Svchost.exe病毒的简单处理

Svchost.exe占用内存过大解决 　

1.当发现Svchost.exe不在%systemroot%\System32目录中的，可以安全删除，同时在注册表中查找对应的注册项删除掉。 或用tasklist/svc命令查看svchost.exe 右边的服务是不是“暂缺”，是的话为中毒了。

　　2.Svchost.exe在%systemroot%\System32目录，说明Svchost.exe是被病毒感染了，可以用杀毒软件清除。 

　　注：清除和删除要分清楚，清除是清除病毒，删除则是删文件

　　svchost.exe到底启动了那些服务？ 

　　答： 

　　如果你想了解每个SVCHOST进程当前到底提供了哪些系统服务，可以在命令提示符下输入命令来查看。例如在Windows XP中，打开“命令提示符”，键入tasklist /svc命令查看；在Windows 2000中，则输入“Tlist -S”命令来查看。如果 

　　如果你在Windows XP中，想得到所有进程的详细信息，可以打开“命令提示符”，键入　tasklist /svc>abc.txt 命令，于是在当前目录中，将会生成一个abc.txt文件，其内容就是当前正在运行的所有进程情况，例如进程名、PID号、该进程启动了哪些服务。 

　　Svchost.exe病毒的清除方法：

　　1、用unlocker删除类似于C:\SysDayN6这样的文件夹：例如C:\Syswm1i、C:\SysAd5D等等，这些文件夹有个共同特点，就是名称为 Sys*** （***是三到五位的随机字母），这样的文件夹有几个就删几个。 

　　2、开始——运行——输入“regedit”——打开注册表，展开注册表到以下位置： 

　　HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 

　　删除右边所有用纯数字为名的键，如 

　　<66> 

　　<333> 

　　<50> 

　　<4> 

　　3、重新启动计算机，病毒清除完毕。  ^[1]

不是木马病毒引起的。以下是解决方法1：

 

假设你已经使用了杀毒软件排除了病毒和已经使用反间谍软件排除了恶意软件的影响：
清空C:\WINDOWS\SoftwareDistribution 目录下所有的文件重启机器即可。

（C:\WINDOWS\SoftwareDistribution是Windows update服务的临时文件存放目录）

如果机器提示文件正在使用（"Automatic Updates"服务正在运行）无法删除相应目录：

• 则先打开控制面板==>管理工具==>服务，找到"Automatic Updates"，设置成手动启动，
• 重启后再删除 C:\WINDOWS\SoftwareDistribution。问题就解决了。
• 然后再打开控制面板==>管理工具==>服务，找到"Automatic Updates"，恢复成自动启动重启。

引起进程飙满的原因是由于Windows Update服务下载/安装失败而导致更新服务反复重试造成的。而Windows的自动更新也是依赖于svchost服务的一个后台应用，从而表现为svchost.exe负载极高。另外正版XP此发病率极高~！看来正版也不是那么好用地~!

解决方法2：关闭svchost.exe任务总结

服务使用情况可以察看或操作的为以下五处
1、注册表
      运行regedit
  1)    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
可以看到所有服务的英文名简称，与任务管理器里的映像名称一致
  2)   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost
        右边的窗口可以看到所有分了类的svchost的服务，所有的svchost.exe允许的服务都列在分类中，如果用tasklist发现有不属于的服务则很可能是木马。所有服务如果全部打开肯定达到或者超过8个svchost.exe，所以即使有这么多svchost.exe也不一定代表中招。

2、服务
      运行services.msc
      看到的都是所有可用服务的详细英文名，表面上是看不出哪些属于svchost.exe的。

3、当前运行的服务
运行cmd进入命令行
输入tasklist /svc (win2000输入tlist -s)
查看所有当前进程所对应的服务的详细信息。

4、当前运行服务
运行taskmgr或者ctrl+alt+del
可以查看服务映像名，PID以及占用cpu和内存

5、启动服务
运行msconfig 服务选项卡，可以更改下一次启动的服务

结合1 2 3 4查看svchost.exe服务如下，一个svchost多余两个服务则用途略去，按照我后面写的方法自己去查吧

图像名             PID       服务                                       用户名                               服务用途
svchost.exe                 DcomLaunch, TermService      SYSTEM
svchost.exe                 RpcSs                                   NETWORK SERVICE     提供终结点映射程序(endpoint mapper)以及其它 RPC服务
svchost.exe                 AudioSrv, BITS, Dhcp等一堆     SYSTEM
svchost.exe                 Dnscache                             NETWORK SERVICE     为此计算机解析和缓冲域名系统 (DNS) 名称svchost.exe