SVCHOST.EXE是基于NT核心技术的操作系统非常重要的进程，它提供许多系统服务，比如远程过程调用系统服务 (RPCSS)、动态主机配置协议（DPCH) 服务等与网络相关的服务。现在广大计算机用户普遍使用的Windows XP、Windows 2003等操作系统都涉及该进程，但是现在很多病毒、木马都以此为依托，感染、攻击广大计算机用户，尤其是给上互联网的用户带来许多不方便，那么作为计算机用户，快速、及时的识别真假SVCHOST.EXE显得尤为重要。
根据用户操作系统和提供的服务不同，你的操作系统可能提供不同数量的SVCHOST.EXE，一般情况下，Windows XP提供四个或四个以上的该进程，我们可以通过快捷键Ctrl+Alt+Delete打开任务管理器，观察SVCHOST.EXE。一般用户发现有问题时，通常是想在任务管理器结束该进程，但是，要么结束一个立即又生成一个，要么提示60秒关机，非常讨厌，那么如何来解决这个问题呢？
显然靠以上结束进程的方法不太实用，我们可以通过以下几步快速的辨别真假SVCHOST.EXE进程，并及时关闭相应的非法进程：
第一步：单击“开始”菜单，选择“程序”菜单下的“附件”子菜单，选择其下的“命令提示符”选项，或者单击“开始”菜单，选择“运行”选项，在其中输入：cmd，回车，进入DOS提示符下；
第二步：由于系统多个SVCHOST.EXE中，有的是正常的，有的可能是病毒，用户不能根据数目的多少来判断，要判断该进程是否是病毒，可以通过该程序的发起程序来判断，这是非常准确的方法，用户在命令提示符下输入：netstat –abnov，回车，在反馈的信息中用户可以看到每个进程的发起程序或者文件列表，这时就可以通过相关的知识判断该进程是否为病毒或者木马发起的，比如SVCHOST.EXE，它的发起程序或者文件列表是在Windows XP安装目录下的System32子目录中，而假冒的SVCHOST.EXE，比如冲击波变种病毒“w32.welchina.worm”则隐藏在System32目录下的Wins中，然后记住该进程的PID号（进程标识符）；
另一种方法是用户还可以在命令提示符中输入：Tasklist /svc，回车，如果显示SVCHOST.EXE进程后面提示的服务信息是“暂缺”，而不是一个具体的服务名，那么它就是病毒进程或者木马了，记下这个病毒进程或者木马的PID号；
第三步：快捷键Ctrl+Alt+Delete打开任务管理器，单击“查看”菜单下“选择列”选项，弹出“选择列”对话框，勾选“PID（进程标识符）”，这样用户可以在任务管理器中显示PID号，这样根据第二步查到的病毒或者木马程序的PID号，结束该进程，然后找到该程序，将其删除即可。
以上方法主要是针对SVCHOST.EXE进行讨论的，其实是一种方法，广大计算机用户可以据此解决类似的问题。

文章如转载，请注明转载自：http://www.5iadmin.com/post/151.html