爱华网2.Svchost.exe在%systemroot%System32目录,说明Svchost.exe是被病毒感染了,可以用杀毒软件清除。
注:清除和删除要分清楚,清除是清除病毒,删除则是删文件
svchost.exe到底启动了那些服务?
答:
如果你想了解每个SVCHOST进程当前到底提供了哪些系统服务,可以在命令提示符下输入命令来查看。例如在WindowsXP中,打开“命令提示符”,键入tasklist /svc命令查看;在Windows 2000中,则输入“Tlist-S”命令来查看。如果
如果你在Windows XP中,想得到所有进程的详细信息,可以打开“命令提示符”,键入 tasklist/svc>abc.txt命令,于是在当前目录中,将会生成一个abc.txt文件,其内容就是当前正在运行的所有进程情况,例如进程名、PID号、该进程启动了哪些服务。
Svchost.exe病毒的清除方法:
1、用unlocker删除类似于C:SysDayN6这样的文件夹:例如C:Syswm1i、C:SysAd5D等等,这些文件夹有个共同特点,就是名称为Sys*** (***是三到五位的随机字母),这样的文件夹有几个就删几个。
2、开始——运行——输入“regedit”——打开注册表,展开注册表到以下位置:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
删除右边所有用纯数字为名的键,如
<66><C:SysDayN6svchost.exe>
<333><C:Syswm1isvchost.exe>
<50><C:SysAd5Dsvchost.exe>
<4><C:SysWsj7svchost.exe>
3、重新启动计算机,病毒清除完毕。[1]不是木马病毒引起的。以下是解决方法1:假设你已经使用了杀毒软件排除了病毒和已经使用反间谍软件排除了恶意软件的影响:
清空C:WINDOWSSoftwareDistribution 目录下所有的文件重启机器即可。(C:WINDOWSSoftwareDistribution是Windows update服务的临时文件存放目录)如果机器提示文件正在使用("Automatic Updates"服务正在运行)无法删除相应目录:引起进程飙满的原因是由于WindowsUpdate服务下载/安装失败而导致更新服务反复重试造成的。而Windows的自动更新也是依赖于svchost服务的一个后台应用,从而表现为svchost.exe负载极高。另外正版XP此发病率极高~!看来正版也不是那么好用地~!
解决方法2:关闭svchost.exe任务总结
服务使用情况可以察看或操作的为以下五处
1、注册表
运行regedit
1)HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices
可以看到所有服务的英文名简称,与任务管理器里的映像名称一致
2)HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionSvcHost
右边的窗口可以看到所有分了类的svchost的服务,所有的svchost.exe允许的服务都列在分类中,如果用tasklist发现有不属于的服务则很可能是木马。所有服务如果全部打开肯定达到或者超过8个svchost.exe,所以即使有这么多svchost.exe也不一定代表中招。
2、服务
运行services.msc
看到的都是所有可用服务的详细英文名,表面上是看不出哪些属于svchost.exe的。
3、当前运行的服务
运行cmd进入命令行
输入tasklist /svc (win2000输入tlist -s)
查看所有当前进程所对应的服务的详细信息。
4、当前运行服务
运行taskmgr或者ctrl+alt+del
可以查看服务映像名,PID以及占用cpu和内存
5、启动服务
运行msconfig 服务选项卡,可以更改下一次启动的服务
结合1 2 34查看svchost.exe服务如下,一个svchost多余两个服务则用途略去,按照我后面写的方法自己去查吧
图像名PID服务用户名服务用途
svchost.exeDcomLaunch,TermServiceSYSTEM
svchost.exeRpcSsNETWORKSERVICE提供终结点映射程序(endpoint mapper)以及其它 RPC服务
svchost.exeAudioSrv,BITS,Dhcp等一堆SYSTEM
svchost.exeDnscacheNETWORKSERVICE为此计算机解析和缓冲域名系统 (DNS)名称svchost.exeRemoteRegistryLOCALSERVICE使远程用户能修改此计算机上的注册表设置
svchost.exeLmHosts, SSDPSRV,WebClientLOCALSERVICE
svchost.exeusnsvcSYSTEMMessenger上安装的启用共享情况的服务svchost.exestisvcSYSTEM为扫描仪和照相机提供图像捕获。
以上所有svchost服务都能在注册表(2)里找到分类。
如果有svchost.exe对应的服务暂缺那一定是感染了木马程序,根据PID在任务管理器中停止。然后到启动服务里查看有没有需要在下一次开机时关闭的恶意服务。
同时在windows目录下搜索svchost.exe,正常情况下只有system32和system32dllcache里有svchost.exe,如果其它文件夹比如system32wins下的话那一定是木马程序了。不过这种情况下一般用kaspersky扫描criticalareas能够扫描出来的。
强烈建议关闭RemoteRegistry服务,以免被操作注册表。usnsvc也没啥用。stisvc如果不使用扫描仪也可以关闭,这样任务管理器中应该只有4个svchost.exe。如果LmHosts,SSDPSRV, WebClient对应的打开就是5个。
关闭服务方法
关闭时首先打开注册表进入HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServices位置,找到相应的服务映像名,比如stisvc,在右边的窗口里点击Description可以了解该服务的用途,点击DisplayName可以了解该映像名对应的完整服务名称即Windows Image Acquisition(WIA)。
运行services.msc,找到该Windows Image Acquisition (WIA)加以禁用和关闭。
运行msconfig找到Windows Image Acquisition (WIA)取消钩选。
搜索注册表的目的就是为了将在任务管理器和tasklist出来的服务映像名和在services管理器里的完整服务名对应起来,便于定位和操作。
svchost以外的服务也可以根据这个方法进行操作。
附用到的命令:
services.msc——打开服务管理器(或在控制面板--》性能维护--》管理工具--》服务)
tasklist/svc —— 查看进程对应的服务
运行】regedit ——查看注册表
运行】msconfig——修改启动项或启动服务
