高手揭密svchost.exe是什么进程

　　网上有很多关于svchost.exe是什么进程，svchost.exe是什么病毒，svchost.exe占用cpu100%或占用大量内存，svchost.exe有十几个，svchost.exe偷偷连网很象木马的问题，本文提供关于svchost.exe进程的所有信息和用各种专业软件进行查杀的方法。

　　１）svchost.exe是什么进程

　　Svchost.exe是微软视窗操作系统里的一个系统进程，管理通过Dll文件启动服务的其它进程，一些病毒木马伪装成系统dll文件通过Svchost调用它，试图隐藏自己。每个svchost可以同时调用多个dll文件，启动多个服务。

　　本文来自亿度软件：

　　２）svchost.exe文件的位置

　　svchost.exe位于C:\WINDOWS\system32文件夹下面（假如你的系统安装在C:\WINDOWS目录），同时在C:\WINDOWS\system32\dllcache下面有一个备份。

　　３）svchost.exe进程应该有几个

　　Windows 2000有2个以上svchost进程，Windows XP有4个以上，Windows Vista系统svchost进程有12个以上。因此在任务管理器里看到多个svchost.exe并不代表他们就是病毒。

　　４）什么样的svchost.exe是病毒

　　C:\WINDOWS\system32文件夹下面的svchost.exe文件，病毒一般是无法替换的，除了这个目录和C:\WINDOWS\system32\dllcache目录，其它目录下面都不应该存在svchost.exe文件，如果有不是病毒就是木马，可放心删除。如果无法删除，请用unlocker(等软件强行删除。

　　此外由于svchost.exe中间的o容易被0（零）冒充，所以有不少蠕虫，病毒冒充，它们的名字有：svch0st.exe、schvost.exe、scvhost.exe，要注意仔细辨别，防止漏网之鱼。

　　５）查看通过svchost.exe启动的病毒

　　查看通过svchost.exe启动的服务有多种方法，在Windows 2000中，可以运行cmd，然后输入tlist -s命令来查看，在Windows XP和Vista中，可以通过tasklist /svc命令查阅。

　　除了以上两个命令，还可以通过svchost viewer（点击下载）查看，如图：

　　左边是svchost.exe和通过其启动的服务列表，选中一项可以在右边查看详细信息，如当前svchost.exe启动了AudioSrv, BITS, Browser, CryptSvc, Dhcp, dmserver, EventSystem, FastUserSwitchingCompatibility, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, TapiSrv, Themes, TrkWks, winmgmt, WZCSVC等服务，其中Browser服务是通过C:\WINDOWS\system32\svchost.exe -k netsvcs命令启动的，描述是：维护网络上计算机的更新列表，并将列表提供给计算机指定浏览。如果服务停止，列表不会被更新或维护。如果服务被禁用，任何直接依赖于此服务的服务将无法启动。

　　OK，这些描述都是这个dll文件自称的，任何病毒都可以这么写，那么我们如何知道Browser服务是svchost.exe调用的哪个dll文件启动的呢？svchost viewer并没有告诉我们。

　　这时我们可以通过Process Explorer（点击下载）软件来侦察，启动Process Explorer后，主窗口会列出所有运行的进程，鼠标移动上去会显示进程对应的文件的完整路径，和它启动的服务（如果有的话），如图：

　　我们选中服务最多的那个svchost.exe进程，右键菜单查看属性（Properties），单击Services（服务）标签，可以看到熟悉的列表了：AudioSrv, BITS, Browser…等等服务尽收其中，Browser是c:\windows\system32\browser.dll提供的服务。如图：

　　大部分服务的dll文件都位于c:\windows\system32目录，如果在什么C:\Program Files甚至是D盘E盘的，就要小心了，十有八九是个木马！如果我们怀疑一个dll不正常，可以通过Google或者百度搜索，还有一个专门的网站是用来查询exe和dll文件信息的：

　　６）用360安全卫士查看svchost.exe进程

　　如果你嫌上面的方法麻烦，或者已经安装了360安全卫士（官方网站：则可以直接在【软件管理】->【正在运行】里面查看，如图：

　　360给出了每个进程占用内存的情况，调用的dll文件，是否安全等信息，非常周到。

　　７）svchost.exe占用cpu100%的问题处理办法

　　通常情况下，网络不好时Windows自动更新服务可能会失败，导致其反复重试，结果CPU负载极高。其表现为：系统启动几分钟后 svchost.exe就会占100%　cpu资源，但是拔掉网线就好了。

　　解决办法：删除C:\WINDOWS\SoftwareDistribution下面所有的文件重启机器，如果提示”Automatic Updates”服务正在运行”无法删除， 打开控制面板->管理工具->服务，找到【自动更新（Automatic Updates）】，设成手动更新或者关闭自动更新，然后重启机器，删除C:\WINDOWS\SoftwareDistribution下面的文件，这时再在控制面板里恢复自动更新设置。

　　８）强行关闭svchost进程

　　如果你怀疑某个svchost进程是冒充的病毒，或者占用了90%以上CPU，可以强制杀死它。

　　运行CMD后在dos窗口输入ntsd -c q -p 800即可杀掉Svchost进程（假设svchost.exe进程的PID是800）。

　　（要查看PID，在windows任务管理器里单击菜单【查看】->【选择列】，勾选PID (进程标识符)确定即可）

　　ntsd命令可以杀掉任何一个System/SMSS.EXE/CSRSS.EXE以外的进程，即使你用任务管理器杀不死。