Svchost.exe病毒的查杀方法

　　svchost.exe是nt核心系统的非常重要的进程，对于windows 2000、xp等不可或缺。细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器，在“进程”标签中就可看到了）。windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。不同版本的windows系统，有不同数量的“svchost”进程。一般来说，win2000有2个svchost，winxp中则有4个或4个以上的svchost进程，而win2003则更多。

　　二、Svchost.exe病毒程序

　　1.假冒Svchost.exe程序的病毒

　　运行的病毒并没有直接利用真正的Svchost.exe，而是启动了一个名称同样是Svchost.exe的病毒进程，由于没有加载系统服务，它和真正的 Svchost.exe进程是不同的，只需在命令行窗口中运行一下“Tasklist /svc”，如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”，而不是一个具体的服务名，那么它就是病毒进程了，记下这个病毒进程对应的PID数值(进程标识符)，即可在任务管理器的进程列表中找到它，结束进程后，在C盘搜索Svchost.exe文件，也可以用第三方进程工具直接查看该进程的路径，正常的Svchost.exe文件是位于% systemroot%System32目录中的，而假冒的Svchost.exe病毒文件则会在其他目录。

　　2:一些高级病毒则采用类似系统服务启动的方式，通过真正的Svchost.exe进程加载病毒程序，而Svchost.exe是通过注册表数据来决定要装载的服务列表的，所以病毒通常会在注册表中采用以下方法进行加载：

　　添加一个新的服务组，在组里添加病毒服务名

　　在现有的服务组里直接添加病毒服务名

　　修改现有服务组里的现有服务属性，修改其“ServiceDll”键值指向病毒程序

　　病毒程序要通过真正的Svchost.exe进程加载，就必须要修改相关的注册表数据，可以打开[HKEY_LOCAL_MACHINESoftware MicrosoftWindowsNTCurrentVersionSvchost]，观察有没有增加新的服务组，同时要留意服务组中的服务列表，观察有没有可疑的服务名称，通常来说，病毒不会在只有一个服务名称的组中添加，往往会选择LocalService和netsvcs这两个加载服务较多的组，以干扰分析。还有通过修改服务属性指向病毒程序的，通过注册表判断起来都比较困难，这时可以利用前面介绍的服务管理专家，分别打开 LocalService和netsvcs分支，逐个检查右边服务列表中的服务属性，尤其要注意服务描述信息全部为英文的，很可能是第三方安装的服务，同时要结合它的文件描述、版本、公司等相关信息，进行综合判断。

　　Svchost.exe病毒的简单处理：

　　1.当发现Svchost.exe不在%systemroot%System32目录中的，可以安全删除，同时在注册表中查找对应的注册项删除掉。

　　2.Svchost.exe在%systemroot%System32目录，说明Svchost.exe是被病毒感染了，可以用杀毒软件清除。

　　注：清除和删除要分清楚，清除是清除病毒，删除则是删文件。