svchost.exe进程问题？是不是病毒？

svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中，在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个，而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。svchost.exe有时是比较头痛的，当你看到你的某个svchost.exe占用很大CPU时你可以去下个aports或者fport来检查其对应的程序路径，也就是什幺东西在掉用这个svchost.exe，如果不是c:\Windows\system32(xp)或c:\winnt\system32(2000)下的，那就可疑。升级杀毒软件杀毒吧。

svchost.exe造成CPU使用率占用100%

在win.ini文件中，在[Windows]下面，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什幺都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动文件。

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那幺后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。

在注册表中的情况最复杂，通过regedit命令打开注册表编辑器，在点击至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目录下，查看键值中有没有自己不熟悉的自动启动文件，扩展名为EXE，这里切记:有的“木马”程序生成的文件很像系统自身文件，想通过伪装蒙混过关，如“Acid Battery v1.0木马”，它将注册表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 键值改为Explorer=“C:\Windows\expiorer.exe”，“木马”程序与真正的Explorer之间只有“i”与“l”的差别。当然在注册表中还有很多地方都可以隐藏“木马”程序，如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目录下都有可能，最好的办法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木马该病毒也称为“Code Red II(红色代码2)”病毒，与早先在西方英文系统下流行“红色代码”病毒有点相反，在国际上被称为VirtualRoot(虚拟目录)病毒。该蠕虫病毒利用Microsoft已知的溢出漏洞，通过80端口来传播到其它的Web页服务器上。受感染的机器可由黑客们通过Http Get的请求运行scripts/root.exe来获得对受感染机器的完全控制权。

当感染一台服务器成功了以后，如果受感染的机器是中文的系统后，该程序会休眠2天，别的机器休眠1天。当休眠的时间到了以后，该蠕虫程序会使得机器重新启动。该蠕虫也会检查机器的月份是否是10月或者年份是否是2002年，如果是，受感染的服务器也会重新启动。当Windows NT系统启动时，NT系统会自动搜索C盘根目录下的文件explorer.exe，受该网络蠕虫程序感染的服务器上的文件explorer.exe也就是该网络蠕虫程序本身。该文件的大小是8192字节，VirtualRoot网络蠕虫程序就是通过该程序来执行的。同时，VirtualRoot网络蠕虫程序还将cmd.exe的文件从Windows NT的system目录拷贝到别的目录，给黑客的入侵敞开了大门。它还会修改系统的注册表项目，通过该注册表项目的修改，该蠕虫程序可以建立虚拟的目录C或者D，病毒名由此而来。值得一提的是，该网络蠕虫程序除了文件explorer.exe外，其余的操作不是基于文件的，而是直接在内存中来进行感染、传播的，这就给捕捉带来了较大难度。

我们先看看微软是怎样描述svchost.exe的。在微软知识库314056中对svchost.exe有如下描述:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。其实svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中，在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个，而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个svchost.exe不用那幺担心。

微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd，然后在命令行模式中输入:tasklist /svc。系统列出如图2所示的服务列表。图2中红框包围起来的区域就是svchost.exe启动的服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染，svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:\Windows\System32”目录下的svchost.exe程序。如果你在其它目录下发现svchost.exe程序的话，那很可能就是中毒了。

还有一种确认svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具。
这个进程在系统里有多个的，具体的不知说的是哪个！
我的机器上有5个这个进程
我看了一下，最多的一个进程调用的dll多达161个
最少的一个32个。
与你所说的62个，最接近的是50
你先试试在“控制面板－管理工具－服务”里将Windows 自动更新的服务关闭，看看它是不是占用100％B ，如果不出现这样的情况了，那么这个进程占用CPU100％的情况是一个正常的情况，只是在你的机器上出现的时间长了一点，你可能要等上一会儿，它就会正常了。
还有svchost.exe如果是在用户的,那就是病毒
:wub: Service Host Process是一个标准的动态连接库主机处理服务。Svchost.exe文件对那些从动态连接库（DLL）中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位在系统的%systemroot%\system32文件夹下。在启动的时候，Svchost.exe检查注册表中的位置来构建需要加载的服务列表。这就会使多个Svchost.exe在同一时间运行。Windows 2000一般有2个Svchost进程，一个是RPCSS（Remote Procedure Call）服务进程，另外一个则是由很多服务共享的一个Svchost.exe；而在windows XP中，则一般有4个以上的Svchost.exe服务进程；Windows 2003 server中则更多。Svchost.exe是一个系统的核心进程，并不是病毒进程。但由于Svchost.exe进程的特殊性，所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会在C:\Windows\System32目录下找到一个Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了。
大家对Windows操作系统一定不陌生，但你是否注意到系统中“SVCHOST.EXE”这个文件呢？细心的朋友会发现Windows中存在多个“SVCHOST”进程(通过“Ctrl+Alt+Del”键打开任务管理器，这里的“进程”标签中就可看到了)，为什么会这样呢？下面就来揭开它神秘的面纱。

发现

在基于NT内核的Windows操作系统家族中，不同版本的Windows系统，存在不同数量的“SVCHOST”进程，用户使用“任务管理器”可查看其进程数目。一般来说，Win2000有两个SVCHOST进程，WinXP中则有四个或四个以上的SVCHOST进程(以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟)，而Win2003 server中则更多。这些SVCHOST进程提供很多系统服务，如：RpcSs服务(Remote Procedure Call)、dmserver服务(Logical Disk Manager)、Dhcp服务(DHCP Client)等。

如果要了解每个SVCHOST进程到底提供了多少系统服务，可以在Win2000的命令提示符窗口中输入“Tlist -S”命令来查看，该命令是Win2000 Support Tools提供的。在WinXP则使用“tasklist /svc”命令。
http://image2.sina.com.cn/IT/c/2004-03-05/U571P2T68D28860F897DT20040305183411.jpg
深入

Windows系统进程分为独立进程和共享进程两种，“SVCHOST.EXE”文件存在于“%SystemRoot%\system32\”目录下，它属于共享进程。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由SVCHOST.EXE进程来启动。但SVCHOST进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

原来这些系统服务是以动态链接库(DLL)形式实现的，它们把可执行程序指向SVCHOST，由SVCHOST调用相应服务的动态链接库来启动服务。那SVCHOST又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以RpcSs(Remote Procedure Call)服务为例，进行讲解。
http://image2.sina.com.cn/IT/c/2004-03-05/U571P2T68D28860F898DT20040305183411.jpg
实例：笔者以Windows XP为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“Remote Procedure Call”属性对话框，可以看到RpcSs服务的可执行文件的路径为“C:\WINDOWS\system32\svchost -k rpcss”，这说明RpcSs服务是依靠SVCHOST调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。

在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\RpcSs]项，找到类型为“REG_EXPAND_SZ”的键“magePath”，其键值为“%SystemRoot%\system32\svchost -k rpcss”(这就是在服务窗口中看到的服务启动命令)，另外在“Parameters”子项中有个名为“ServiceDll”的键，其值为“%SystemRoot%\system32\rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样SVCHOST进程通过读取“RpcSs”服务注册表信息，就能启动该服务了。

解惑

因为SVCHOST进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的(如冲击波变种病毒“W32.Welchia.Worm”)。但Windows系统存在多个SVCHOST进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

假设Windows XP系统被“W32.Welchia.Worm”感染了。正常的SVCHOST文件存在于“C:\Windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“W32.Welchia.Worm”病毒存在于“C:\Windows\system32\wins”目录中，因此使用进程管理器查看SVCHOST进程的执行文件路径就很容易发现系统是否感染了病毒。Windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“Windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的SVCHOST进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

由于篇幅的关系，不能对SVCHOST全部功能进行详细介绍，这是一个Windows中的一个特殊进程，有兴趣的朋友可参考有关技术资料进一步去了解它。

WinXP中SVCHOST.EXE的资料：
地址：http://support.microsoft.com/default.aspx?scid=kb;en-us;314056

Win2000中SVCHOST.EXE的资料：

地址：http://support.microsoft.com/default.aspx?scid=kb;en-us;250320
http://image2.sina.com.cn/IT/c/2004-03-05/U571P2T68D28860F899DT20040305183411.jpg