XP进程里有多个svchost.exe，应该是病毒吧，如何删除？

xf101

XP进程里有多个svchost.exe，应该是病毒吧，如何删除？瑞星查了没病毒

要是结束其中一个，马上显示系统在60秒之内要重起；不去管他，就没什么影响

[ Last edited by xf101 on 2005-10-16 at 19:30 ]

xf101

因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。
　　假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。



其他病毒的如何呢？

xf101

做了下面一个测试：打开任务管理器，切换到"进程"选项卡，首先手动结束掉由上到下的第三个Svchost.exe进程，结束完后系统会马上重新建立该进程，接下来结束掉由上到下的最后一个Svchost.exe进程，系统会出现一个类似中了冲击波病毒的对话窗口，并倒计时关机。
介绍说：这是由于该Svchost.exe进程引导RPC服务，终止该进程则导致RPC服务中断，系统自然会重新启动了。 ★Windows 2000中一般有两个Svchost.exe进程，Windows Server 2003则非常多，一般有6个。
　　既然系统中Svchost.exe进程数与是否中毒无关，我们究竟如何区别正常的和病毒伪造的Svchost进程呢？我们可以使用下面两种方法来鉴别：
　　方法一：在系统所在分区进行搜索，如果发现多个Svchost.exe文件，则系统很有可能中毒。正常的Svchost.exe位于%windir%\system32目录下，如果发现其它目录中有Svchost.exe文件，你就要小心了。例如冲击波的变种Win32.Welchia.Worm会在%windir%\system32\wins目录种下Svchost.exe文件。
　　方法二：察看Svchost.exe进程对应文件的路径。Windows XP自带的任务管理器中无法察看，我们需要借助第三方工具，例如Windows优化大师自带的进程管理工具，运行它后定位到Svchost.exe进程，可以看到它对应的运行文件的真实路径。
　　小提示：★不少木马程序会采用将自己伪装成跟常见进程相似的文件名或者相同的文件名但扩展名不相同，如果你在任务管理器中看到Scvhost.exe、Svch0st.exe等进程，肯定有木马已经植入你的系统。

hzzp

QUOTE:

Originally posted by xf101 at 2005-10-16 19:23:
XP进程里有多个svchost.exe，应该是病毒吧，如何删除？瑞星查了没病毒

要是结束其中一个，马上显示系统在60秒之内要重起；不去管他，就没什么影响

[ Last edited by xf101 on 2005-10-16 at 19:30 ]

未必,要仔细分析相关的服务才行