進程文件: svchost or svchost.exe
進程名稱: Generic Service Host Process for Win32 Services
進程類別:系統進程
位置:C:\windows\system32\svchost.exe (如果你的svchost.exe進程不是在這個目錄下的話,那么就要當心了)
英文描述:(台北除白蟻)svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated. Note: svchost.(戶外傢俱)
(注意:svchost.exe也有可能是W32.Welchia.Worm病毒,它利用Windows LSASS漏洞,制造緩沖區溢出,導致你計算機關機。更多詳細信息參考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx,該進程的安全等級是建議立即刪除。)
出品者:Microsoft Corp.
屬於:Microsoft Windows Operating System
系統進程:Yes
後台程序:Yes
網絡相關:Yes
常見錯誤:N/A
內存使用:N/A
安全等級 (0-5): 0
間諜軟件:No
廣告軟件:No
病毒:No
木馬:No
在基於nt內核的windows操作系統家族中,不同版本的windows系統,存在不同數量的“svchost進程,用戶使用“任務管理器可查看其進程數目。一般來說,(鄉村風)win2000有兩個svchost進程,winxp中則有四個或四個以上的svchost進程(以後看到系統中有多個這種進程,千萬別立即判定系統有病毒了喲),而win2003server中則更多。這些svchost進程提供很多系統服務,如:rpcss服務(remoteprocedurecall)、dmserver服務(logicaldiskmanager)、(日式禪風室內設計)dhcp服務(dhcpclient)等。到了Windows Vista 系統時svchost 進程多達12個,這些svchost.exe都是同一個文件路徑下C :\Windows\System32\svchost.exe , 它們分別是imgsvc、 NetworkServiceNetworkRestricted、 LocalServiceNoNetwork 、NetworkService 、LocalService 、netsvcs 、LocalSystemNetworkRestricted(接睫毛)、 LocalServiceNetworkRestricted 、services 、rpcss、 WerSvcGroup 、DcomLaunch服務組。如果要了解每個svchost進程到底提供了多少系統服務,可以在win2000的命令提示符窗口中輸入“tlist-s命令來查看,該命令是win2000supporttools提供的。在winxp則使用“tasklist/svc命令。(相片印表機)
svchost中可以包含多個服務
深入:windows系統進程分為獨立進程和共享進程兩種,“svchost.exe文件存在於“%systemroot%system32目錄下,它屬於共享進程。隨著windows系統服務不斷增多,為了節省系統資源,微軟把很多服務做成共享方式(婚禮大頭貼),交由svchost.exe進程來啟動。但svchost進程只作為服務宿主,並不能實現任何服務功能,即它只能提供條件讓其他服務在這裏被啟動,而它自己卻不能給用戶提供任何服務。那這些服務是如何實現的呢?
原來這些系統服務是以動態鏈接庫(dll)形式實現的,它們把可執行程序指向svchost,由svchost調用相應服務的動態鏈接庫來啟動服務(戶外桌椅)。那svchost又怎么知道某個系統服務該調用哪個動態鏈接庫呢?這是通過系統服務在注冊表中設置的參數來實現。下面就以rpcss(remoteprocedurecall)服務為例,進行講解。
從啟動參數中可見服務是靠svchost來啟動的。
實例
以windowsxp為例,點擊“開始/“運行,輸入“services.msc命令,彈出服務對話框,然後打開“remoteprocedurecall屬性對話框,可以看到rpcss服務的可執行文件的路徑為“c:\windows\system32\svchost-krpcss,這說明rpcss服務是依靠svchost調用“rpcss參數來實現的(戶外陽傘),而參數的內容則是存放在系統注冊表中的。
在運行對話框中輸入“regedit.exe後回車,打開注冊表編輯器,找到[hkey_local_machine\system\currentcontrolset\services\rpcss]項,找到類型為“reg_expand_sz的鍵“Imagepath,(新竹真空成型)其鍵值為“%systemroot%system32svchost-krpcss(這就是在服務窗口中看到的服務啟動命令),另外在“parameters子項中有個名為“servicedll的鍵,其值為“%systemroot%system32rpcss.dll,其中“rpcss.dll就是rpcss服務要使用的動態鏈接庫文件(PET包裝盒)。這樣svchost進程通過讀取“rpcss服務注冊表信息,就能啟動該服務了。
[編輯本段]解惑
因為svchost進程啟動各種服務,所以病毒、木馬也想盡辦法來利用它,企圖利用它的特性來迷惑用戶,達到感染、入侵、(抗靜電盤)破壞的目的(如沖擊波變種病毒“w32.welchia.worm)。但windows系統存在多個svchost進程是很正常的,在受感染的機器中到底哪個是病毒進程呢?這裏僅舉一例來說明。(戶外傢俱)
假設windowsxp系統被“w32.welchia.worm感染了。正常的svchost文件存在於“c:\windows\system32目錄下,如果發現該文件出現在其他目錄下就要小心了。“w32.welchia.worm病毒存在於“c:\windows\system32wins目錄中,(桃園美髮)因此使用進程管理器查看svchost進程的執行文件路徑就很容易發現系統是否感染了病毒。windows系統自帶的任務管理器不能夠查看進程的路徑,可以使用第三方進程管理軟件,如“windows優化大師進程管理器,(台中制服)通過這些工具就可很容易地查看到所有的svchost進程的執行文件路徑,一旦發現其執行路徑為不平常的位置就應該馬上進行檢測和處理。
Svchost.exe說明解疑對Svchost的困惑
---------------
Svchost.exe文件對那些從動態連接庫中運行的服務來說是一個普通的主機進程名(台中團體服)。Svchost.exe文件定位在系統的%systemroot%\system32文件夾下。在啟動的時候,Svchost.exe檢查注冊表中的位置(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost)來構建需要加載的服務列表(台中檢驗所)。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的回話期間都包含一組服務,以至於單獨的服務必須依靠Svchost.exe怎樣和在那裏啟動。這樣就更加容易控制和查找錯誤。
Svchost.exe 組是用下面的注冊表值來識別。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost
每個在這個鍵下的值代表一個獨立的Svchost組,並且當你正在看活動的進程時,它顯示作為一個單獨的例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內的服務(桃園下午茶)。每個Svchost組都包含一個或多個從注冊表值中選取的服務名,這個服務的參數值包含了一個ServiceDLL值。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
簡單的說沒有這個RPC服務,機器幾乎就上不了網了。很多應用服務都是依賴於這個RPC接口的,如果發現這個進程占了太多的CPU資源,直接把系統的RPC服務禁用了會是一場災難:因為連恢複這個界面的系統服務設置界面都無法使用了(台中窗簾)。恢複的方法需要使用注冊表編輯器,找到 HKEY_LOCAL_MACHINE >> SYSTEM >> CurrentControlSet >> Services >> RpcSs, 右側找到Start屬性,把它的值改為2再重啟即可
造成svchost占系統CPU 100%的原因並非svchost服務本身(台中家電維修):以上的情況是由於Windows Update服務下載/安裝失敗而導致更新服務反複重試造成的。而Windows的自動更新也是依賴於svchost服務的一個後台應用,從而表現為svchost.exe負載極高。 常發生這類問題的機器一般是上網條件(尤其是去國外網站)不穩定的機器,(桃園剪髮)比如家裏的父母的機器,往往在安裝機器幾個月以後不定期發生,每個月的第二個星期是高發期:因為最近幾年MS很有規律的在每個月的第二個星期發布補丁程序)。上面的解決方法並不能保證不重發作,但是為了svchost文件而每隔幾個月重裝一次操作系統還是太浪費時間了(台南資源回收場)。
為了能看到正在運行在Svchost列表中的服務。
開始-運行-敲入cmd
然後再敲入 tlist -s (tlist 應該是win2k工具箱裏的東東)
Tlist 顯示一個活動進程的列表。(台中中古車)開關 -s 顯示在每個進程中的活動服務列表。如果想知道更多的關於進程的信息,可以敲 tlist pid。
Tlist 顯示Svchost.exe運行的兩個例子。
0 System Process
8 System
132 smss.exe
160 csrss.exe Title:
180 winlogon.exe Title: NetDDE Agent
208services.exe
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkst
ation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon(台中眼科診所),TrkWks,W32Time,Wmi
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs
404 svchost.exe Svcs: RpcSs
452 spoolsv.exe Svcs: Spooler
544 cisvc.exe Svcs: cisvc
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv
580 regsvc.exe Svcs: RemoteRegistry
596 mstask.exe Svcs: Schedule
660 snmp.exe Svcs: SNMP
728 winmgmt.exe Svcs: WinMgmt
852 cidaemon.exe Title: OleMainThreadWndName
812 explorer.exe Title: Program Manager
1032 OSA.EXE Title: Reminder
1300 cmd.exe Title:(台南牛排) D:\WINNT5\System32\cmd.exe - tlist -s
1080 MAPISP32.EXE Title: WMS Idle
1264 rundll32.exe Title:
1000 mmc.exe Title: Device Manager
1144 tlist.exe
在這個例子中注冊表設置了兩個組(台北除白蟻)。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost:
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent RasautoRa
sman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc
rpcss :Reg_Multi_SZ: RpcSs
smss.exe
csrss.exe
這個是用戶模式Win32子系統的一部分。csrss代表客戶/服務器運行子系統而且是一個基本的子系統必須一直運行。csrss 負責控制windows(手工眼鏡),創建或者刪除線程和一些16位的虛擬MS-DOS環境。
[編輯本段]以下是系統調用SVCHOST程序的服務
(第一行為"服務名字",第二行為"服務的說明",第三行為"調用程序")
Application Management
應用程序管理組件,負責msi文件格式的安裝,但是實際上禁止了該服務並無大礙。
svchost.exe
Automatic Updates
Windows的自動更新服務。
svchost.exe
Background Intelligent Transfer Service
實現http1.1服務器之間的信息傳輸,微軟稱支持windows更新時的斷點續傳。
svchost.exe
COM+ Event System
某些COM+軟件需要,檢查c:/program files/ComPlus Applications目錄,如果裏面沒有文件就可以把這個服務關閉.
svchost.exe
Computer Browser
用來瀏覽局域網電腦的服務,但關了不影響瀏覽!
svchost.exe
Cryptographic Services
Windows更新時用來確認windows文件指紋的,可以在更新的時候開啟。
svchost.exe
DHCP Client
使用靜態IP的用戶需要,對使用Modem的用戶無用。
svchost.exe
Distributed Link Tracking Client
用於局域網更新連接信息,(比如在電腦A有個文件,在電腦B做了個連接,如果文件移動了,這個服務將會更新信息。占用4兆內存。)
svchost.exe
DNS Client
DNS解釋器,把域名解釋為IP地址
svchost.exe
Error Reporting Service
錯誤報告器,把windows中錯誤報告給微軟。
svchost.exe
Fast User Switching Compatibility
多用戶快速切換服務,你喜歡嗎?
svchost.exe
Help and Support
Windows的幫助。新手還是要靠他來指點的。
svchost.exe
Human Interface Device Access
支持“人體工學的電腦配件,比如鍵盤上調音量的按鈕等等。
svchost.exe
Internet Connection Firewall/Internet Connection Sharing
XP的防火牆/為多台電腦聯網共享一個撥號網絡訪問Internet提供服務。
svchost.exe
Logical Disk Manager
磁盤管理服務。需要時系統會通知你開啟(戶外吊籃)。
svchost.exe
Network Location Awareness (NLA)
如有網絡共享或ICS/ICF可能需要.(服務器端)。
svchost.exe
Portable Media Serial Number
Windows Media Player和Microsoft保護數字媒體版權.
svchost.exe
Remote Access Auto Connection Manager
寬帶者/網絡共享需要的服務!
svchost.exe
Remote Procedure Call (RPC)
系統核心服務!如果在Windows2000中禁止該服務,系統將無法啟動。
svchost.exe
Remote Registry Service
遠程注冊表運行/修改。
svchost.exe
[編輯本段]注意點
svchost.exe
常被病毒冒充的進程名有:svch0st.exe、schvost.exe、scvhost.exe。(抗靜電盤)隨著Windows系統服務不斷增多,為了節省系統資源,微軟把很多服務做成共享方式,交由svchost.exe進程來啟動。而系統服務是以動態鏈接庫(DLL)形式實現的,它們把可執行程序指向svchost,由svchost調用相應服務的動態鏈接庫來啟動服務。(戶外傢俱)我們可以打開“控制面板→“管理工具→服務,雙擊其中“ClipBook服務,在其屬性面板中可以發現對應的可執行文件路徑為“C:\WINDOWS\system32\clipsrv.exe。再雙擊“Alerter服務,可以發現其可執行文件路徑為“C:\WINDOWS\system32\svchost.exe -k LocalService,(桃園美髮)而“Server服務的可執行文件路徑為“C:\WINDOWS\system32\svchost.exe -k netsvcs。正是通過這種調用,可以省下不少系統資源,因此系統中出現多個svchost.exe,其實只是系統的服務而已。 在Windows2000系統中一般存在2個svchost.exe進程,(台中制服)一個是RPCSS(RemoteProcedureCall)服務進程,另外一個則是由很多服務共享的一個svchost.exe;而在WindowsXP中,則一般有4個以上的svchost.exe服務進程。如果svchost.exe進程的數量多於6個,就要小心了,很可能是病毒假冒的,檢測方法也很簡單,使用一些進程管理工具,例如Windows優化大師的進程管理功能,查看svchost.exe的可執行文件路徑(台中團體服),如果在“C:\WINDOWS\system32目錄外,那么就可以判定是病毒了。
svchost.exe病毒清除辦法
1、用unlocker刪除類似於C:SysDayN6這樣的文件夾:例如C:Syswm1i、C:SysAd5D等等,這些文件夾有個共同特點,就是名稱為 Sys*** (***是三到五位的隨機字母)(台中檢驗所),這樣的文件夾有幾個就刪幾個。
2、開始——運行——輸入“regedit——打開注冊表,展開注冊表到以下位置:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\Policies\Explorer\Run
刪除右邊所有用純數字為名的鍵,如
<66>
<333>
<50>
<4>
3、重新啟動計算機,病毒清除完畢。
如何減少SVCHOST.EXE進程數
你可以把下面這段代碼複制到一個空的記事本中,然後另存為“.bat格式的批處理文件,再運行這個批處理。就可以關閉無用的系統服務了,你會發現少了很多SVCHOST.EXE。
@echo off
REM 關閉“為 Internet 連接共享和 Windows 防火牆提供第三方協議插件的支持
sc config alg start= disabled
REM 關閉“Windows自動更新功能
sc config wuauserv start= disabled
REM 關閉“剪貼簿查看器
sc config clipsrv start= disabled
REM 關閉“Messenger
sc config Messenger start= disabled
REM 關閉“通過NetMeeting遠程訪問此計算機
sc config mnmsrvc start= disabled
REM 關閉“打印後台處理程序
sc config Spooler start= disabled
REM 關閉“遠程修改注冊表
sc config RemoteRegistry start= disabled
REM 關閉“監視系統安全設置和配置
sc config wscsvc start= disabled
REM 關閉“系統還原
sc config srservice start= disabled
REM 關閉“計劃任務
sc config Schedule start= disabled
REM 關閉“TCP/IP NetBIOS Helper
sc config lmhosts start= disabled
REM 關閉“Telnet服務
sc config tlntsvr start= disabled
REM 關閉“防火牆服務
sc config sharedaccess start= disabled
REM 關閉“Computer Browser
sc config Browser start= disabled
REM 關閉“錯誤報警
sc config Alerter start= disabled
REM 關閉“錯誤報告
sc config ERSvc start= disabled
REM 關閉“本地和遠程計算機上文件的索引內容和屬性
sc config cisvc start= disabled
REM 關閉“管理卷影複制服務拍攝的軟件卷影複制
sc config SwPrv start= disabled
REM 關閉“支持網絡上計算機 pass-through 帳戶登錄身份驗證事件
sc config NetLogon start= disabled
REM 關閉“為使用傳輸協議而不是命名管道的遠程過程調用(RPC)程序提供安全機制
sc config NtLmSsp start= disabled
REM 關閉“收集本地或遠程計算機基於預先配置的日程參數的性能數據,然後將此數據寫入日志或觸發警報
sc config SysmonLog start= disabled
REM 關閉“通過聯機計算機重新獲取任何音樂播放序號
sc config WmdmPmSN start= disabled
REM 關閉“管理連接到計算機的不間斷電源(UPS)
sc config UPS start= disabled
限會員,要發表迴響,請先登入
