svshost.exe【svshost.exe】svshost.exe是Worm.P2P.Spybot.gen病毒的一部分 。该木马通过P2P档案共享工具和网路共享传播 。这个进程的安全等级是建议立即进行删除 。
基本介绍外文名:svshost.exe
系统进程: 否
后台程式:是
病毒: 是
进程信息:进程档案:svshost 或者 svshost.exe进程名称: Worm.P2P.Spybot.gen virus出品者: 未知N/A属于: Worm.P2P.Spybot.gen virus系统进程: 否后台程式: 是使用网路: 是硬体相关: 否常见错误: 未知N/A记忆体使用: 未知N/A安全等级 (0-5): 4间谍软体: 否Adware: 否病毒: 是木马: 否进程描述:svchost.exe 存在 %windir%\system32\wins 下 。Svchost.exe档案对那些从动态连线库中运行的服务来说是一个普通的主机进程名 。Svhost.exe档案定位在系统的%systemroot%\system32资料夹下 。在启动的时候 , Svchost.exe检查注册表中的位置来构建需要载入的服务列表 。这就会使多个Svchost.exe在同一时间运行 。每个Svchost.exe的回话期间都包含一组服务 , 以至于单独的服务必须依靠Svchost.exe怎样和在那里启动 。这样就更加容易控制和查找错误 。Svchost.exe 组是用下面的注册表值来识别 。HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost每个在这个键下的值代表一个独立的Svchost组 , 并且当你正在看活动的进程时 , 它显示作为一个单独的例子 。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务 。每个Svchost组都包含一个或多个从注册表值中选取的服务名 , 这个服务的参数值包含了一个ServiceDLL值 。HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service如果怀疑svchost.exe是病毒可以通过以下方法来证实是不是病毒:1.可以去 wins 目录找找有无多余 , 2.可以搜搜windows资料夹中 svchost.exe 看看有几个(应为1个) , 3.tlist -s察看 , 4.也可以下载一个可以看带路径名的进程的浏览工具 。SVCHOST.exe进程svchost.exe是nt核心繫统的非常重要的进程 , 对于2000、xp来说 , 不可或缺 。很多病毒、木马也会调用它 。所以 , 深入了解这个程式 , 是玩电脑的必修课之一 。大家对windows作业系统一定不陌生 , 但你是否注意到系统中“svchost.exe”这个档案呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器 , 这里的“进程”标籤中就可看到了) , 为什幺会这样呢?下面就来揭开它神秘的面纱 。发现在基于nt核心的windows作业系统家族中 , 不同版本的windows系统 , 存在不同数量的“svchost”进程 , 用户使用“任务管理器”可查看其进程数目 。一般来说 , win2000有两个svchost进程 , winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程 , 千万别立即判定系统有病毒了哟) , 而win2003 server中则更多 。这些svchost进程提供很多系统服务 , 如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等 。如果要了解每个svchost进程到底提供了多少系统服务 , 可以在win2000的命令提示符视窗中输入“tlist -s”命令来查看 , 该命令是win2000 support tools提供的 。在winxp则使用“tasklist /svc”命令 。svchost中可以包含多个服务深入windows系统进程分为独立进程和共享进程两种 , “svchost.exe”档案存在于“%systemroot% system32”目录下 , 它属于共享进程 。随着windows系统服务不断增多 , 为了节省系统资源 , 微软把很多服务做成共享方式 , 交由 svchost.exe进程来启动 。但svchost进程只作为服务宿主 , 并不能实现任何服务功能 , 即它只能提供条件让其他服务在这里被启动 , 而它自己却不能给用户提供任何服务 。那这些服务是如何实现的呢?原来这些系统服务是以动态程式库(dll)形式实现的 , 它们把可执行程式指向 svchost , 由svchost调用相应服务的动态程式库来启动服务 。那svchost又怎幺知道某个系统服务该调用哪个动态程式库呢?这是通过系统服务在注册表中设定的参数来实现 。下面就以rpcss(remote procedure call)服务为例 , 进行讲解 。从启动参数中可见服务是靠svchost来启动的 。实例以windows xp为例 , 点击“开始”/“运行” , 输入“services.msc”命令 , 弹出服务对话框 , 然后打开“remote procedure call”属性对话框 , 可以看到rpcss服务的执行档的路径为“c:\windows\system32\svchost -k rpcss” , 这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的 , 而参数的内容则是存放在系统注册表中的 。在运行对话框中输入“regedit.exe”后回车 , 打开注册表编辑器 , 找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项 , 找到类型为“reg_expand_sz”的键“magepath” , 其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务视窗中看到的服务启动命令) , 另外在“parameters”子项中有个名为“servicedll”的键 , 其值为“% systemroot%system32rpcss.dll” , 其中“rpcss.dll”就是rpcss服务要使用的动态程式库档案 。这样 svchost进程通过读取“rpcss”服务注册表信息 , 就能启动该服务了 。解惑因为svchost进程启动各种服务 , 所以病毒、木马也想尽办法来利用它 , 企图利用它的特性来迷惑用户 , 达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”) 。但windows系统存在多个svchost进程是很正常的 , 在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明 。假设windows xp系统被“w32.welchia.worm”感染了 。正常的svchost档案存在于“c:\windows\system32”目录下 , 如果发现该档案出现在其他目录下就要小心了 。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中 , 因此使用进程管理器查看svchost进程的执行档案路径就很容易发现系统是否感染了病毒 。windows系统自带的任务管理器不能够查看进程的路径 , 可以使用第三方进程管理软体 , 如“windows最佳化大师”进程管理器 , 通过这些工具就可很容易地查看到所有的svchost进程的执行档案路径 , 一旦发现其执行路径为不平常的位置就应该马上进行检测和处理 。由于篇幅的关係 , 不能对svchost全部功能进行详细介绍 , 这是一个windows中的一个特殊进程 , 有兴趣的可参考有关技术资料进一步去了解它 。