svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。许多服务通过注入到该程序中启动,所以会有多个进程。在一次对系统可疑进程排查中发现发现这个很乱,所以学习了下。
进程信息
进程文件:svchost or svchost.exe
进程名称:Generic Host Process for Win32 Services
进程类别:系统进程
位置:C:\windows\system32\svchost.exe
英文描述:svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated. Note: svchost.
出品者:Microsoft Corp.
属于:Microsoft Windows Operating System
系统进程:是
后台程序:是
网络相关:是
常见错误:没有
内存使用:没有
安全等级 (0-5): 0
间谍软件:不
广告软件:不
病毒:不
木马:不
用途说明
svchost.exe可以几个同时存在,windows 2000一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,在XP之后的系统中则更多(WIN7一般是6个,但所有系统中数目都不是绝对的,有时候多一点少一点也是正常现象,是不是病毒也不能杞人忧天,需要用合理的方法来判断),可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。这样做在一定程度上减少了系统资源的消耗,不过也带来一定的不稳定因素,因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出。该进程无法用任务管理器终止,如果用工具强制终止会立刻得到提示并自动关机(如果没有,说明该进程有问题,但不要轻易尝试终止这个进程!)。
另外,有很多的windows7(64位)系统中,系统盘下的SysWOW64文件夹(位于Windows文件夹内)内存在一个svchost.exe,即使有也不必惊慌,没有任何证据表明这是一个可疑的文件,大多安全工具都没有指出它有问题,而且它拥有完整的信息(版本号、公司等等),这应该是一个系统进程,因此不必担心。
文件信息
svchost.exe是一类通用的进程名称。它是和运行动态链接库(DLLs)的Windows系统服务相关的。在机器启动的时候,svchost.exe检查注册表中的服务,运行并载入它们。经常会有多个svchost.exe同时运行的情况,每一个都表示该计算机上运行的一类基本服务。请不要把它和scvhost.exe混淆。
详细分析: svchost.exe 是存放在目录C:\Windows\System32。已知的Windows XP 文件大小为14336 字节 (占总出现比率85% ),21504 字节 及22 种其它情况。
进程没有可视窗口。 这个文件是由Microsoft 所签发。 这个进程打开接口连到局域网或互联网。 总结在技术上威胁的危险度是9%。
如果svchost.exe 位于在C:Windows 下的子目录下,那么威胁的危险度是74%。文件大小是106496 字节 (占总出现比率5% ),16896 字节 及121 种其它情况。这个不是Windows 核心文件。 应用程序没有可视窗口。 这个程序没有备注。 这是个不知名的文件存放于Windows 目录。svchost.exe 是有能力可以 监控应用程序,纪录输入,隐藏自身,接到互联网,操纵其他程序。
如果svchost.exe 位于在目录C:Windows下,那么威胁的危险度是67%。文件大小是36352 字节 (占总出现比率10% ),49242 字节 及74 种其它情况。这个不是Windows 系统文件。 进程是不可见的。 文件存放于Windows 目录但并非系统核心文件。 没有进程的相关资料。svchost.exe 是有能力可以 纪录输入,监控应用程序。
如果svchost.exe 位于在目录C:\Windows\System32\drivers下,那么威胁的危险度是87%。文件大小是30720 字节 (占总出现比率10% ),49152 字节 及48 种其它情况。
如果svchost.exe 位于在"C:\Documents and Settings" 下的子目录下,那么威胁的危险度是66%。文件大小是233472 字节 (占总出现比率12% ),106496 字节 及87 种其它情况。
如果svchost.exe 位于在"C:\Program Files" 下的子目录下,那么威胁的危险度是63%。文件大小是497664 字节 (占总出现比率19% ),493568 字节 及66 种其它情况。
如果svchost.exe 位于在of C:\ 下的子目录下,那么威胁的危险度是66%。文件大小是239104 字节 (占总出现比率23% ),183808 字节 及25 种其它情况。
如果svchost.exe 位于在C:Windows\System32 下的子目录下,那么威胁的危险度是75%。文件大小是525312 字节 (占总出现比率12% ),86016 字节 及53 种其它情况。
如果svchost.exe 位于在目录"C:\Program Files\Common Files" 下的子目录下,那么威胁的危险度是65%。文件大小是1429504 字节 (占总出现比率22% ),289280 字节 及13 种其它情况。
如果svchost.exe 位于在目录"C:\Program Files\Common Files"下,那么威胁的危险度是61%。文件大小是17920 字节 (占总出现比率56% ),20480 字节 及4 种其它情况。
如果svchost.exe 位于在C:\Windows\System32\drivers 下的子目录下,那么威胁的危险度是72%。文件大小是244484 字节 (占总出现比率22% ),167936 字节 及5 种其它情况。
如果svchost.exe 位于在Windows 的临时目录下,那么威胁的危险度是52%。文件大小是109222 字节 (占总出现比率20% ),241664 字节,27652 字节,46154 字节,655360 字节。
如果svchost.exe 位于在目录C:\下,那么威胁的危险度是64%。文件大小是415232 字节 (占总出现比率60% ),115712 字节,15536 字节。
如果svchost.exe 位于在目录"C:\Program Files"下,那么威胁的危险度是56%。文件大小是28672 字节 (占总出现比率33% ),37376 字节,25600 字节。
如果svchost.exe 位于在"My Files" 下的子目录下,那么威胁的危险度是56%。文件大小是7168 字节。
切记: svchost.exe 也可能是恶意软件所伪装,尤其是当它们存在于除了c:\windows\system32以外目录!
虚假进程
svchost.exe
常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:\WINDOWS\system32\clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:\WINDOWS\system32\svchost.exe -kLocalService”,而“Server”服务的可执行文件路径为“C:\WINDOWS\system32\svchost.exe -knetsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。 在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于6个,如果不是使用Vista或以上系统,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:\WINDOWS\system32”目录外,那么就可以判定是病毒了。
清除办法
1.用unlocker删除类似于C:SysDayN6这样的文件夹:例如C:Syswm1i、C:SysAd5D等等,这些文件夹有个共同特点,就是名称为 Sys*** (***是三到五位的随机字母),这样的文件夹有几个就删几个。
2.开始——运行——输入“regedit”——打开注册表,展开注册表到以下位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
删除右边所有用纯数字为名的键,如
<66>
<333>
<50>
<4>
3.重新启动计算机,病毒清除完毕。