常被病毒冒充的進程名有:svch0st.exe、schvost.exe、scvhost.exe。隨著Windows系統服務不斷增多,為了節省系統資源,微軟把很多服務做成***享方式,交由svchost.exe進程來啟動。而系統服務是以動態鏈接庫(DLL)形式實現的,它們把可執行程序指向svchost,由svchost調用相應服務的動態鏈接庫來啟動服務。我們可以打開“控制面板”→“管理工具”→服務,雙擊其中“ClipBook”服務,在其屬性面板中可以發現對應的可執行文件路徑為“C:\WINDOWS\system32\clipsrv.exe”。再雙擊“Alerter”服務,可以發現其可執行文件路徑為“C:\WINDOWS\system32\svchost.exe -k LocalService”,而“Server”服務的可執行文件路徑為“C:\WINDOWS\system32\svchost.exe -k netsvcs”。正是通過這種調用,可以省下不少系統資源,因此系統中出現多個svchost.exe,其實只是系統的服務而已。 在Windows2000系統中壹般存在2個svchost.exe進程,壹個是RPCSS(RemoteProcedureCall)服務進程,另外壹個則是由很多服務***享的壹個svchost.exe;而在WindowsXP中,則壹般有4個以上的svchost.exe服務進程。如果svchost.exe進程的數量多於6個,就要小心了,很可能是病毒假冒的,檢測方法也很簡單,使用壹些進程管理工具,例如Windows優化大師的進程管理功能,查看svchost.exe的可執行文件路徑,如果在“C:\WINDOWS\system32”目錄外,那麽就可以判定是病毒了。
svchost.exe病毒清除辦法
1.用unlocker刪除類似於C:SysDayN6這樣的文件夾:例如C:Syswm1i、C:SysAd5D等等,這些文件夾有個***同特點,就是名稱為 Sys*** (***是三到五位的隨機字母),這樣的文件夾有幾個就刪幾個。 2.開始——運行——輸入“regedit”——打開註冊表,展開註冊表到以下位置: HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\Policies\Explorer\Run 刪除右邊所有用純數字為名的鍵,如 3.重新啟動計算機,病毒清除完畢。