowsxp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remoteprocedurecall”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:windowssystem32svchost-krpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machinesystemcurrentcontrolsetservices pcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost-krpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“%systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
解惑
因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。
假设windowsxp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:windowssystem32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:windowssystem32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
=========================================================
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Svchost.exe说明解疑对Svchost的困惑
---------------
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务,以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。
.
Svchost.exe 组是用下面的注册表值来识别。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。
HKEY_LOCAL_MACHINESystemCurrentControlSetServicesService
.
.
更多的信息
.
为了能看到正在运行在Svchost列表中的服务。
开始-运行-敲入cmd
然后在敲入 tlist -s (tlist 应该是win2k工具箱里的东东)
Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于进程的信息,可以敲 tlist pid。
Tlist 显示Svchost.exe运行的两个例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst
ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title: D:WINNT5System32cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在这个例子中注册表设置了两个组。
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa
sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统必须一直运行。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。
以下是系统调用SVCHOST程序的服务
(第一行为"服务名字",第二行为"服务的说明",第三行为"调用程序")
Application Management
应用程序管理组件,负责msi文件格式的安装,但是实际上禁止了该服务并无大碍。
svchost.exe
Automatic Updates
Windows的自动更新服务。
svchost.exe
Background Intelligent Transfer Service
实现http1.1服务器之间的信息传输,微软称支持windows更新时的断点续传。
svchost.exe
COM+ Event System
某些COM+软件需要,检查c:/program files/ComPlus Applications目录,如果里面没有文件就可以把这个服务关闭.
svchost.exe
Computer Browser
用来浏览局域网电脑的服务,但关了不影响浏览!
svchost.exe
Cryptographic Services
Windows更新时用来确认windows文件指纹的,可以在更新的时后开启。
svchost.exe
DHCP Client
使用静态IP的用户需要,对使用Modem的用户无用。
svchost.exe
Distributed Link Tracking Client
用于局域网更新连接信息,(比如在电脑A有个文件,在电脑B做了个连接,如果文件移动了,这个服务将会更新信息。占用4兆内存。)
svchost.exe
DNS Client
DNS解释器,把域名解释为IP地址
svchost.exe
Error Reporting Service
错误报告器,把windows中错误报告给微软。
svchost.exe
Fast User Switching Compatibility
多用户快速切换服务,你喜欢吗?
svchost.exe
Help and Support
Windows的帮助。新手还是要靠他来指点的。
svchost.exe
Human Interface Device Access
支持“人体工学”的电脑配件,比如键盘上调音量的按钮等等。
svchost.exe
Internet Connection Firewall/Internet Connection Sharing
XP的防火墙/为多台电脑联网共享一个拨号网络访问Internet提供服务。
svchost.exe
Logical Disk Manager
磁盘管理服务。需要时系统会通知你开启。
svchost.exe
Network Location Awareness (NLA)
如有网络共享或ICS/ICF可能需要.(服务器端)。
svchost.exe
Portable Media Serial Number
Windows Media Player和Microsoft保护数字媒体版权.
svchost.exe
Remote Access Auto Connection Manager
宽带者/网络共享需要的服务!
svchost.exe
Remote Procedure Call (RPC)
系统核心服务!如果在Windows2000中禁止该服务,系统将无法启动。
svchost.exe
Remote Registry Service
远程注册表运行/修改。
svchost.exe
注意点
svchost.exe
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向scvhost,由cvhost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。 在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于6个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。
真可-
这个很正常啊,没有问题。一个是你系统的,一个是你的帐户的,显然你是双核的机子。。。没有问题!
meira-
XP正常有四到五个svchost.exe进程,多了就是木马了
gitcloud-
一般木马容易感染这个进程。可用杀马软件先杀马,马死了,进程也正常了。