《一、原理篇》
首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。由于Windows系统中的服务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那svchost.exe在这中间是担任怎样一个角色呢?
svchost.exe的工作就是作为这些服务的宿主,即由svchost.exe来启动这些服务。svchost.exe只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。
1、svchost.exe是病毒这种说法是任何产生的呢?
因为svchost.exe可以作为服务的宿主来启动服务,所以病毒、木马的编写者也挖空心思的要利用svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。
首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。由于Windows系统中的服务越来越多,为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那svchost.exe在这中间是担任怎样一个角色呢?
svchost.exe的工作就是作为这些服务的宿主,即由svchost.exe来启动这些服务。svchost.exe只是负责为这些服务提供启动的条件,其自身并不能实现任何服务的功能,也不能为用户提供任何服务。svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。
2、檢測是否為病毒作怪方法:
微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd,然后在命令行模式中输入:tasklist /svc。系统列出如图2所示的服务列表。图2中红框包围起来的区域就是svchost.exe启动的服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染,svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:/Windows/System32”目录下的svchost.exe程序。如果你在其它目录下发现svchost.exe程序的话,那很可能就是中毒了。
还有一种确认svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径,所以要使用第三方的进程察看工具。
上面简单的介绍了svchost.exe进程的相关情况。总而言之,svchost.exe是一个系统的核心进程,并不是病毒进程。但由于svchost.exe进程的特殊性,所以病毒也会千方百计的入侵svchost.exe。通过察看svchost.exe进程的执行路径可以确认是否中毒。
《二、常見原因和解決》
一、电脑上同时装有windows update和microsoft update,停止其中一个就行了,如果還不行按方法二執行重置Windows 自动更新。
二、重置Windows 自动更新:
1、运行“services.msc”,打开服务列表。双击“Automatic Updates”一项,切换到“登录”选项卡,确保本機系統帳號被勾選。回到“常规”选项卡,把“启动类型”设为自动,并启动服务。
按以上方法设置另一个服务“Background Intelligent Transfer Service”,稍有不同的就是“启动类型”可以设为“手动”,但同样要启动。
对于“控制面板”里的“自动更新”可以设为“关闭”;
2、接下来重新注册Windwos Update的各个组件,在cmd里逐个输入以下命令并逐个回车(当然你也可以写成bat文件一次搞定):
regsvr32 wuapi.dll
regsvr32 wuaueng.dll
regsvr32 wuaueng1.dll
regsvr32 atl.dll
regsvr32 wucltui.dll
regsvr32 wups.dll
regsvr32 wups2.dll
regsvr32 wuweb.dll
如果你每回车一个命令就显示注冊XX.dss成功的对话框,那是正常,但万一有某个组建注册失败,我也就无能为力了。
3、清除可能已损坏了的 windows update 缓存目录。先把“Automatic Updates”停止,然后运行“%windir%”,找到“softwaredistribution”文件夹并删除,同层的“system32”文件夹内还有一个“softwaredistribution”,也删除(如果删除这两个文件夹的过程中有提示不能删除的错误信息的话,重新启动并进入“安全模式”下删),删完以后重新启动,立马去Microsoft updata看看是否解决。
建议:在整个过程中,确保IE没有运行,最好是把能关的程序都关了再进行。
三、有一种加壳的木马名字叫svchost.exe,看起来和系统的svchost.exe服务一模一样,但是它的启动是属于用户的,而不是系统的,在任务管理器可以看到!注意当你看到很多svchost.exe的时候要特别注意!!而且用杀毒软件或者是木马客星都杀不掉!大家注意一点,不要认为有杀毒软件或是防火墙就是万能了,有些加壳了之后杀软也发现不了!不过手动可以清除它:首先在任务管理器中把svchost.exe进程(是用户的)关掉!其实你关了进程还是在后台运行,这个时候,你进入注册表HKEY-LOCALMACHINE/SOFTWORE/MICROSOFT/WINDOWS/CURRRENTVERSION/RUN中,把svchost.exe和runonce中也删除它!然后进入安全模式删除(如果知道在那个文件夹中,要进入dos删除)然后重新启动!! 或在安全模式下用杀毒软件杀!!(是在完成注册表删除之后)