- gitcloud
-
svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。
大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。
发现
在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。
如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。
svchost中可以包含多个服务
深入
windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢?
原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。
从启动参数中可见服务是*svchost来启动的。
实例
以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:windowssystem32svchost -k rpcss”,这说明rpcss服务是依*svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。
在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。
解惑
因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。
假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:windowssystem32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:windowssystem32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。
由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。
讨论
并不是启动一个相关服务就多一个svchost进程的,而是根据命令参数分组,一般是一组服务就有一个svchost进程,如TT举例的那个c:windowssystem32svchost -k rpcss,这个属于rpcss组。
- 以心消业
-
svchost.exe是一个属于微软Windows操作系统的系统程序。
微软官方的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。
- 北营
-
你结束它不久知道是什么进程了
相关推荐
请问svchost是什么意思?
svchost.exe是微软Windows操作系统中的系统文件,微软官方对它的解释是:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。许多服务通过注入到该程序中启动,所以会有多个该文件的进程。扩展资料:Svchost原理 Svchost本身只是作为服务宿主,并不实现任何服务功能,需要Svchost启动的服务以动态链接库形式实现,在安装这些服务时,把服务的可执行程序指向svchost,启动这些服务时由svchost调用相应服务的动态链接库来启动服务。那么svchost如何知道某一服务是由哪个动态链接库负责呢?这不是由服务的可执行程序路径中的参数部分提供的,而是服务在注册表中的参数设置的,注册表中服务下边有一个Parameters子键其中的ServiceDll表明该服务由哪个动态链接库负责。并且所有这些服务动态链接库都必须要导出一个ServiceMain()函数,用来处理服务任务。例如rpcss(Remote Procedure Call)在注册表中的位置是HKEY_LOCAL_MACHINESYSTEMC urrentControlSetServicesRpcSs,它的参数子键Parameters里有这样一项:"ServiceDll"=REG_ EXPAND_SZ:"%SystemRoot%system32 pcss.dll" 。当启动rpcss服务时,svchost就会调用rpcss.dll,并且执行其ServiceMain()函数执行具体服务。既然这些服务是使用共享进程方式由svchost启动的,为什么系统中会有多个svchost进程呢?ms把这些服务分为几组,同组服务共享一个svchost进程,不同组服务使用多个svchost进程,组的区别是由服务的可执行程序后边的参数决定的。 例如rpcss在注册表中 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs 有这样一项: "ImagePath"=REG_EXPAND_SZ:"%SystemRoot%system32svchost -k rpcss" 因此rpcss就属于rpcss组,这在服务管理控制台也可以看到。svchost的所有组和组内的所有服务都在注册表的如下位置: HKEY_LOCAL_MACHINESOFTWA REMicrosoftWindows NTCurrentVersionSvchost,例如windows 2000共有4组rpcss、netsvcs、wugroup、BITSgroup,其中最多的就是netsvcs=REG_MULTI_SZ:EventSystem.Ias.I prip.Irmon.Netman. Nwsapagent.Ra sauto.Rasman.Remoteaccess.SENS.Sharedaccess.Tapi srv.Ntmssvc.wzcsvc.. 在启动一个svchost.exe负责的服务时,服务管理器如果遇到可执行程序内容ImagePath已经存在于服务管理器的映象库中,就不在启动第2个进程svchost,而是直接启动服务。这样就实现了多个服务共享一个svchost进程。参考资料:百度百科-svchost2023-07-02 18:37:125
Svchost.exe进程介绍 Svchost病毒清除方法
Svchost.exe在windows进程中占据很大一部分的资源,而且这个进程非常容易被病毒所利用。Svchost.exe被病毒利用之后,系统常会弹出Svchost.exe错误,当然Svchost病毒也有专杀工具。那么Svchost.exe是什么进程呢? Svchost 病毒又该怎么去清除呢?接下来就让我们一起来了解下吧。 很多朋友对 Svchost 进程都不太了解,有时在任务管理器中一旦看到有多个该进程,就以为自己的电脑中了病毒或木马,其实并非如此!正常情况下,windows中可以有多个Svchost.exe进程同时运行,例如Windows 2000至少有2个Svchost进程,Windows XP中有4个以上,Windows 2003中则有更多,所以当你看到多个Svchost进程时,未必就是病毒! Svchost.exe是什么 ? Svchost.exe文件存在于“%system root%system32”(例如C:Windowssystem32)目录下,它是Windows NT核心的重要进程(Windows 9X没有该进程),专门为系统启动各种服务的。例如Svchost.exe调用rpcss.dll文件,就会启动rpcss服务(remote procedure call). Svchost.exe实际上是一个服务宿主,它本身并不能给用户提供任何服务,但是可以用来运行动态链接库DLL文件,从而启动对应的服务。Svchost.exe进程可以同时启动多个服务。 Svchost.exe是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过查看 Svchost.exe进程的执行路径可以确认是否中毒 如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:WindowsSystem32”目录下的Svchost.exe程序。如果你在 其他 目录下发现Svchost.exe程序的话,那很可能就是中毒了。 Svchost病毒清除办法 1、删除类似于C:SysDayN6这样的文件夹:例如C:Syswm1i、C:SysAd5D等等,这些文件夹有个共同特点,就是名称为 Sys*** (***是三到五位的随机字母),这样的文件夹有几个就删几个。 2、开始——运行——输入“regedit”——打开注册表,注册表到以下位置; HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun 删除右边所有用纯数字为名的键,如 <66> <333> <50> <4> 3、重新启动计算机,病毒清除完毕。 以上就是我为您介绍的 Svchost .exe进程及 Svchost 病毒清除方法了,希望以上的介绍可以给您些小参考。2023-07-02 18:37:421
SVCHOST是什么?
分类: 电脑/网络 >> 硬件 问题描述: svchost是什么啊?我用木马克星查到了它被怀疑是病毒程序,它是什么程序啊? 解析: Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。 Svchost.exe 文件位于 %SystemRoot%\System32 文件夹中。启动时,Svchost.exe 将检查注册表的服务部分,以构建需要加载的服务的列表。Svchost.exe 的多个实例可同时运行。每个 Svchost.exe 会话可以包含一组服务,以便可以根据 Svchost.exe 的启动方式和位置的不同运行不同的服务。这样可以更好地进行控制,且更加便于调试。 Svchost.exe 组由以下注册表项标识: HKEY_LOCAL_MACHINE\Sofare\Microsoft\WindowsNT\CurrentVersion\Svchost 此注册表项下的每个值都代表单独的 Svchost 组,并在您查看活动进程时作为单独的实例显示。每个值均为 REG_MULTI_SZ 值,并且包含在该 Svchost 组下面运行的服务。每个 Svchost 组都可以包含一个或多个从以下注册表项提取的服务名称,该注册表项的参数项包含一个 ServiceDLL 值: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\服务 要查看在 Svchost 中运行的服务的列表,请执行以下操作: 单击 Windows 任务栏上的开始,然后单击运行。 在打开框中,键入 CMD,然后按 ENTER 键。 键入 Tasklist /SVC,然后按 ENTER 键。 Tasklist 命令显示活动进程的列表。/SVC 命令开关显示每个进程中活动服务的列表。有关进程的详细信息,请键入以下命令,然后按 ENTER 键: Tasklist /FI "PID eq 进程 ID"(带引号) 以下的 Tasklist 命令输出示例显示正在运行的 Svchost.exe 的两个实例。 Image Name PID Services ======================================================================== System Process 0 N/A System 8 N/A Smss.exe 132 N/A Csrss.exe 160 N/A Winlogon.exe 180 N/A Services.exe 208 AppMgmt,Browser,Dhcp,Dmserver,Dnscache, Eventlog,LanmanServer,LanmanWorkstation, LmHosts,Messenger,PlugPlay,ProtectedStorage, Seclogon,TrkWks,W32Time,Wmi Lsass.exe 220 Netlogon,PolicyAgent,SamSs Svchost.exe 404 RpcSs Spoolsv.exe 452 Spooler Cisvc.exe 544 Cisvc Svchost.exe 556 EventSystem,Netman,NtmsSvc,RasMan, SENS,TapiSrv Regsvc.exe 580 RemoteRegistry Mstask.exe 596 Schedule Snmp.exe 660 SNMP Winmgmt.exe 728 WinMgmt Explorer.exe 812 N/A Cmd.exe 1300 N/A Tasklist.exe 1144 N/A 此示例的两种组合的注册表设置如下所示: HKEY_LOCAL_MACHINE\Sofare\Microsoft\Windows NT\CurrentVersion\Svchost: Netsvcs: Reg_Multi_SZ:EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Ra *** an Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc RApcss :Reg_Multi_SZ:RpcSs2023-07-02 18:37:491
电脑上有很多Svchost.exe的进程是不是中毒了,怎么解决?
svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的.常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。 在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于6个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。svchost.exe病毒清除办法 1.用unlocker删除类似于C:SysDayN6这样的文件夹:例如C:Syswm1i、C:SysAd5D等等,这些文件夹有个共同特点,就是名称为 Sys*** (***是三到五位的随机字母),这样的文件夹有几个就删几个。 2.开始——运行——输入“regedit”——打开注册表,展开注册表到以下位置: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun 删除右边所有用纯数字为名的键,如 <66> <333> <50> <4> 3.重新启动计算机,病毒清除完毕。2023-07-02 18:37:551
svchost.exe是什么进程可以关掉吗?
这是系统进程,用来加载系统服务项或dll模块用的一个系统进程,不需要的是可以关闭的。1、右键桌面任务栏,选择“启动任务管理器”,如下图所示:2、进去任务管理器之后,可以看到很多进程,往下拉,可以看到很多“svchost.exe”进程,如下图所示:3、随便点击一个"svchost.exe”进程,右键选择“转到服务”,如下图所示:4、进去服务之后,看清楚选中服务的名称,描述,如果不需要,右键选择“停止服务”就完成了,如下图所示:5、然后结束掉选择系统进程的服务后,再回到进程里面可以看到,进程也被结束掉了,2023-07-02 18:38:041
svchost.exe是干嘛的
svchost.exe是微软Windows操作系统中的系统文件,是从动态链接库 (DLL) 中运行的服务的通用主机进程名称,这个程序对系统的正常运行是非常重要,而且是不能被结束的,许多服务通过注入到该程序中启动,所以会有多个该文件的进程。svchost.exe进程信息:进程文件:svchost or svchost.exe。进程名称:Generic Host Process for Win32 Services。进程类别:系统进程。位置:C:windowssystem32svchost.exe。英文描述:svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated. Note: svchost。出品者:Microsoft Corp。属于:Microsoft Windows Operating System。2023-07-02 18:38:421
svchost占用内存过高怎么办
1、首先Ctrl+Alt+Del调出任务管理器,找出引起内存过高的“元凶”了。要勾选“显示所有用户的进程”。 2、然后右键那个svchost任务,选最后一个“转到服务”选项。 3、在这个页面可以看到好几个PID为1056的服务,他们是一家子,这个家的名字叫netsvcs。不要管他们叫什么“名称”,重点看“描述”,等会儿有用。 4、然后看到右下角的那个“服务”按钮,很方便的设计,这是一个超链接,可以直接转到著名的“服务”页面,不用你费心去找了。 5、在这个页面,有一个叫“Windows Update”的服务是吃内存大户,直接停止它就可以了。不过这样并不彻底,还需要右键,进入更多的设置页面。 6、将“启动类型”设置为“手动”,或者“禁止”即可。2023-07-02 18:39:101
svchost一直在,小编教你svchost.exe一直怎么办
win10系统里面有一个“Svchost.exe”进程,会一直不停的在下载东西,为此,有很多的用户都感到十分的困惑,都在问这个程序能不能删除,其实这个程序对系统的正常运行非常重要,下面小编就来为大家介绍一下解决Svchost.exe不停地下载文件的方法。 最近有用户反映,在任务管理器中发现多个svchost正在运行,通过网络监测软件可以看到svchost一直在占用网络,下载一些数据,其实TA是系统的主程序,当我们在进行系统更新的时候,svchost会下载一些临时文件,若要关闭其下载也简单,使用第三方网络管理软件即可进行限制。 1,进入本地组策略编辑器,打开windows设置,打开安全设置。 win10图-1 svchost一直在下载图-2 2,打开本地策略,打开安全选项 svchost图-3 3,选中用户帐户控制,把“用于内置管理员账户的管理员批准模式”和“以管理员批准模式运行所有管理员”都设置为“已启用”,而后重启。选中用户帐户控制,把“用于内置管理员账户的管理员批准模式”和“以管理员批准模式运行所有管理员”都设置为“已启用”,而后重启。 一直在下载图-42023-07-02 18:39:491
怎么彻底关闭svchost
彻底关闭svchost的具体步骤如下:1、首先打开电脑,进入到电脑桌面中。2、然后右键单击任务栏空白的地方,选择打开“启动任务管理器”。3、然后在弹出来的窗口中点击打开“进程”。4、然后在弹出来的窗口中找到“svchost”,右键单击选择“结束进程”即可。2023-07-02 18:40:103
svchost一直在下载怎么关闭
svchost进程关闭步骤: 1、在电脑左下角的搜索区搜索“控制面板”,并打开,然后依次找到并进入“管理工具”、“服务”选项。也可以右键单击“此电脑”,然后选择“管理”选项,进入后找到并点击“服务应用程序”,然后选择“服务”选项; 2、在服务列表中找到“Background Intelligent Transfer Service”; 3、右键点击“Background Intelligent Transfer Service”,鼠标移至“所有任务”一栏,然后选择“停止”,即可关闭Background Intelligent Transfer Service服务,从而停止svchost.exe进程。2023-07-02 18:40:521
svchost有什么用
Svchost.exe进程是一个属于微软Windows操作系统的系统进程,微软系统自身联网升级更新什么的需要Svchost.exe,大部分软件也需要Svchost.exe联网之后才能升级,这个程序对系统的正常运行是非常重要。 可以打开任务管理器。点击“显示所有用户进程”。点击“镜像名称”进行排序,接着在列表中找到Svchost.exe进程,选中一个Svchost.exe进程,右键点击打开菜单,选择“转到服务”,可以终止相应的服务。2023-07-02 18:40:591
svchost一直在下载怎么办?
1、首先,我们左键点击屏幕右下角“开始菜单”(Windows图标),然后在右侧的生活动态选项中选择“应用商店”。2、进入应用商店后我们点击搜索框左侧的“用户头像”,然后在选项中选择“设置”按钮,如图:3、进入设置窗口后,我们将“自动更新应用”按钮关闭即可完成,之后您就会发现svchost进程已经不再进行下载任务。注意事项:如果你使用了Windows Update程序更新系统的时候,或者是安装Windows 8Metro应用,那么这个时候下载数据就是必须的,千万不能退出这个程序,否则系统将会关闭,就等待其下载完成之后就可以了。你的电脑带宽闲置以后,就可以打开网络连接让其继续下载了,据笔者测试,其下载的文件也不过就是一个临时文件,后缀是.tmp,最后系统垃圾文件清理时就可以将其删除掉。svchost.exe进程不是病毒程序,只是系统重要程序之一。在系统更新结束之后,svchost.exe就会自动释放网络,请用户放心使用。2023-07-02 18:41:061
svchost.exe是什么进程?
svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remoteprocedurecall)、dmserver服务(logicaldiskmanager)、dhcp服务(dhcpclient)等。到了WindowsVista系统时svchost进程多达12个,这些svchost.exe都是同一个文件路径下C:WindowsSystem32svchost.exe,它们分别是imgsvc、NetworkServiceNetworkRestricted、LocalServiceNoNetwork、NetworkService、LocalService、netsvcs、LocalSystemNetworkRestricted、LocalServiceNetworkRestricted、services、rpcss、WerSvcGroup、DcomLaunch服务组。如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist-s”命令来查看,该命令是win2000supporttools提供的。在winxp则使用“tasklist/svc”命令。2023-07-02 18:41:371
svchost.exe病毒如何彻底清除?
分类: 电脑/网络 >> 反病毒 问题描述: 我查了好多资料,但跟我机子的症状都不是完全像.进程里有6个svchost.exe其中一个经过tasklist/svc查看时状态是暂缺,根据其PID用第三方工具结束进程后,过一会儿就会又产生个新的有着另外一个PID的svchost.exe进程,这个没猜错的话应该是木马,可查过了很多资料,说这个正常的话应该在system32下,而另外的不在这个目录下的就可能是病毒,可我搜索了好几次,除了这个目录下有svchost外,别的目录下根本再没有它了,那个暂缺的结束了又生成的svchost进程路径也是在system32下,除此之外,我在安全模式下杀了好几次毒,各种木马专杀软件都试过,重新启动了就又弹出了"Generic host process for win32 services遇到问题需要关闭"这样的对话框,MS06-040补丁也打过了,用魔波专杀也没杀出来.应该不是中了魔波,因为在别的目录下没有svchost. 另外还有些别的症状,顺便提一下,风扇吹得很厉害,切换网页会越来越慢,机子重启时每两次不会弹出那个框,第三次启动时就弹出那个G..的框,还有我的IE首页每次重启动时主页都会改成空白页,拿兔子等工具修复也无济于事,还有工具栏的文件夹选项中的那两个选项:"显示所有文件和文件夹/不显示隐藏的文件和文件夹"居然是同时选中的,拿正确的注册表值修改过后当时恢复正常,但重启后就又犯病了,不知这些症状与那个svchost.exe毒有没关系,提出来大家帮一并解决一下.问题比较多,主要是十一那会儿刚装了系统,不想再重装系统了,而且听说有的重装了系统也不管用,所以求各位大哥大姐们帮帮忙,小妹感激不尽啊! PS:谢绝一切冠冕堂皇的关于svchost.exe的介绍,那个我已经看了很多了,只求各位有个针对我如上症状的药方能够对症下药!谢谢! 解析: 先参看我的空间,把系统优化一下,尤其是对多余的服务要关闭,有截图,这样一般情况下进程中只会有两个svchost.exe;显示隐藏的文件的问题我的空间里也有篇介绍,可看一下; 不知有没有用SREng扫过日志,可扫个日志帖到你的空间或我的帖吧里,最好通知下看看2023-07-02 18:41:431
进程中有多个svchost.exe进程,这是怎么回事??
Svchost.exe、lsass.exe、wdfmgr.exe,打开进程列表后你会发现一大堆不知用途的进程,究竟是系统进程还是木马病毒?如果打开系统文件夹,一大堆奇奇怪怪名称的文件,更是会把你弄得晕头转向。很多朋友因此而始终抱有一种未知的恐惧,认为木马、黑客无处不在,即使是高手,也不能把这些陌生的系统文件说个明明白白。为消除大家的疑惑,从这期开始为大家带来一档新的连载栏目——系统蓝色档案为大家曝光这些隐秘文件的秘密。两位主人公,现在就来认识一下。 主人公介绍 小菜:刚接触电脑不久的菜鸟,但对电脑知识有着非常浓厚的学习兴趣,常说的一句话是“菜鸟先飞”。 大嘴:乐于助人的老鸟,经常被别人冠以“大嘴高手”称号,不过这并不是指他嘴特别大,而是一谈到电脑知识就滔滔不绝。 一、紧急状况:系统发现严重病毒 小菜刚刚学习了进程的概念和知识,于是就打开“任务管理器”观察系统中的进程,这一看不要紧,还真发现了一个“病毒”Svchost.exe,这家伙在系统进程列表中竟然有5个之多(见图1),于是小菜就逐个结束这些进程,没想到第二个进程结束后还会再生,而结束第四个进程时更离谱,系统提示“系统即将关机,离关机还有60秒”,进程再生、错误提示,这些典型的病毒“症状”更让小菜相信“Svchost.exe”是病毒无疑,但无法结束进程,又该怎么清除病毒呢?小菜只好请来了大嘴。 图1 数量众多的SVCHOST进程 大嘴过来后还没看电脑,就先告诉小菜,系统中的Svchost.exe进程是正常系统进程,不是病毒,不仅仅是你,其他朋友一看到系统中这么多的Svchost.exe进程,第一反应也感觉它是病毒,虽然系统中有多个Svchost.exe进程是正常的,但也不保证都是正常的。听起来似乎有些矛盾?这让小菜更有些迷糊,大嘴坐下后给小菜详细讲了起来。 二、松了口气:Svchost.exe是台“CD机” 1.服务装在“CD机”里 Svchost.exe是NT内核*作系统(Windows 2000/XP/2003都属于NT内核*作系统)独有的进程,“Svchost”其实就是“Service Host”(服务宿主)的缩写。微软官方对它的定义是:Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称,通俗讲,它就是一个服务装载器。大家可以把每个服务想象成一张音乐CD,而Svchost.exe就是用来播放这种CD的CD机。 2.为什么用“CD机”装服务 由于Windows 2000/XP系统服务越来越多,以EXE单独进程的形式启动所有服务会大大增加系统负担,为节省系统资源,微软将一些系统服务以动态链接库(DLL)形式实现,而Svchost.exe就是用来装载这些DLL文件以启动系统服务的程序。没有人会为了发行一张CD而制作一台专用播放此CD的CD机,微软也一样。 3.系统里有几台这样的“CD机” 那为什么系统进程列表中的Svchost.exe会有多个呢?微软为了让系统能更好地进行服务控制,就允许多个Svchost.exe进程同时运行,每个Svchost.exe进程可以包含一组服务,想像一下可以同时容纳3张甚至更多CD的多碟CD机。打开注册表[HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost]主键,在窗口右侧可以看到许多键值,这里的每个键值都代表一组服务,键值数据则包含了该组服务下面运行的服务名称列表,每组服务启动时都会通过单独的Svchost.exe进程来装载。Windows XP中默认共有六组服务(见图2),其中imgsvc、NetworkService、rpcss、termsvcs四个组,它们都只有一个服务运行,这些服务启动后的Svchost.exe进程用户名为“SYSTEM”。而LocalService和netsvcs组都启动了多个服务,它们的Svchost.exe进程用户名分别为“LOCAL SERVICE”和“NETWORD SERVICE”,从图1中可以看到这种区别。 图2 众多svchost进程的区别 当然了,这六组服务通常并不都是启动状态的,根据系统启动的服务不同,反映在系统进程列表中的Svchost.exe进程数量也是不同的,Windows XP会有四个到六个Svchost.exe进程,而Windows 2000通常则会有两个Svchost.exe进程。 小提示:点击“开始→运行”,在运行框中输入“CMD”回车,然后在打开的命令行窗口中输入“Tasklist /svc”(不含引号)命令,可以更直观地看到每个Svchost.exe进程装载的服务名称列表(见图3)。 图3 查看svchost进程装载的服务名称 4.获取每张“CD”的详细信息 如果想更进一步了解Svchost.exe装载的这些服务都是什么功能,可以记下键值数据中的服务名称,例如“RpcSs”,接着打开注册表的[HKEY_LOCAL_MACHINESystemCurrentControlSetServices],再打开下面的“RpcSs”子键,在右边的“Description”键值中就可以看到该服务的描述,而在“ImagePath”键值数据中则可以看到这个服务的运行命令正是“%SystemRoot%system32svchost -k rpcss”(见图4)。而在“RpcSs”子键下还有一个“Parameters”(参数)子键,其右边的“ServiceDll”键值数据“%SystemRoot%system32 pcss.dll”则表明了RpcSs服务启动时调用的是系统目录下的“Rpcss.dll”文件,这就好像你原来只知道CD中歌曲的歌名,现在又让你能够查到这首歌的演唱者。 图4 查看svchost的具体功能 如果觉得通过注册表查询服务名称了解其属性不太方便,也可以使用“全能助手用Windows服务管理专家”(以下简称“服务管理专家”)来查询,运行软件后单击“All Win32 Services”分支,在右侧服务列表中根据服务名称索引即可快速找到要查询的服务,单击服务名称,即可看到该服务的启动命令以及调用的DLL文件等相关信息(见图5)。同时软件还专门设计了Svchost Group分支,可以快速查询LocalService和netsvcs组中的服务详细信息。 图5 用工具查看svchost的情况 全能助手Windows服务管理专家 小档案 软件名称: 全能助手Windows服务管理专家 软件版本: 1.02 软件大小: 67KB 软件授权: 免费 适用平台: Windows 2000/XP 下载地址: 点击这里下载 三、危机仍在:小心病毒的骗局 由于Svchost.exe进程的特殊性,它隐藏了真正运行的程序的名称,在表面看到的只是Svchost.exe进程,这个特性同时也让许多病毒、木马有空可钻,企图以此迷惑用户。那么如何判断系统中的多个Svchost.exe进程是否正常呢?下面针对这类病毒常用的几种欺骗手法来进行分析。 骗局1:利用假冒Svchost.exe名称的病毒程序 火眼金睛:这种方式运行的病毒并没有直接利用真正的Svchost.exe进程,而是启动了另外一个名称同样是Svchost.exe的病毒进程,由于这个假冒的病毒进程并没有加载系统服务,它和真正的Svchost.exe进程是不同的,只需在命令行窗口中运行一下“Tasklist /svc”,如果看到哪个Svchost.exe进程后面提示的服务信息是“暂缺”(见图6),而不是一个具体的服务名,那么它就是病毒进程了,记下这个病毒进程对应的PID数值(进程标识符),即可在任务管理器的进程列表中找到它,结束进程后,在C盘搜索Svchost.exe文件,也可以用第三方进程工具直接查看该进程的路径,正常的Svchost.exe文件是位于%systemroot%System32目录中的,而假冒的Svchost.exe病毒或木马文件则会在其他目录,例如“w32.welchina.worm”病毒假冒的Svchost.exe就隐藏在WindowsSystem32Wins目录中,将其删除,并彻底清除病毒的其他数据即可。 图6 查看可疑svchost进程 骗局2:一些高级病毒则采用类似系统服务启动的方式,通过真正的Svchost.exe进程加载病毒程序,而Svchost.exe是通过注册表数据来决定要装载的服务列表的,所以病毒通常会在注册表中采用以下方法进行加载: 添加一个新的服务组,在组里添加病毒服务名 在现有的服务组里直接添加病毒服务名 修改现有服务组里的现有服务属性,修改其“ServiceDll”键值指向病毒程序 判断方法:病毒程序要通过真正的Svchost.exe进程加载,就必须要修改相关的注册表数据,可以打开[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost],观察有没有增加新的服务组,同时要留意服务组中的服务列表,观察有没有可疑的服务名称,通常来说,病毒不会在只有一个服务名称的组中添加,往往会选择LocalService和netsvcs这两个加载服务较多的组,以干扰分析,还有通过修改服务属性指向病毒程序的,通过注册表判断起来都比较困难,这时可以利用前面介绍的服务管理专家,分别打开LocalService和netsvcs分支,逐个检查右边服务列表中的服务属性,尤其要注意服务描述信息全部为英文的,很可能是第三方安装的服务,同时要结合它的文件描述、版本、公司等相关信息,进行综合判断。例如这个名为PortLess BackDoor的木马程序,在服务列表中可以看到它的服务描述为“Intranet Services”,而它的文件版本、公司、描述信息更全部为空(见图7),如果是微软的系统服务程序是绝对不可能出现这种现象的。从启动信息“C:WINDOWSSystem32svchost.exe -k netsvcs”中可以看出这是一款典型的利用Svchost.exe进程加载运行的木马,知道了其原理,清除方法也很简单了:先用服务管理专家停止该服务的运行,然后运行regedit.exe打开“注册表编辑器”,删除[HKEY_LOCAL_MACHINESystemCurrentControlSetServicesIPRIP]主键,重新启动计算机,再删除%systemroot%System32目录中的木马源程序“svchostdll.dll”,通过按时间排序,又发现了时间完全相同的木马安装程序“PortlessInst.exe”,一并删除即可。2023-07-02 18:42:002
svchost.exe是什么进程
svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。用途说明svchost.exe可以几个同时存在,windows 2000一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,在XP之后的系统中则更多(WIN7一般是6个,但所有系统中数目都不是绝对的,有时候多一点少一点也是正常现象,是不是病毒也不能杞人忧天,需要用合理的方法来判断),可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。这样做在一定程度上减少了系统资源的消耗,不过也带来一定的不稳定因素,因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出。该进程无法用任务管理器终止,如果用工具强制终止会立刻得到提示并自动关机(如果没有,说明该进程有问题,但不要轻易尝试终止这个进程!)。另外,有很多的windows7(64位)系统中,系统盘下的SysWOW64文件夹(位于Windows文件夹内)内存在一个svchost.exe,即使有也不必惊慌,没有任何证据表明这是一个可疑的文件,大多安全工具都没有指出它有问题,而且它拥有完整的信息(版本号、公司等等),这应该是一个系统进程,因此不必担心。文件信息注释: svchost.exe是一类通用的进程名称。它是和运行动态链接库(DLLs)的Windows系统服务相关的。在机器启动的时候,svchost.exe检查注册表中的服务,运行并载入它们。经常会有多个svchost.exe同时运行的情况,每一个都表示该计算机上运行的一类基本服务。请不要把它和scvhost.exe混淆。详细分析: svchost.exe 是存放在目录C:WindowsSystem32。已知的Windows XP 文件大小为14336 字节 (占总出现比率85% ),21504 字节 及22 种其它情况。进程没有可视窗口。 这个文件是由Microsoft 所签发。 这个进程打开接口连到局域网或互联网。 总结在技术上威胁的危险度是9%。如果svchost.exe 位于在C:Windows 下的子目录下,那么威胁的危险度是74%。文件大小是106496 字节 (占总出现比率5% ),16896 字节 及121 种其它情况。这个不是Windows 核心文件。 应用程序没有可视窗口。 这个程序没有备注。 这是个不知名的文件存放于Windows 目录。svchost.exe 是有能力可以 监控应用程序,纪录输入,隐藏自身,接到互联网,操纵其他程序。如果svchost.exe 位于在目录C:Windows下,那么威胁的危险度是67%。文件大小是36352 字节 (占总出现比率10% ),49242 字节 及74 种其它情况。这个不是Windows 系统文件。 进程是不可见的。 文件存放于Windows 目录但并非系统核心文件。 没有进程的相关资料。svchost.exe 是有能力可以 纪录输入,监控应用程序。如果svchost.exe 位于在目录C:WindowsSystem32drivers下,那么威胁的危险度是87%。文件大小是30720 字节 (占总出现比率10% ),49152 字节 及48 种其它情况。如果svchost.exe 位于在"C:Documents and Settings" 下的子目录下,那么威胁的危险度是66%。文件大小是233472 字节 (占总出现比率12% ),106496 字节 及87 种其它情况。如果svchost.exe 位于在"C:Program Files" 下的子目录下,那么威胁的危险度是63%。文件大小是497664 字节 (占总出现比率19% ),493568 字节 及66 种其它情况。如果svchost.exe 位于在of C: 下的子目录下,那么威胁的危险度是66%。文件大小是239104 字节 (占总出现比率23% ),183808 字节 及25 种其它情况。如果svchost.exe 位于在C:WindowsSystem32 下的子目录下,那么威胁的危险度是75%。文件大小是525312 字节 (占总出现比率12% ),86016 字节 及53 种其它情况。如果svchost.exe 位于在目录"C:Program FilesCommon Files" 下的子目录下,那么威胁的危险度是65%。文件大小是1429504 字节 (占总出现比率22% ),289280 字节 及13 种其它情况。如果svchost.exe 位于在目录"C:Program FilesCommon Files"下,那么威胁的危险度是61%。文件大小是17920 字节 (占总出现比率56% ),20480 字节 及4 种其它情况。如果svchost.exe 位于在C:WindowsSystem32drivers 下的子目录下,那么威胁的危险度是72%。文件大小是244484 字节 (占总出现比率22% ),167936 字节 及5 种其它情况。如果svchost.exe 位于在Windows 的临时目录下,那么威胁的危险度是52%。文件大小是109222 字节 (占总出现比率20% ),241664 字节,27652 字节,46154 字节,655360 字节。如果svchost.exe 位于在目录C:下,那么威胁的危险度是64%。文件大小是415232 字节 (占总出现比率60% ),115712 字节,15536 字节。如果svchost.exe 位于在目录"C:Program Files"下,那么威胁的危险度是56%。文件大小是28672 字节 (占总出现比率33% ),37376 字节,25600 字节。如果svchost.exe 位于在"My Files" 下的子目录下,那么威胁的危险度是56%。文件大小是7168 字节。切记: svchost.exe 也可能是恶意软件所伪装,尤其是当它们存在于除了c:windowssystem32以外目录!你好,本题已解答,如果满意请点右下角“采纳答案”。2023-07-02 18:42:132
我电脑里好多SVCHOST进程 这是病毒吗?
不是。这是正常的。windows2000一般有2个svchost进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe。windowsXP中,则一般有4个以上的svchost.exe服务进程。windows2003server中则更多。可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。这样做在一定程度上减少了系统资源的消耗,不过也带来一定的不稳定因素,因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出。另外就是有一点安全隐患(病毒),首先要介绍一下svchost.exe的实现机制。2023-07-02 18:42:394
svchost占用内存过高应该怎样解决?
svchost占用内存过高的解决方法是右键计算机电脑,点“管理”,选择服务和应用程序,找到superfetch的选项,把自动改为手动即可。具体如下:1、当使用使用电脑非常卡的情况下,那么就可以使用查看任务管理器中,使用内存排序功能,查看哪个内存占用过高的问题,可以看到的svhost.exe导致问题。2、进行右键计算机电脑,弹出了下来菜单中选择为“管理”。3、进入到了计算机管理器中,选择为服务和应用程序的选中。4、在弹出了下拉菜单中进行点击为“服务”的选项。5、进入到了服务的列表中,进行列表中找到为superfetch的选项,并进行双击点击进入。6、弹出了superfetch的选项之后,在启动类型中,把自动改为手动即可。注意事项:1、强烈建议不要禁用“Windows Update”更新。2、禁止更新对系统也不好,安全隐患极大。所以,建议你优化自动更新服务就好。2023-07-02 18:42:481
电脑出现svchost.exe程序
1、病毒木马原因导致的,因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,使svchost成为病毒的傀儡进程,进行病毒下载操作,从而下载大量木马,盗取用户信息。 因此黑白网络推荐可以使用金山卫士对木马病毒木马查杀 。2、IE组件在注册表中注册信息被破坏,重新注册ie组件信息问题即可解决。3、如果电脑有打印机,还可能是因为打印机驱动安装错误,也会造成的错误,只要重新安装打印机驱动即可解决。4、某些软件与Svchost.exe发生冲突导致的,解决方法就是卸载该软件或者升级该软件到最新版本。5、现在大多数网民喜欢使用ghost系统,破解版系统,但是使用这些系统可能存在不兼容因素,很容易导致发生的错误,最好解决方法就是安装使用正版操作系统。2023-07-02 18:44:141
svchost是病毒么
:wub: Service Host Process是一个标准的动态连接库主机处理服务。Svchost.exe文件对那些从动态连接库(DLL)中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。Windows 2000一般有2个Svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个Svchost.exe;而在windows XP中,则一般有4个以上的Svchost.exe服务进程;Windows 2003 server中则更多。Svchost.exe是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会在C:WindowsSystem32目录下找到一个Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。2023-07-02 18:44:201
svchost.exe一直占用大量内存是怎么回事
svchost.exe是系统的正常进程。如果占内存超大,通常是中毒了。 1、当发现Svchost.exe不在%systemroot%System32目录中的,可以安全删除,同时在注册表中查找对应的注册项删除掉。 或用tasklist/svc命令查看svchost.exe 右边的服务是不是“暂缺”,是的话为中毒了。 2、Svchost.exe在%systemroot%System32目录,说明Svchost.exe是被病毒感染了,可以用杀毒软件清除。 3、如果想了解每个SVCHOST进程当前到底提供了哪些系统服务,可以在命令提示符下输入命令来查看。例如在Windows XP中,打开“命令提示符”,键入tasklist /svc命令查看;在Windows 2000中,则输入“Tlist -S”命令来查看。 4、Svchost.exe病毒的清除方法: 1)用unlocker删除类似于C:SysDayN6这样的文件夹:例如C:Syswm1i、C:SysAd5D等等,这些文件夹有个共同特点,就是名称为 Sys*** (***是三到五位的随机字母),这样的文件夹有几个就删几个。 2)开始——运行——输入“regedit”——打开注册表,展开注册表到以下位置: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun 删除右边所有用纯数字为名的键,如 <66><C:SysDayN6svchost.exe> <333><C:Syswm1isvchost.exe> <50><C:SysAd5Dsvchost.exe> <4><C:SysWsj7svchost.exe> 3、重新启动计算机,病毒清除完毕。2023-07-02 18:44:282
win10 svchost.exe是什么进程
svchost.exe是微软Windows操作系统中的系统文件,微软官方对它的解释是:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。许多服务通过注入到该程序中启动,所以会有多个该文件的进程。2023-07-02 18:44:383
电脑一开机就出svchost.exe错误
一、造成svchost.exe应用程序错误的原因 1、病毒木马原因导致的,因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,使svchost成为病 毒的傀儡进程,进行病毒下载操作,从而下载大量木马,盗取用户信息。 因此黑白网络推荐可以使用金山卫士对木马病毒木马查杀 。 2、IE组件在注册表中注册信息被破坏,重新注册ie组件信息问题即可解决。 3、如果电脑有打印机,还可能是因为打印机驱动安装错误,也会造成的错误,只要重新安装打印机驱动即可解决。 4、某些软件与Svchost.exe发生冲突导致的,解决方法就是卸载该软件或者升级该软件到最新版本。 5、现在大多数网民喜欢使用ghost系统,破解版系统,但是使用这些系统可能存在不兼容因素,很容易导致发生的错误,最好解决方法就是安装使用正版操作系统。 二、解决方案 一些安全杀毒软件只会简单的删除被病毒感染或者替换的Svchost文件,而不给修复,造成出现各种系统异常的错误。因此可尝试如下清除方法: 1、删除类似于C:SysDayN6这样的文件夹:例如C:Syswm1i、C:SysAd5D等等,这些文件夹有个共同特点,就是名称为 Sys*** (***是三到五位的随机字母),这样的文件夹有几个就删几个。 2、开始——运行——输入“regedit”——打开注册表,展开注册表到以下位置: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun 删除右边所有用纯数字为名的键,如 <66> <333> <50> <4> 3、重新启动计算机,病毒清除完毕。2023-07-02 18:44:443
SVCHOST.EXE联网是怎么回事??
正常情况,很多服务是都会调用这个进程,所以会导致多个同名进程运行的情况。一般来说,只要路径在system32下的此文件,都是安全的(请注意文件名)。而它的联网也是正常的,可以用冰刃等程序查看该进程是否服务调用,如果不是,就一定是病毒了。当然,有的病毒还可以伪装成系统高级服务,并通过Svchost.exe入侵电脑,手动清除很难,一般依靠杀毒软件可以清除。您现在的情况,照图片上的信息来说,是安全的。P.S.不建议使用360等免费杀毒软件,有条件的可以购买小红伞等安全套装,也可找国外的免费杀毒软件。2023-07-02 18:45:033
win7每次开机后就有一个svchost.exe占用内存特别高怎么解决
我的也是,我直接结束进程,最简单.下前有一篇文章,希望有帮助:SVCHOST.EXE进程占用高怎么办?揪出背后的罪魁祸首 当您运行了Windows任务管理器后,您可能会在“进程”选项卡中看到若干个名称均为SVCHOST.EXE的进程正在同时运行。而且,这些SVCHOST.EXE可能有一个或若干个占用了较多的系统资源,影响了计算机的工作效率。SVCHOST.EXE 位于Windowssystem32系统文件夹,其文件描述为“Generic Host Process for Win32 Services”。当Windows启动时,SVCHOST.EXE将自动检查Windows注册表的系统服务组成、构建系统服务列表,然后将相关 的.DLL动态链接库文件加载为具体的运行中的系统服务。因此,我们可以将SVCHOST.EXE看作一个“用于加载系统服务的宿主程序”。由于每个SVCHOST.EXE进程可能会加载一个或若干个系统服务,直到所有的SVCHOST.EXE将全部系统服务加载完毕,所以我们会在任务管理器 中看到多个SVCHOST.EXE同时运行,这是设计使然。一般地,Windows XP/Windows Server 2003可能会有不超过六个SVCHOST.EXE同时运行;而Windows Vista/Windows Server 2008/Windows 7会有不少于十个SVCHOST.EXE同时运行。当您在Windows任务管理器中查看 SVCHOST.EXE进程时,SVCHOST.EXE进程的“用户名”应该显示为SYSTEM、LOCAL SERVICE或NETWORK SERVICE。(如果在任务管理器中看不到“用户名”,请在菜单中选择“查看”-“列设置”,选中“用户名”复选框。)如果某个SVCHOST.EXE 进程的“用户名”显示的是用户帐户的名称(例如Administrator),则这个SVCHOST.EXE很可能是冒仿的恶意程序。另外您需要确认,您看到的SVCHOST.EXE进程的名称拼写是否有误。比如假设显示的进程名称是SVCH0ST.EXE(用数字0替换了字母O),则 很可能是冒仿的恶意程序;再比如进程的名称虽然是SVCHOST.EXE,但此进程却没有位于Windowssystem32(Windows Vista以上版本的任务管理器可以查看进程所在的文件夹路径),则也可能是冒仿的恶意程序。由于SVCHOST.EXE是加载系统服务的宿主进程,所以您如果发现某SVCHOST.EXE进程占用的系统资源较多,即表明通过这个 SVCHOST.EXE进程加载的系统服务占用的系统资源较多。您首先需要确定通过这个SVCHOST.EXE进程加载的系统服务具体是什么,然后根据计 算机的实际情况决定是否关闭相应的系统服务、以释放服务占用的系统资源,这样SVCHOST.EXE即可释放相应的系统资源。虽然大多数系统服务只有在遇到故障时才会占用较高的系统资源,但某些特殊的服务即使是正常工作状态也将消耗较多系统资源。例如Automatic Updates自动更新服务,当自动更新在后台搜索可用的系统更新程序时必将占用较高的资源,这是设计使然而不是故障。判断一个SVCHOST.EXE加载了哪些系统服务有两种方法方法一:1. 在Windows任务管理器的“进程”选项卡中查看占用资源较高的SVCHOST.EXE进程对应的PID,将PID记下。(如果在任务管理器中看不到“PID”,请在菜单中选择“查看”-“列设置”,选中“PID”复选框。) 2. 以管理员权限运行命令提示符(CMD.EXE),在命令提示符中执行: TASKLIST –SVC您将看到类似如下所示的结果: 图像名 PID 服务 SVCHOST.EXE 1104 DcomLaunch,TermServices SVCHOST.EXE 1188 RpcSs ……3. 对 照您在任务管理器中看到的SVCHOST.EXE的PID,在上述结果中查找对应的 SVCHOST.EXE。例如,假设您在任务管理器中看到PID为1188的SVCHOST.EXE占用了较多系统资源,而TASKLIST –SVC的结果显示PID为1188的SVCHOST.EXE加载的服务是RpcSs,即表明RpcSs服务(Remote Procedure Call (RPC) 服务)占用了较高的系统资源。 方法二:1. 在microsoft.com下载系统工具Process Explorer: http://www.microsoft.com/technet/sysinternals/Utilities/ProcessExplorer.mspx (http://www.microsoft.com/technet/sysinternals/Utilities/ProcessExplorer.mspx) 2. 运行Process Explorer,在进程列表中找到占用系统资源较多的SVCHOST.EXE进程,右键单击选择Properties(属性),切换至Services(服务)选项卡,在这里即可查看SVCHOST.EXE进程加载的系统服务是什么。2023-07-02 18:45:101
在任务管理器里为什么会有好几个SVCHOST是什么怎么除掉啊
SVCHOST是系统的进程,正常的,不能关的。进程文件: svchost.dll 进程名称: Trojan.W32.Agent 英文描述: svchost.dll is a module which is registered as a trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system. 进程分析: svchost.exe是一个属于微软Windows操作系统的系统程序,用于执行DLL文件。这个程序对你系统的正常运行是非常重要的。注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用WindowsLSASS漏洞,制造缓冲区溢出,导致你计算机关机。更多详细信息参考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx,该进程的安全等级是建议立即删除。 安全等级 (0-5): N/A (N/A无危险 5最危险) 间谍软件: 否 广告软件: 否 病毒: 否 木马: 否 系统进程: 否 应用程序: 否 后台程序: 是 使用访问: 是 访问互联网: 是 大家都要知道Svchost.exe,是系统必不可少的一个进程,很多服务都会多多少少用到它,但是我想大家也知道,由于它本身特殊性,高明的"黑客们"肯定是不会放过的,前段时间的Svchost.exe木马风波,大家应该是记忆犹新吧,而且现在还是有很多机器里都藏有此木马,因为它伪装和系统进程Svchost.exe一样,所以很多人分不清,哪个是进程,哪个是木马…… 好的,还是让我们详尽了解一下Svchost.exe进程吧 1.多个服务共享一个 Svchost.exe进程利与弊 windows 系统服务分为独立进程和共享进程两种,在windows NT时只有服务器管理器SCM(Services.exe)有多个共享服务,随着系统内置服务的增加,在windows 2000中ms又把很多服务做成共享方式,由svchost.exe启动。windows 2000一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,windows 2003 server中则更多,可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。这样做在一定程度上减少了系统资源的消耗,不过也带来一定的不稳定因素,因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出。另外就是有一点安全隐患,首先要介绍一下svchost.exe的实现机制。 2. Svchost原理 Svchost本身只是作为服务宿主,并不实现任何服务功能,需要Svchost启动的服务以动态链接库形式实现,在安装这些服务时,把服务的可执行程序指向svchost,启动这些服务时由svchost调用相应服务的动态链接库来启动服务。 那么svchost如何知道某一服务是由哪个动态链接库负责呢?这不是由服务的可执行程序路径中的参数部分提供的,而是服务在注册表中的参数设置的,注册表中服务下边有一个Parameters子键其中的ServiceDll表明该服务由哪个动态链接库负责。并且所有这些服务动态链接库都必须要导出一个ServiceMain()函数,用来处理服务任务。 例如rpcss(Remote Procedure Call)在注册表中的位置是 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs,它的参数子键Parameters里有这样一项: "ServiceDll"=REG_EXPAND_SZ:"%SystemRoot%system32 pcss.dll" 当启动rpcss服务时,svchost就会调用rpcss.dll,并且执行其ServiceMain()函数执行具体服务。 既然这些服务是使用共享进程方式由svchost启动的,为什么系统中会有多个svchost进程呢?ms把这些服务分为几组,同组服务共享一个svchost进程,不同组服务使用多个svchost进程,组的区别是由服务的可执行程序后边的参数决定的。 例如rpcss在注册表中 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRpcSs 有这样一项: "ImagePath"=REG_EXPAND_SZ:"%SystemRoot%system32svchost -k rpcss" 因此rpcss就属于rpcss组,这在服务管理控制台也可以看到。 svchost的所有组和组内的所有服务都在注册表的如下位置: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost,例如windows 2000共有4组rpcss、netsvcs、wugroup、BITSgroup,其中最多的就是netsvcs=REG_MULTI_SZ:EventSystem.Ias.Iprip.Irmon.Netman. Nwsapagent.Rasauto.Rasman.Remoteaccess.SENS.Sharedaccess.Tapisrv.Ntmssvc.wzcsvc.. 在启动一个svchost.exe负责的服务时,服务管理器如果遇到可执行程序内容ImagePath已经存在于服务管理器的映象库中,就不在启动第2个进程svchost,而是直接启动服务。这样就实现了多个服务共享一个svchost进程。 3. Svchost代码 现在我们基本清楚svchost的原理了,但是要自己写一个DLL形式的服务,由svchost来启动,仅有上边的信息还有些问题不是很清楚。比如我们在导出的ServiceMain()函数中接收的参数是ANSI还是Unicode?我们是否需要调用RegisterServiceCtrlHandler和StartServiceCtrlDispatcher来注册服务控制及调度函数? 这些问题要通过查看svchost代码获得。下边的代码是windows 2000+ service pack 4 的svchost反汇编片段,可以看出svchost程序还是很简单的。 主函数首先调用ProcCommandLine()对命令行进行分析,获得要启动的服务组,然后调用SvcHostOptions()查询该服务组的选项和服务组的所有服务,并使用一个数据结构 svcTable 来保存这些服务及其服务的DLL,然后调用PrepareSvcTable() 函数创建 SERVICE_TABLE_ENTRY 结构,把所有处理函数SERVICE_MAIN_FUNCTION 指向自己的一个函数FuncServiceMain(),最后调用API StartServiceCtrlDispatcher() 注册这些服务的调度函数。 ; =============================== Main Funcion ======================================= .text:010010B8 public start .text:010010B8 start proc near .text:010010B8 push esi .text:010010B9 push edi .text:010010BA push offset sub_1001EBA ; lpTopLevelExceptionFilter .text:010010BF xor edi, edi .text:010010C1 call ds:SetUnhandledExceptionFilter .text:010010C7 push 1 ; uMode .text:010010C9 call ds:SetErrorMode .text:010010CF call ds:GetProcessHeap .text:010010D5 push eax .text:010010D6 call sub_1001142 .text:010010DB mov eax, offset dword_1003018 .text:010010E0 push offset unk_1003000 ; lpCriticalSection .text:010010E5 mov dword_100301C, eax .text:010010EA mov dword_1003018, eax .text:010010EF call ds:InitializeCriticalSection .text:010010F5 call ds:GetCommandLineW .text:010010FB push eax ; lpString .text:010010FC call ProcCommandLine .text:01001101 mov esi, eax .text:01001103 test esi, esi .text:01001105 jz short lab_doservice .text:01001107 push esi .text:01001108 call SvcHostOptions .text:0100110D call PrepareSvcTable .text:01001112 mov edi, eax ; SERVICE_TABLE_ENTRY returned .text:01001114 test edi, edi .text:01001116 jz short loc_1001128 .text:01001118 mov eax, [esi+10h] .text:0100111B test eax, eax .text:0100111D jz short loc_1001128 .text:0100111F push dword ptr [esi+14h] ; dwCapabilities .text:01001122 push eax ; int .text:01001123 call InitializeSecurity .text:01001128 .text:01001128 loc_1001128: ; CODE XREF: start+5Ej .text:01001128 ; start+65j .text:01001128 push esi ; lpMem .text:01001129 call HeapFreeMem .text:0100112E .text:0100112E lab_doservice: ; CODE XREF: start+4Dj .text:0100112E test edi, edi .text:01001130 jz ExitProgram .text:01001136 push edi ; lpServiceStartTable .text:01001137 call ds:StartServiceCtrlDispatcherW .text:0100113D jmp ExitProgram .text:0100113D start endp ; =============================== Main Funcion end =========================================== 由于svchost为该组的所有服务都注册了svchost中的一个处理函数,因此每次启动任何一个服务时,服务管理器SCM都会调用FuncServiceMain() 这个函数。这个函数使用 svcTable 查询要启动的服务使用的DLL,调用DLL导出的ServiceMain()函数来启动服务,然后返回。 ; ============================== FuncServiceMain() =========================================== . text:01001504 FuncServiceMain proc near ; DATA XREF: PrepareSvcTable+44o .text:01001504 .text:01001504 arg_0 = dword ptr 8 .text:01001504 arg_4 = dword ptr 0Ch .text:01001504 .text:01001504 push ecx .text:01001505 mov eax, [esp+arg_4] .text:01001509 push ebx .text:0100150A push ebp .text:0100150B push esi .text:0100150C mov ebx, offset unk_1003000 .text:01001511 push edi .text:01001512 mov edi, [eax] .text:01001514 push ebx .text:01001515 xor ebp, ebp .text:01001517 call ds:EnterCriticalSection .text:0100151D xor esi, esi .text:0100151F cmp dwGroupSize, esi .text:01001525 jbe short loc_1001566 .text:01001527 and [esp+10h], esi .text:0100152B .text:0100152B loc_100152B: ; CODE XREF: FuncServiceMain+4Aj .text:0100152B mov eax, svcTable .text:01001530 mov ecx, [esp+10h] .text:01001534 push dword ptr [eax+ecx] .text:01001537 push edi .text:01001538 call ds:lstrcmpiW .text:0100153E test eax, eax .text:01001540 jz short StartThis .text:01001542 add dword ptr [esp+10h], 0Ch .text:01001547 inc esi .text:01001548 cmp esi, dwGroupSize .text:0100154E jb short loc_100152B .text:01001550 jmp short loc_1001566 .text:01001552 ; ================================================= .text:01001552 .text:01001552 StartThis: ; CODE XREF: FuncServiceMain+3Cj .text:01001552 mov ecx, svcTable .text:01001558 lea eax, [esi+esi*2] .text:0100155B lea eax, [ecx+eax*4] .text:0100155E push eax .text:0100155F call GetDLLServiceMain .text:01001564 mov ebp, eax ; dll ServiceMain Function address .text:01001566 .text:01001566 loc_1001566: ; CODE XREF: FuncServiceMain+21j .text:01001566 ; FuncServiceMain+4Cj .text:01001566 push ebx .text:01001567 call ds:LeaveCriticalSection .text:0100156D test ebp, ebp .text:0100156F jz short loc_100157B .text:01001571 push [esp+10h+arg_4] .text:01001575 push [esp+14h+arg_0] .text:01001579 call ebp .text:0100157B .text:0100157B loc_100157B: ; CODE XREF: FuncServiceMain+6Bj .text:0100157B pop edi .text:0100157C pop esi .text:0100157D pop ebp .text:0100157E pop ebx .text:0100157F pop ecx .text:01001580 retn 8 .text:01001580 FuncServiceMain endp ; sp = -8 ; ============================== FuncServiceMain() end ======================================== 由于svchost已经调用了StartServiceCtrlDispatcher来服务调度函数,因此我们在实现DLL实现时就不用了,这主要是因为一个进程只能调用一次StartServiceCtrlDispatcher API。但是需要用 RegisterServiceCtrlHandler 来注册响应控制请求的函数。最后我们的DLL接收的都是unicode字符串。 由于这种服务启动后由svchost加载,不增加新的进程,只是svchost的一个DLL,而且一般进行审计时都不会去HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost 检查服务组是否变化,就算去检查,也不一定能发现异常,因此如果添加一个这样的DLL后门,伪装的好,是比较隐蔽的。 4. 安装服务与设置 要通过svchost调用来启动的服务,就一定要在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost下有该服务名,这可以通过如下方式来实现: 1) 添加一个新的服务组,在组里添加服务名 2) 在现有组里添加服务名 3) 直接使用现有服务组里的一个服务名,但本机没有安装的服务 4) 修改现有服务组里的现有服务,把它的ServiceDll指向自己 其中前两种可以被正常服务使用,如使用第1种方式,启动其服务要创建新的svchost进程;第2种方式如果该组服务已经运行,安装后不能立刻启动服务,因为svchost启动后已经把该组信息保存在内存里,并调用API StartServiceCtrlDispatcher() 为该组所有服务注册了调度处理函数,新增加的服务不能再注册调度处理函数,需要重起计算机或者该组的svchost进程。而后两种可能被后门使用,尤其是最后一种,没有添加服务,只是改了注册表里一项设置,从服务管理控制台又看不出来,如果作为后门还是很隐蔽的。比如EventSystem服务,缺省是指向es.dll,如果把ServiceDll改为EventSystem.dll就很难发现。 因此服务的安装除了调用CreateService()创建服务之外,还需要设置服务的ServiceDll,如果使用前2种还要设置svchost的注册表选项,在卸载时也最好删除增加的部分。 注: ImagePath 和ServiceDll 是ExpandString不是普通字符串。因此如果使用.reg文件安装时要注意。 5. DLL服务实现 DLL程序的编写比较简单,只要实现一个ServiceMain()函数和一个服务控制程序,在ServiceMain()函数里用RegisterServiceCtrlHandler()注册服务控制程序,并设置服务的运行状态就可以了。 另外,因为此种服务的安装除了正常的CreateService()之外,还要进行其他设置,因此最好实现安装和卸载函数。 为了方便安装,实现的代码提供了InstallService()函数进行安装,这个函数可以接收服务名作为参数(如果不提供参数,就使用缺省的iprip),如果要安装的服务不在svchost的netsvcs组里安装就会失败;如果要安装的服务已经存在,安装也会失败;安装成功后程序会配置服务的ServiceDll为当前Dll。提供的UninstallService()函数,可以删除任何函数而没有进行任何检查。 为了方便使用rundll32.exe进行安装,还提供了RundllInstallA()和RundllUninstallA()分别调用InstallService()及UninstallService()。因为rundll32.exe使用的函数原型是: void CALLBACK FunctionName( HWND hwnd, // handle to owner window HINSTANCE hinst, // instance handle for the DLL LPTSTR lpCmdLine, // string the DLL will parse int nCmdShow // show state ); 对应的命令行是rundll32 DllName,FunctionName [Arguments] DLL服务本身只是创建一个进程,该程序命令行就是启动服务时提供的第一个参数,如果未指定就使用缺省的svchostdll.exe。启动服务时如果提供第二个参数,创建的进程就是和桌面交互的。 6 svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。 大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。 发现 在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。 如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。 svchost中可以包含多个服务 深入 windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢? 原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。 从启动参数中可见服务是靠svchost来启动的。2023-07-02 18:45:294
svchost.exe是什么进程?为什么我家有11个!
svchost.exe百科名片svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。目录进程属性相关特征病毒相关解惑操作指南调用程序服务减少进程数方式 进程属性 进程文件: svchost or svchost.exe 进程名称: Generic Service Host Process for Win32 Services 进程类别:系统进程 位置:C:windowssystem32svchost.exe (如果你的svchost.exe进程不是在这个目录下的话,那么就要当心了) 英文描述:svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated. Note: svchost. (注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造缓冲区溢出,导致你计算机关机。更多详细信息参考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx,该进程的安全等级是建议立即删除。) 出品者:Microsoft Corp. 属于:Microsoft Windows Operating System 系统进程:是 后台程序:是 网络相关:是 常见错误:没有 内存使用:没有 安全等级 (0-5): 0 间谍软件:不 广告软件:不 病毒:不 木马:不相关特征 在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remoteprocedurecall)、dmserver服务(logicaldiskmanager)、dhcp服务(dhcpclient)等。到了Windows Vista 系统时svchost 进程多达12个,这些svchost.exe都是同一个文件路径下C :WindowsSystem32svchost.exe , 它们分别是imgsvc、 NetworkServiceNetworkRestricted、 LocalServiceNoNetwork 、NetworkService 、LocalService 、netsvcs 、LocalSystemNetworkRestricted、 LocalServiceNetworkRestricted 、services 、rpcss、 WerSvcGroup 、DcomLaunch服务组。如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist-s”命令来查看,该命令是win2000supporttools提供的。在winxp则使用“tasklist/svc”命令。 svchost中可以包含多个服务 深入:windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot%system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢? 原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remoteprocedurecall)服务为例,进行讲解。 从启动参数中可见服务是靠svchost来启动的。2023-07-02 18:45:361
为什么我的电脑SVCHOST.EXE 进程很多个?正常吗
svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe是从动态链接库(DLL)中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。svchost.exe可以几个同时存在,在windowsXP中,则一般有4个以上的svchost.exe服务进程,在XP之后的系统中则更多(WIN7一般是6个,但所有系统中数目都不是绝对的,有时候多一点少一点也是正常现象,是不是病毒也不能杞人忧天,需要用合理的方法来判断).另外,有很多的windows7(64位)系统中,系统盘下的SysWOW64文件夹(位于Windows文件夹内)内存在一个svchost.exe,即使有也不必惊慌,没有任何证据表明这是一个可疑的文件,大多安全工具都没有指出它有问题,而且它拥有完整的信息(版本号、公司等等),这应该是一个系统进程,因此不必担心。2023-07-02 18:46:111
如何打开svchost
很简单的办法,使用电脑的搜索功能,搜索全部名称为“svchost.exe”的文件,如果发现在C:windowssystem32目录以外的svchost.exe的文件,就得去查查看了。另外,有些病毒的名称和svchost.exe差不多,要注意区分。2023-07-02 18:46:181
开机出现svchost.exe应用程序错误
您好!出现:0x???????? 指令引用的0x????????内存。该内存不能为"read"或"written"。答案【shijan8原创】★严禁复制★ 【1】对电脑没有影响或【偶尔】出现,不用管它,【重启电脑】后可能会自动消失。【2】盗版系统或Ghost版本系统,系统文件错误或丢失,也会出现该问题,及时安装官方发行的补丁,{检查电脑年、月、日是否正确}。建议:安装【正版】系统。【3】检查驱动是否出现问题,重新安装驱动或及时更新驱动。【4】病毒引起的:升级杀毒软件或下载专杀工具,清理恶意插件,对电脑全盘杀毒。顺便说一下Svchost.exe是一个系统的核心进程。 Svchost.exe;在 windows XP中,一般有4个以上的Svchost.exe服务进程;Windows 2003 server中则更多。Svchost.exe 是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过察看 Svchost.exe进程的执行路径可以确认是否中毒。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索 Svchost.exe文件就可以发现异常情况。一般只会在C:WindowsSystem32目录下找到一个Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。查看Svchost.exe可执行文件路径,如果在C:WINDOWSsystem32目录外,就是病毒。Svchost病毒清除办法:(1)用unlocker删除类似于C:SysDayN6这样的文件夹:例如C:Syswm1i、C:SysAd5D等等,这些文件夹有个共同特点,就是名称为 Sys*** (***是三到五位的随机字母),这样的文件夹有几个就删几个。(2)开始——运行——输入“regedit”——打开注册表,展开注册表到以下位置: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun 删除右边所有用纯数字为名的键,如 <66> <333> <50> <4>(3)重新启动计算机,病毒清除完毕。 【5】硬件引起的:(1)可能是内存条出现的小问题,关机断电,把内存条拆下清理干净重新安装。必要时更换内存条。(硬件上一般不会出现该问题)【6】软件引起的:(1)安装的软件与系统或其它软件发生冲突,盗版或带病毒的软件,请慎重下载软件,最好使用正版。【这里主要说的是检查开机启动项,把没必要启动的启动项禁止开机启动】(2)如果你的电脑中安装了两款或两款以上的同类软件,比如:两款杀毒软件、两款优化系统软件等,请卸载一款,以免发生冲突,以保持电脑稳定性。(3)有些系统补丁下载安装了错误补丁,可能与您当前的系统或其它软件发生冲突,也会出现该问题。卸载该补丁,找到适合您电脑补丁,重新下载重新安装。可以试试下面的方法:看看能不能解决。◆开始→运行→输入cmd→回车,在命令提示符下输入下面命令 for %1 in (%windir%system32*.dll) do regsvr32.exe /s %1回车。 完成后,在输入下面的for %i in (%windir%system32*.ocx) do regsvr32.exe /s %i 回车。如果怕输入错误,可以复制这两条指令,然后在命令提示符后击鼠标右键,打“粘贴”,回车,耐心等待,直到屏幕滚动停止为止。(重启电脑)。 ●在检查运行regedit进入注册表, 在HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks 下,应该只有一个正常的键值{AEB6717E-7E19-11d0-97EE-00C04FD91972}, 将其他的删除。【如果还有一个(默认)值不用管它,一般它为空。】必要时【还原】或重新安装系统。2023-07-02 18:46:276
电脑老是报svchost.exe出错,是什么原因?怎么解决?
这是系统进程出了问题,你出现这样的问题前是怎么操作的?你可以回忆一下,当你出现这种故障前你都下载了什么程序软件、插件、补丁或是驱动,如果想起先将它们全部卸载试试(有问题请你追问我)。如果无法查找,建议先查杀一下木马,修复一下系统试试。建议你下载windows清理助手清理一下系统(请搜索下载)。下载360系统急救箱扫描系统1、请你用系统自带的系统还原,还原到你没有出现这次故障的时候修复(或用还原软件进行系统还原,如果进不了系统,开机按F8进入安全模式还原系统)。 2、如果故障依旧,使用系统盘修复,打开命令提示符输入SFC /SCANNOW 回车(SFC和/之间有一个空格),插入原装系统盘修复系统,系统会自动对比修复的。 3、如果故障依旧,在BIOS中设置光驱为第一启动设备插入原装系统安装盘按R键选择“修复安装”即可。4、如果故障依旧,建议重装操作系统。 使用系统自带的系统还原的方法:系统自带的系统还原:“开始”/“程序”/“附件”/“系统工具”/“系统还原”,点选“恢复我的计算机到一个较早的时间”,按下一步,你会看到日期页面有深色的日期,那就是还原点,你选择后,点击下一步还原(Win7还原系统,在控制面板然后设备和安全子选项然后备份和还原子选项)。2023-07-02 18:46:401
某天的开机时出现svchost.exe什么回事?又是进不去的桌面!
1、检查系统中是否有木马或病毒。这类程序为了控制系统往往不负责任地修改系统,从而导致操作系统异常。平常应加强信息安全意识,对来源不明的可执行程序绝不好奇。2、更新操作系统,让操作系统的安装程序重新拷贝正确版本的系统档案、修正系统参数。有时候操作系统本身也会有BUG,要注意安装官方发行的升级程序。3、尽量使用最新正式版本的应用程序、Beta版、试用版都会有BUG。2023-07-02 18:46:491
为什么我的电脑有10个svchost.exe进程,我要怎么处理?
您好!Svchost.exe应用程序Svchost.exe是一个系统的核心进程。 Svchost.exe;在 windows XP中,一般有4个以上的Svchost.exe服务进程;Windows 2003 server或win7中则更多。Svchost.exe 是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过察看 Svchost.exe进程的执行路径可以确认是否中毒。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索 Svchost.exe文件就可以发现异常情况。一般只会在C:WindowsSystem32目录下找到一个Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。查看Svchost.exe可执行文件路径,如果在C:WINDOWSsystem32目录外,就是病毒。Svchost病毒清除办法:(1)用unlocker删除类似于C:SysDayN6这样的文件夹:例如C:Syswm1i、C:SysAd5D等等,这些文件夹有个共同特点,就是名称为 Sys*** (***是三到五位的随机字母),这样的文件夹有几个就删几个。(2)开始——运行——输入“regedit”——打开注册表,展开注册表到以下位置: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun 删除右边所有用纯数字为名的键,如 <66> <333> <50> <4>(3)重新启动计算机,病毒清除完毕。【如果不是病毒请忽略Svchost病毒清除方法】必要时重新安装系统。2023-07-02 18:46:583
SVCHOST.EXE是什么东西?
svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。 大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。发现 在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。 如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。svchost中可以包含多个服务深入 windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢? 原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。 从启动参数中可见服务是靠svchost来启动的。实例 以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:windowssystem32svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。 在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。解惑 因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。 假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:windowssystem32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:windowssystem32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。 由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。2023-07-02 18:47:125
svchost.exe关掉可以吗
svchost.exe可以关掉。这是系统进程,用来加载系统服务项或dll模块用的一个系统进程,不需要的时候可以关闭。解决方法:右键桌面任务栏,选择“启动任务管理器”。进去任务管理器之后,可以看到很多进程,往下拉,可以看到很多“svchost.exe”进程。 演示机型:华为MateBook X 系统版本:win10 1、svchost.exe可以关掉。这是系统进程,用来加载系统服务项或dll模块用的一个系统进程,不需要的时候可以关闭。 2、解决方法:右键桌面任务栏,选择“启动任务管理器”。 3、进去任务管理器之后,可以看到很多进程,往下拉,可以看到很多“svchost.exe”进程。 4、随便点击一个“svchost.exe”进程,右键选择“转到服务”。 5、进去服务之后,看清楚选中服务的名称,描述,如果不需要,右键选择“停止服务”就完成了。 6、然后结束掉选择系统进程的服务后,再回到进程里面可以看到,进程也被结束掉了。2023-07-02 18:47:501
svchost.exe是什么进程可以关掉吗?
这是系统进程,用来加载系统服务项或dll模块用的一个系统进程,不需要的是可以关闭的。1、右键桌面任务栏,选择“启动任务管理器”,如下图所示:2、进去任务管理器之后,可以看到很多进程,往下拉,可以看到很多“svchost.exe”进程,如下图所示:3、随便点击一个"svchost.exe”进程,右键选择“转到服务”,如下图所示:4、进去服务之后,看清楚选中服务的名称,描述,如果不需要,右键选择“停止服务”就完成了,如下图所示:5、然后结束掉选择系统进程的服务后,再回到进程里面可以看到,进程也被结束掉了,2023-07-02 18:48:351
请问SVCHOST是什么?
不是病毒,是系统自带的进程,你关一个试试,会造成重新启动,或者是“离关机还剩XX秒”,呵呵。。不过要是有svchost32.exe这个进程你可要注意了。看看下边别人是怎么解释的:svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。 大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。发现 在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。 如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。svchost中可以包含多个服务深入 windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢? 原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。 从启动参数中可见服务是靠svchost来启动的。实例 以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:windowssystem32svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。 在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。解惑 因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。 假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:windowssystem32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:windowssystem32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。现在windows有漏洞会导致svchost注入病毒程序。赶快去微软网站打补丁吧。www.microsoft.com/china/technet/Security/bulletin/ms06-040.mspx2023-07-02 18:49:153
怎么彻底关闭svchost
彻底关闭svchost的具体步骤如下:1、首先打开电脑,进入到电脑桌面中。2、然后右键单击任务栏空白的地方,选择打开“启动任务管理器”。3、然后在弹出来的窗口中点击打开“进程”。4、然后在弹出来的窗口中找到“svchost”,右键单击选择“结束进程”即可。2023-07-02 18:49:211
怎么彻底关闭svchost
彻底关闭svchost的具体步骤如下:1、首先打开电脑,进入到电脑桌面中。2、然后右键单击任务栏空白的地方,选择打开“启动任务管理器”。3、然后在弹出来的窗口中点击打开“进程”。4、然后在弹出来的窗口中找到“svchost”,右键单击选择“结束进程”即可。2023-07-02 18:49:541
svchost. exe是什么进程?
这是系统进程,用来加载系统服务项或dll模块用的一个系统进程,不需要的是可以关闭的。1、右键桌面任务栏,选择“启动任务管理器”,如下图所示:2、进去任务管理器之后,可以看到很多进程,往下拉,可以看到很多“svchost.exe”进程,如下图所示:3、随便点击一个"svchost.exe”进程,右键选择“转到服务”,如下图所示:4、进去服务之后,看清楚选中服务的名称,描述,如果不需要,右键选择“停止服务”就完成了,如下图所示:5、然后结束掉选择系统进程的服务后,再回到进程里面可以看到,进程也被结束掉了,2023-07-02 18:50:261
Svchost.exe进程介绍 Svchost病毒清除方法
Svchost.exe在windows进程中占据很大一部分的资源,而且这个进程非常容易被病毒所利用。Svchost.exe被病毒利用之后,系统常会弹出Svchost.exe错误,当然Svchost病毒也有专杀工具。那么Svchost.exe是什么进程呢? Svchost 病毒又该怎么去清除呢?接下来就让我们一起来了解下吧。 很多朋友对 Svchost 进程都不太了解,有时在任务管理器中一旦看到有多个该进程,就以为自己的电脑中了病毒或木马,其实并非如此!正常情况下,windows中可以有多个Svchost.exe进程同时运行,例如Windows 2000至少有2个Svchost进程,Windows XP中有4个以上,Windows 2003中则有更多,所以当你看到多个Svchost进程时,未必就是病毒! Svchost.exe是什么 ? Svchost.exe文件存在于“%system root%system32”(例如C:Windowssystem32)目录下,它是Windows NT核心的重要进程(Windows 9X没有该进程),专门为系统启动各种服务的。例如Svchost.exe调用rpcss.dll文件,就会启动rpcss服务(remote procedure call). Svchost.exe实际上是一个服务宿主,它本身并不能给用户提供任何服务,但是可以用来运行动态链接库DLL文件,从而启动对应的服务。Svchost.exe进程可以同时启动多个服务。 Svchost.exe是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过查看 Svchost.exe进程的执行路径可以确认是否中毒 如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:WindowsSystem32”目录下的Svchost.exe程序。如果你在 其他 目录下发现Svchost.exe程序的话,那很可能就是中毒了。 Svchost病毒清除办法 1、删除类似于C:SysDayN6这样的文件夹:例如C:Syswm1i、C:SysAd5D等等,这些文件夹有个共同特点,就是名称为 Sys*** (***是三到五位的随机字母),这样的文件夹有几个就删几个。 2、开始——运行——输入“regedit”——打开注册表,注册表到以下位置; HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun 删除右边所有用纯数字为名的键,如 <66> <333> <50> <4> 3、重新启动计算机,病毒清除完毕。 以上就是我为您介绍的 Svchost .exe进程及 Svchost 病毒清除方法了,希望以上的介绍可以给您些小参考。2023-07-02 18:51:061
svchost.exe关掉可以吗
演示机型:华为MateBookX 系统版本:win10 1、svchost.exe可以关掉。这是系统进程,用来加载系统服务项或dll模块用的一个系统进程,不需要的时候可以关闭。2、解决方法:右键桌面任务栏,选择“启动任务管理器”。3、进去任务管理器之后,可以看到很多进程,往下拉,可以看到很多“svchost.exe”进程。4、随便点击一个“svchost.exe”进程,右键选择“转到服务”。5、进去服务之后,看清楚选中服务的名称,描述,如果不需要,右键选择“停止服务”就完成了。6、然后结束掉选择系统进程的服务后,再回到进程里面可以看到,进程也被结束掉了。2023-07-02 18:51:131
win10一直在下载svchost.exe.,怎么办?
1.Svchost.exe程序并不是病毒而是一个系统程序,这个系统程序在下载流量占用网络带宽的时候也得分清楚情况。2.如果你使用了Windows Update程序更新系统的时候,或者是安装Windows 8Metro应用,那么这个时候下载数据就是必须的,千万不能退出这个程序,否则系统将会关闭,就等待其下载完成之后就可以了。3.如果你确认没有以上的两种情况,既没有更新系统也没有安装Metro应用,但还在下载数据,那么这种情况下,建议打开360流量防火墙或者是其他类似的网络管理软件。4.找到“隐藏的系统应用”,然后找到Svchost.exe,击右键选择“禁止访问网络”。5.最后,如果你的电脑带宽闲置以后,就可以打开网络连接让其继续下载了,据笔者测试,其下载的文件也不过就是一个临时文件,后缀是.tmp,最后系统垃圾文件清理时就可以将其删除掉。Svchost.exe进程占网速的解决方法:1、首先在左下角搜索区搜索控制面板,然后打开,打开后选择管理工具—服务。2、在服务中找到——Background Intelligent Transfer Service。3、双击Background Intelligent Transfer Service——启动类型改为手动或禁用——服务状态改为停止服务,当然右键点击属性进行编辑也可以。2023-07-02 18:51:221
Svchost.exe很多个
svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的.常被病毒冒充的进程名有:svch0st.exe、schvost.exe、scvhost.exe。随着Windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由svchost.exe进程来启动。而系统服务是以动态链接库(DLL)形式实现的,它们把可执行程序指向svchost,由svchost调用相应服务的动态链接库来启动服务。我们可以打开“控制面板”→“管理工具”→服务,双击其中“ClipBook”服务,在其属性面板中可以发现对应的可执行文件路径为“C:WINDOWSsystem32clipsrv.exe”。再双击“Alerter”服务,可以发现其可执行文件路径为“C:WINDOWSsystem32svchost.exe -k LocalService”,而“Server”服务的可执行文件路径为“C:WINDOWSsystem32svchost.exe -k netsvcs”。正是通过这种调用,可以省下不少系统资源,因此系统中出现多个svchost.exe,其实只是系统的服务而已。 在Windows2000系统中一般存在2个svchost.exe进程,一个是RPCSS(RemoteProcedureCall)服务进程,另外一个则是由很多服务共享的一个svchost.exe;而在WindowsXP中,则一般有4个以上的svchost.exe服务进程。如果svchost.exe进程的数量多于6个,就要小心了,很可能是病毒假冒的,检测方法也很简单,使用一些进程管理工具,例如Windows优化大师的进程管理功能,查看svchost.exe的可执行文件路径,如果在“C:WINDOWSsystem32”目录外,那么就可以判定是病毒了。svchost.exe病毒清除办法 1.用unlocker删除类似于C:SysDayN6这样的文件夹:例如C:Syswm1i、C:SysAd5D等等,这些文件夹有个共同特点,就是名称为 Sys*** (***是三到五位的随机字母),这样的文件夹有几个就删几个。 2.开始——运行——输入“regedit”——打开注册表,展开注册表到以下位置: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun 删除右边所有用纯数字为名的键,如 <66><C:SysDayN6svchost.exe> <333><C:Syswm1isvchost.exe> <50><C:SysAd5Dsvchost.exe> <4><C:SysWsj7svchost.exe> 3.重新启动计算机,病毒清除完毕。2023-07-02 18:51:422
win10中svchost.exe可以关掉吗
win10的进程列表中,会有一个svchost.exe的进程,它非常占网速,会影响用户网页运行速度。下面就给大家讲讲win10 svchost.exe是什么进程以及关闭方法。 win10 svchost.exe怎么关闭 Svchost.exe是什么? Svchost.exe进程是一个属于微软Windows操作系统的系统进程,微软系统自身联网升级更新什么的需要Svchost.exe,大部分软件也需要Svchost.exe联网之后才能升级,这个程序对系统的正常运行是非常重要。 怎么关闭Svchost.exe进程? 您可以打开任务管理器。点击“显示所有用户进程”。点击“镜像名称”进行排序,接着在列表中找到Svchost.exe进程,选中一个Svchost.exe进程,右键点击打开菜单,选择“转到服务”,可以终止相应的服务。 因为Svchost.exe进程是微软下载补丁的进程,所以它才会那么占用Win10系统的网速。如果关闭Svchost.exe进程,就不能更新Win10系统了。2023-07-02 18:52:051
svchost是什么
svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。 大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。 发现 在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。 如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。 svchost中可以包含多个服务 深入 windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢? 原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。 从启动参数中可见服务是靠svchost来启动的。 实例 以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:windowssystem32svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。 在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。 解惑 因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。 假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:windowssystem32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:windowssystem32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。 由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。2023-07-02 18:52:111
Svchost.exe进程介绍Svchost病毒清除方法
Svchost.exe在windows进程中占据很大一部分的资源,而且这个进程非常容易被病毒所利用。Svchost.exe被病毒利用之后,系统常会弹出Svchost.exe错误,当然Svchost病毒也有专杀工具。那么Svchost.exe是什么进程呢?Svchost病毒又该怎么去清除呢?接下来就让我们一起来了解下吧。很多朋友对Svchost进程都不太了解,有时在任务管理器中一旦看到有多个该进程,就以为自己的电脑中了病毒或木马,其实并非如此!正常情况下,windows中可以有多个Svchost.exe进程同时运行,例如Windows2000至少有2个Svchost进程,WindowsXP中有4个以上,Windows2003中则有更多,所以当你看到多个Svchost进程时,未必就是病毒!Svchost.exe是什么?Svchost.exe文件存在于“%systemroot%system32”(例如C:Windowssystem32)目录下,它是WindowsNT核心的重要进程(Windows9X没有该进程),专门为系统启动各种服务的。例如Svchost.exe调用rpcss.dll文件,就会启动rpcss服务(remoteprocedurecall).Svchost.exe实际上是一个服务宿主,它本身并不能给用户提供任何服务,但是可以用来运行动态链接库DLL文件,从而启动对应的服务。Svchost.exe进程可以同时启动多个服务。Svchost.exe是一个系统的核心进程,并不是病毒进程。但由于Svchost.exe进程的特殊性,所以病毒也会千方百计的入侵Svchost.exe。通过查看Svchost.exe进程的执行路径可以确认是否中毒如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:WindowsSystem32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。Svchost病毒清除办法1、删除类似于C:SysDayN6这样的文件夹:例如C:Syswm1i、C:SysAd5D等等,这些文件夹有个共同特点,就是名称为Sys***(***是三到五位的随机字母),这样的文件夹有几个就删几个。2、开始运行输入“regedit”打开注册表,展开注册表到以下位置;HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun删除右边所有用纯数字为名的键,如663335043、重新启动计算机,病毒清除完毕。2023-07-02 18:53:111
svchost.exe这个是什么东西
svchost.exe是一个属于微软Windows操作系统的系统程序,微软官方对它的解释是:Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。这个程序对系统的正常运行是非常重要,而且是不能被结束的。进程信息进程文件:svchost or svchost.exe进程名称:Generic Host Process for Win32 Services进程类别:系统进程位置:C:windowssystem32svchost.exe英文描述:svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated. Note: svchost.出品者:Microsoft Corp.属于:Microsoft Windows Operating System系统进程:是后台程序:是网络相关:是常见错误:没有内存使用:没有安全等级 (0-5): 0间谍软件:不广告软件:不病毒:不木马:不用途说明svchost.exe可以几个同时存在,windows 2000一般有2个svchost进程,一个是RPCSS(Remote Procedure Call)服务进程,另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中,则一般有4个以上的svchost.exe服务进程,在XP之后的系统中则更多(WIN7一般是6个,但所有系统中数目都不是绝对的,有时候多一点少一点也是正常现象,是不是病毒也不能杞人忧天,需要用合理的方法来判断),可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。这样做在一定程度上减少了系统资源的消耗,不过也带来一定的不稳定因素,因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出。该进程无法用任务管理器终止,如果用工具强制终止会立刻得到提示并自动关机(如果没有,说明该进程有问题,但不要轻易尝试终止这个进程!)。另外,有很多的windows7(64位)系统中,系统盘下的SysWOW64文件夹(位于Windows文件夹内)内存在一个svchost.exe,即使有也不必惊慌,没有任何证据表明这是一个可疑的文件,大多安全工具都没有指出它有问题,而且它拥有完整的信息(版本号、公司等等),这应该是一个系统进程,因此不必担心。文件信息以下信息均来自于文件网,请不要随便添加来自某些下载网站的蹩脚介绍误导他人![1] 注释: svchost.exe是一类通用的进程名称。它是和运行动态链接库(DLLs)的Windows系统服务相关的。在机器启动的时候,svchost.exe检查注册表中的服务,运行并载入它们。经常会有多个svchost.exe同时运行的情况,每一个都表示该计算机上运行的一类基本服务。请不要把它和scvhost.exe混淆。详细分析: svchost.exe 是存放在目录C:WindowsSystem32。已知的Windows XP 文件大小为14336 字节 (占总出现比率85% ),21504 字节 及22 种其它情况。进程没有可视窗口。 这个文件是由Microsoft 所签发。 这个进程打开接口连到局域网或互联网。 总结在技术上威胁的危险度是9%。如果svchost.exe 位于在C:Windows 下的子目录下,那么威胁的危险度是74%。文件大小是106496 字节 (占总出现比率5% ),16896 字节 及121 种其它情况。这个不是Windows 核心文件。 应用程序没有可视窗口。 这个程序没有备注。 这是个不知名的文件存放于Windows 目录。svchost.exe 是有能力可以 监控应用程序,纪录输入,隐藏自身,接到互联网,操纵其他程序。如果svchost.exe 位于在目录C:Windows下,那么威胁的危险度是67%。文件大小是36352 字节 (占总出现比率10% ),49242 字节 及74 种其它情况。这个不是Windows 系统文件。 进程是不可见的。 文件存放于Windows 目录但并非系统核心文件。 没有进程的相关资料。svchost.exe 是有能力可以 纪录输入,监控应用程序。如果svchost.exe 位于在目录C:WindowsSystem32drivers下,那么威胁的危险度是87%。文件大小是30720 字节 (占总出现比率10% ),49152 字节 及48 种其它情况。如果svchost.exe 位于在"C:Documents and Settings" 下的子目录下,那么威胁的危险度是66%。文件大小是233472 字节 (占总出现比率12% ),106496 字节 及87 种其它情况。如果svchost.exe 位于在"C:Program Files" 下的子目录下,那么威胁的危险度是63%。文件大小是497664 字节 (占总出现比率19% ),493568 字节 及66 种其它情况。如果svchost.exe 位于在of C: 下的子目录下,那么威胁的危险度是66%。文件大小是239104 字节 (占总出现比率23% ),183808 字节 及25 种其它情况。如果svchost.exe 位于在C:WindowsSystem32 下的子目录下,那么威胁的危险度是75%。文件大小是525312 字节 (占总出现比率12% ),86016 字节 及53 种其它情况。如果svchost.exe 位于在目录"C:Program FilesCommon Files" 下的子目录下,那么威胁的危险度是65%。文件大小是1429504 字节 (占总出现比率22% ),289280 字节 及13 种其它情况。如果svchost.exe 位于在目录"C:Program FilesCommon Files"下,那么威胁的危险度是61%。文件大小是17920 字节 (占总出现比率56% ),20480 字节 及4 种其它情况。如果svchost.exe 位于在C:WindowsSystem32drivers 下的子目录下,那么威胁的危险度是72%。文件大小是244484 字节 (占总出现比率22% ),167936 字节 及5 种其它情况。如果svchost.exe 位于在Windows 的临时目录下,那么威胁的危险度是52%。文件大小是109222 字节 (占总出现比率20% ),241664 字节,27652 字节,46154 字节,655360 字节。如果svchost.exe 位于在目录C:下,那么威胁的危险度是64%。文件大小是415232 字节 (占总出现比率60% ),115712 字节,15536 字节。如果svchost.exe 位于在目录"C:Program Files"下,那么威胁的危险度是56%。文件大小是28672 字节 (占总出现比率33% ),37376 字节,25600 字节。如果svchost.exe 位于在"My Files" 下的子目录下,那么威胁的危险度是56%。文件大小是7168 字节。切记: svchost.exe 也可能是恶意软件所伪装,尤其是当它们存在于除了c:windowssystem32以外目录!2023-07-02 18:53:202
windows 10 svchost.exe 能删除吗
对于使用windows系统的用户来说,难免会遇到系统出现网络卡顿、变慢的问题,而对于一些细心的网络来说,经查找造成电脑网络变慢的原因,通常对于这类问题,我们可通过电脑管家之类的软件来统计查看,不过在近期小编在win10系统下发现一个名为Svchost.exe的进程,占用了用户大量的网络,那么该进程是什么呢?能否禁止呢?下面看小编带来的操作方法吧! Svchost.exe是什么? Svchost.exe进程是一个属于微软Windows操作系统的系统进程,微软系统自身联网升级更新什么的需要Svchost.exe,大部分软件也需要Svchost.exe联网之后才能升级,这个程序对系统的正常运行是非常重要。 怎么关闭Svchost.exe进程? 您可以打开任务管理器。点击“显示所有用户进程”。点击“镜像名称”进行排序,接着在列表中找到Svchost.exe进程,选中一个Svchost.exe进程,右键点击打开菜单,选择“转到服务”,可以终止相应的服务。 通过介绍,我们可看出Svchost.exe是windows系统更新进程,该进程可为用户自定下载最新的系统补丁,如果用户禁止了更补丁,那么就无法让系统保持最新状态,也就是说我们将无法让系统自动接收补丁,从而系统将无法正常更新。2023-07-02 18:53:361
svchost.exe进程是干什么的?
分类: 电脑/网络 >> 操作系统/系统故障 解析: svchost.exe是nt核心系统的非常重要的进程,对于2000、xp来说,不可或缺。很多病毒、木马也会调用它。所以,深入了解这个程序,是玩电脑的必修课之一。 大家对windows操作系统一定不陌生,但你是否注意到系统中“svchost.exe”这个文件呢?细心的朋友会发现windows中存在多个 “svchost”进程(通过“ctrl+alt+del”键打开任务管理器,这里的“进程”标签中就可看到了),为什么会这样呢?下面就来揭开它神秘的面纱。 发现 在基于nt内核的windows操作系统家族中,不同版本的windows系统,存在不同数量的“svchost”进程,用户使用“任务管理器”可查看其进程数目。一般来说,win2000有两个svchost进程,winxp中则有四个或四个以上的svchost进程(以后看到系统中有多个这种进程,千万别立即判定系统有病毒了哟),而win2003 server中则更多。这些svchost进程提供很多系统服务,如:rpcss服务(remote procedure call)、dmserver服务(logical disk manager)、dhcp服务(dhcp client)等。如果要了解每个svchost进程到底提供了多少系统服务,可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看,该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。 svchost中可以包含多个服务 深入 windows系统进程分为独立进程和共享进程两种,“svchost.exe”文件存在于“%systemroot% system32”目录下,它属于共享进程。随着windows系统服务不断增多,为了节省系统资源,微软把很多服务做成共享方式,交由 svchost.exe进程来启动。但svchost进程只作为服务宿主,并不能实现任何服务功能,即它只能提供条件让其他服务在这里被启动,而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢? 原来这些系统服务是以动态链接库(dll)形式实现的,它们把可执行程序指向 svchost,由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢?这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss(remote procedure call)服务为例,进行讲解。 从启动参数中可见服务是靠svchost来启动的。 实例 以windows xp为例,点击“开始”/“运行”,输入“services.msc”命令,弹出服务对话框,然后打开“remote procedure call”属性对话框,可以看到rpcss服务的可执行文件的路径为“c:windowssystem32svchost -k rpcss”,这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的,而参数的内容则是存放在系统注册表中的。 在运行对话框中输入“regedit.exe”后回车,打开注册表编辑器,找到[ey_local_machine systemcurrentcontrolsetservicesrpcss]项,找到类型为“reg_expand_sz”的键“magepath”,其键值为“%systemroot%system32svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令),另外在“parameters”子项中有个名为“servicedll”的键,其值为“% systemroot%system32rpcss.dll”,其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息,就能启动该服务了。 解惑 因为svchost进程启动各种服务,所以病毒、木马也想尽办法来利用它,企图利用它的特性来迷惑用户,达到感染、入侵、破坏的目的(如冲击波变种病毒“w32.welchia.worm”)。但windows系统存在多个svchost进程是很正常的,在受感染的机器中到底哪个是病毒进程呢?这里仅举一例来说明。 假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:windowssystem32”目录下,如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:windowssystem32wins”目录中,因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径,可以使用第三方进程管理软件,如“windows优化大师”进程管理器,通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径,一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。 由于篇幅的关系,不能对svchost全部功能进行详细介绍,这是一个windows中的一个特殊进程,有兴趣的可参考有关技术资料进一步去了解它。2023-07-02 18:53:551