windows200系统system32/7a7b2/svchost.exe病毒?怎么清除?

C:\WINDOWS\system32＼svchost.exe是什么啊？是病毒吗？~

Svchost.exe进程详解
在以前的这个时候“冲击波”病毒横行的时候有一种说法就是Svchost.exe都是病毒，一看到就要删除。这种说法让电脑用户人心惶惶，因为每个使用
Windows XP系统的用户在按照文章中介绍的检查有无Svchost.exe的方法都可以找到几个Svchost.exe进程。

真的是像网络上流传的那样Svchost.exe是病毒吗？

我们先看看微软是怎样描述Svchost.exe的。在微软知识库314056中对Svchost.exe有如下描述：Svchost.exe
是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。

其实Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在Windows
XP中，在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows
2000中Svchost.exe进程的数目为2个，而在Windows
XP中Svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个Svchost.exe不用那么担心。

Svchost.exe到底是做什么用的呢？


首先我们要了解一点那就是Windows系统的中的进程分为：独立进程和共享进程这两种。由于Windows系统中的服务越来越多，为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那Svchost.exe在这中间是担任怎样一个角色呢？


Svchost.exe的工作就是作为这些服务的宿主，即由Svchost.exe来启动这些服务。Svchost.exe只是负责为这些服务提供启动的条件，其自身并不能实现任何服务的功能，也不能为用户提供任何服务。Svchost.exe通过为这些系统服务调用动态链接库（DLL）的方式来启动系统服务。

那Svchost.exe是病毒这种说法是任何产生的呢？


因为Svchost.exe可以作为服务的宿主来启动服务，所以病毒、木马的编写者也挖空心思的要利用Svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。

如何才能辨别哪些是正常的Svchost.exe进程，而哪些是病毒进程呢？

Svchost.exe的键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Svchost”，如图1所示。图1中每个键值表示一个独立的Svchost.exe组。

微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的方法。以Windows
XP为例：在“运行”中输入：cmd，然后在命令行模式中输入：tasklist
/svc。系统列出如图2所示的服务列表。图2中红框包围起来的区域就是Svchost.exe启动的服务列表。如果使用的是Windows
2000系统则把前面的“tasklist /svc”命令替换为：“tlist -s”即可。

如果你怀疑计算机有可能被病毒感染，Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。一般只会找到一个在：“C:\Windows\System32”目录下的Svchost.exe程序。如果你在其他目录下发现Svchost.exe程序的话，那很可能就是中毒了。


还有一种确认Svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具。

至于lsass.exe

该进程是多个 Windows 系统服务的宿主。包括：1) HTTP SSL，通过安全套接字层(SSL)实现 HTTP 服务的安全超文本传送协议(HTTPS)。2) IPSEC Services，提供 TCP/IP 网络上客户端和服务器之间端对端的安全，如果此服务被停用，网络上客户端和服务器之间的 TCP/IP 安全将不稳定。3) Kerberos Key Distribution Center，在域控制器上此服务启用用户使用 Kerberos 授权协议登录网络。如果此服务在域控制器上被停用，用户将无法登录网络。4) Net Logon，为用户和服务身份验证维护此计算机和域控制器之间的安全通道。如果此服务被停用，计算机可能无法验证用户和服务身份并且域控制器无法注册 DNS 记录。5) NT LM Security Support Provider，为使用传输协议而不是命名管道的远程过程调用(RPC)程序提供安全机制。6) Protected Storage，保护敏感数据(如私钥)的存储，以便防止未授权的服务、过程或用户对其的非法访问。如果此服务被停用，保护性存储将不可用。7) Security Accounts Manager，此服务的启动通知其他服务安全帐户管理 (SAM) 准备好接收请求。禁用此服务将使系统中的其他服务接收不到 SAM 准备好的通知，从而导致这些服务启动不正确。此服务不应被禁用。
上面简单的介绍了Svchost.exe进程的相关情况。总而言之，Svchost.exe是一个系统的核心进程，并不是病毒进程。但由于 Svchost.exe进程的特殊性，所以病毒也会千方百计的入侵Svchost.exe。通过察看Svchost.exe进程的执行路径可以确认是否中毒。

进程文件： svchost or svchost.exe

进程名称： Microsoft Service Host Process

进程类别：其他进程

英文描述：

svchost.exe is a system process belonging to the Microsoft Windows Operating System which handles processes executed from DLLs. This program is important for the stable and secure running of your computer and should not be terminated. Note: svchost.

中文参考：

svchost.exe是一个属于微软Windows操作系统的系统程序，用于执行DLL文件。这个程序对你系统的正常运行是非常重要的。注意：svchost.exe也有可能是W32.Welchia.Worm病毒，它利用Windows LSASS漏洞，制造缓冲区溢出，导致你计算机关机。更多详细信息参考:http://www.microsoft.com/technet/security/bulletin/ms04-011.mspx，该进程的安全等级是建议立即删除。

出品者：Microsoft Corp.

属于：Microsoft Windows Operating System

系统进程：Yes

后台程序：Yes

网络相关：Yes

常见错误：N/A

内存使用：N/A

安全等级 (0-5): 0

间谍软件：No

广告软件：No

病毒：No

木马：No

发现

在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remoteprocedurecall）、dmserver服务（logicaldiskmanager）、dhcp服务（dhcpclient）等。

如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist-s”命令来查看，该命令是win2000supporttools提供的。在winxp则使用“tasklist/svc”命令。

svchost中可以包含多个服务

深入

windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot%system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss（remoteprocedurecall）服务为例，进行讲解。

从启动参数中可见服务是靠svchost来启动的。

实例

以windowsxp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“remoteprocedurecall”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost-krpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。

在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[hkey_local_machinesystemcurrentcontrolsetservicesrpcss]项，找到类型为“reg_expand_sz”的键“magepath”，其键值为“%systemroot%system32svchost-krpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“servicedll”的键，其值为“%systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。

解惑

因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

假设windowsxp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

简单有效的办法 F8安全模式查杀
应该没问题！！！

手掉删掉...然后再建立和它们相同的文件名.设为只读.隐藏.呵呵.

去找瑞星 它有这个病毒的 专杀工具

---

双柏县19312971682： 如何打开windows系统注册表 - ？
文修护谷： 一,windows xp/windows200X进入注册表 在开始菜单-》运行 中输入 regedit即可进入注册表 二, windows7系统注册表 方法一:“开始”——“所有程序”——“附件”——“命令提示符”(此功能与运行的功能基本相同) ——输入redegit ...

双柏县19312971682： 笔记本开机后经常跳出一个标题栏为c;\windows\syste? ？
文修护谷： c:\windows\system32\cmd.exe 这个是命令提示符(实际上就是DOS,你在附件中可以找到他),正常情况下开机不会弹出他,检查下你的开机启动项,是否有某个程序调用了命令提示符.如果你确认这个程序是正常的程序就不要管他,如果你不确定就向专业人员咨询.根据我的经验,这应该不是正常现象

双柏县19312971682： 我家的电脑开不开机了,跳出了这样一句话:因为以下文件的损坏或者丢失,windows无法启动:\WINDOWS\SYSTE - ？
文修护谷： 你看不明白吗?系统的主程序都被你弄丢了,怎么启动得了?一是误删了 二是杀毒连系统程序也杀没了.去网上或别人system32文件夹中复制个程SYSTEM程序试试,再不行只有重装,没有别的方法

双柏县19312971682： 我c:\windows\system文件夹里面什么都没有 - ？
文修护谷： 在 64 位 Windows 系统中,System 文件夹本来就是空的,很正常.但是 32 位系统下,这个文件夹中会存放一些系统文件.先说一下 System 文件夹的来由和作用.System 文件夹最先出现在 16 位 Windows 系统(如 Windows 3.x)中,用于存...

双柏县19312971682： system在进程里是干什么的?？
文修护谷： 进程文件:System 进程名:System 描述:System - 系统 体制 计划 系统里确实有system这个进程,但注意,它并不是system.exe,可能是木马伪装而成的,还是先查查木马吧 进程文件:system.exe 进程名称:system.exe 描述: system.exe是...

双柏县19312971682： 开机很慢 提示Windows无法连接到System event notification serv - ？
文修护谷： 系统用久,电脑运行肯定会慢,不是电脑配置不行,而是电脑垃圾和插件过多,开机启动项目过多,造成的电脑卡,以及慢的情况,这个时候,最好的选择就是重装系统,重装系统,只会改变电脑C盘里的系统,像电脑D和E和F盘里面的文件和...

双柏县19312971682： 我的电脑在开机显示: 因以下文件的损坏或者丢失,Windows无法启动: WINDOWS\SYSTEM32\COMFIG\SYSTE - ？
文修护谷： 1把其他电脑正常的系统文件copy过来尝试修复.2插入系统安装盘让系统自行修复(难度较高)3如果不行就只有重装了

双柏县19312971682： windows/systesm32/confzg/system损坏怎么样解决啊?请教各们高手？
文修护谷： 要是手中有系统盘的用系统就可以恢复,用DOS命令即可,首先把BIOS设置光盘启动,再放入光盘在选择DOS命令修复选项-然后从安装光盘中把损坏的系统文件system拷贝到C:\windows\system32 具体做法如下: copy h:\i386\windows\system...

双柏县19312971682： 电脑无法开机,提示syste32\drivers\ntfs.sys损坏,怎么办? - ？
文修护谷： 本人有台810旧电脑,15G硬盘.在装系统时,屡不成功. 每次都会提示文件丢失或是格式化失败.换了多张系统盘 98 2K XP装了一个遍 GHOST版的XP也装过,都以失败告终. 怀疑硬盘有问题,拿硬盘到别的电脑上安装系统,皆成功. 遂以此硬盘在...

双柏县19312971682： 因以下文件的损坏或者流失windows 无法启动:syste32/DRIVEYS/pci.sys？
文修护谷： 这我见过,问题也被我解决了, 第一 你把你的内存条 在断电的情况下 换个插巢.如果问题没有解决 你换跟内存. 还没解决,那你找个精简<雨林版的GHOST就可以>的XP把你的系统拖起来.然后找个U盘把你丢失的2个文件在另台电脑上找到,考到你的电脑上就OK咯!还没解决``绝对是不可能滴咯.