Svchost.exe
文件删除不得
作者:田逸
([email][email protected][/email])
已独家授权《网管员世界》发表,请勿转载!
前几天,我发现自己的xp运行比较慢,察看“windows任务管理器”cpu利用率接近100%,其中一个svchost.exe站了大概90%多的cpu资源,把这个占用资源厉害的svchost.exe进程结束掉,系统马上就变为正常。可是过不了多久,又会出现一个svchost.exe进程,使系统慢下来,想到以前某些病毒常用这个进程来毒害系统,一怒之下,进系统目录把svchost.exe这个文件重名名为svchost.ex,再把其他的几个svchost.exe进程全杀了。系统一直用到下午下班也没有什么异常,因急着下班,把笔记本电脑合上盖子(没关机)就装进包里回家了。已独家授权《网管员世界》发表,请勿转载!
第2天上班,我把计算机关闭了,然后重启系统,桌面出现后,发现邮件收不了,再用浏览器上网,也不灵。耶!居然出问题了。先看网络设置正确不,运行 ipconfig/all,晕,没有ip地址,接着右击“网上邻居”,天啦,居然是空的,以前那几个本地连接的图标不出来了,没法用鼠标设置ip了;这里不让设置,难不倒我,咱在注册表设置,用regedit进注册表,搜索”tcpip”把相关的网络参数都一股脑输进去,然后重启系统,还是没有ip地址.看来问题有点严重,得好好检查一下了.先检查一下系统服务,结果发现很多都应该启动的服务没有自动起来,既然不能自动起来,好,我来手动启,跟我作对,启不来,再换一个,还是启不来,试遍了也不行,放弃.
不能上网大不了不上,把<不完全恋人>拿出来看,插光盘到光驱,怎么直接打开光盘浏览文件而不启动默认的播放程序呢?弹出光盘,再摁进去,还是不自动播放.手动启播放器,终于播放了,怎么半天没声音呢?你不响是不?我调不行么,嘿,居然不见那个喇叭了,进”控制面板”,声音和音频设备属性没发现设备;再看”设备管理器里”驱动程序,驱动还在呀,真是活见鬼了.
启用系统还原,失败,再来,多次失败. 进安全模式,执行系统还原,还是失败.上网不行,看片也不行,急噪呀!
再检查系统,看中毒没有.手动用symantec antivirus扫描,闪一下就寂寥不见了(自动消失),看进程里有一个dosan的进程,疑是不法程序,搜一下,没搜索界面出来,不让搜.只好用鼠标点击”我的电脑”图标一级级系统目录,通过”按修改时间”排列图标企图找出最近修改的文件,也没看出哪个文件异常.看来中招的可能性很小.再想想,我是不是改了什么东西呢?对了,想起来了,那个svchost.exe不是被我改名了么!恩,把它改回来试试.一看,它居然还在,幸好没delete它.重启系统,开机声音出来了,再看”本地连接”等图标也出来了,检查系统服务,都给我乖乖的自动起来了.到这里恢复正常.再不正常的话,要准备用光盘格式话重新安装系统了.
那svchost.exe是干什么的呢?svchost是windows的共享进程,MS为了是windows节省资源,把很多服务做成共享方式,用svchost.exe这个进程来引导这些共享的服务.这个文件被我挪走之后,靠它来启动的共享服务就没有启动方式了—因为这些共享服务的存在形式是动态链接库文件,它本身不能执行(举例:svchost.exe类似药罐,以共享方式启动的系统进程类似中药,现在药罐不在了,自然就没法熬药).这就是故障发生的根本原因.拿lunix/unix来比较,这种方式与xinetd/inetd启动某些守护进程倒是很相似.
有些病毒为了隐藏自己,也打起svchost.exe的主意,以前的病毒程序一般以可执行的方式存在,依靠注册表、启动项等方式随开机自动运行,后来,逐步演变成以动态链接库的方式,然后借svchost.exe来启动。其实有害的是非法的dll动态链接库文件,我错怪了svchost.exe,才引起这么大的麻烦。
2007-3-29
于 白石桥