svchost及简单的进程管理

svchost及简单的进程管理
2012年01月17日
　　svchost.exe是一个属于微软Windows操作系统的系统程序，微软官方对它的解释是：Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要，而且是不能被结束的。 [b]与病毒相关的描述 [/b]
　　因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒 “w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。 假设windowsxp系统被“w32.welchia.worm”感染了。正常的 svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。 “w32.welchia.worm”病毒存在于“c:\windows\system32\wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。查看所有svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。 [b]svchost.exe病毒清除办法 [/b]
　　1．用unlocker删除类似于C:SysDayN6这样的文件夹：例如C:Syswm1i、C:SysAd5D等等，这些文件夹有个共同特点，就是名称为 Sys*** （***是三到五位的随机字母），这样的文件夹有几个就删几个。 2．开始――运行――输入“regedit”――打开注册表，展开注册表到以下位置：
　　HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre nt\Version\Policies\Explorer\Run
　　删除右边所有用纯数字为名的键，如
　　C:SysDayN6svchost.exe>
　　C:Syswm1isvchost.exe>
　　C:SysAd5Dsvchost.exe>
　　C:SysWsj7svchost.exe>
　　3．重新启动计算机，病毒清除完毕
　　查看进程管理
　　1.开始-->运行 wmic 出现dos窗口后输入 process 就可以看到进程路径了
　　2.在“开始》程序》附件》系统工具》系统信息：软件环境---正在运行的任务 下可看具体进程路径
　　或用系统的Msinfo32命令可以查看Svchost.exe进程的详细信息，然后从进程路径和运行的用户来判断它是否为正常系统进程。
　　①单击“开始→运行”，执行msinfo32命令打开系统信息窗口。
　　②依次展开“系统摘要→软件环境→正在运行任务”，在这里获得的信息有：进程名称、路径、优先顺序、开始时间、版本等。通过这些信息就可以方便地判断Svchost.exe的真伪了。
　　3.命令：Tasklist 功能：命令用来显示运行在本地或远程计算机上的所有进程，可以监控用户的操作。
　　具体用法可以运行 tasklist /? 系统会有详细说明