在我的进程中有4个svchost.exe,有问题吗???

Download DrWeb-CureIt & save it to your desktop. DO NOT perform a scan yet.
Reboot your computer in SAFE MODE" using the F8. To do this, restart your computer and after hearing your computer beep once during startup [but before the Windows icon appears] press the F8 key repeatedly. A menu will appear with several options. Use the arrow keys to navigate and select the option to run Windows in "Safe Mode".
Scan with DrWeb-CureIt as follows:
1. Double-click on drweb-cureit.exe to start the program.
2. An "Express Scan of your PC" notice will appear. Under "Start the Express Scan Now", Click "OK" to start.
3. Click "Select drives" and then click the "Start/Stop Scanning" button (green arrow on the right) to start.
4. When done a message will be displayed at the bottom advising if any viruses were found.
5. A log file will be created in C:\Documents and Settings\username\DoctorWeb\CureIt.log
6. Any quarantined files will be sent to C:\Documents and Settings\username\DoctorWeb\Quarantine.
7. Exit the program and reboot normally. Don't post the log because it will be rather long. Just take a look and let me know if it found anything that could not be deleted.
Scan with Ewido as follows:
1. Launch Ewido, click on the "Scanner" button and choose the "Settings" tab.
Under "How to act?", click on "Recommended actions" and choose "Quarantine" to set default action for detected malware.
Under "How to Scan?" check all (default).
Under "Possibly unwanted software" check all (default).
Under "What to Scan?" make sure "Scan every file" is selected (default).
Under "Reports" select "Automatically generate report after every scan and UNcheck "Only if threats were found".
2. Click the "Scan" tab to return to scanning options.
3. Click "Complete System Scan" to start.
4. When the scan has finished you will be presented with a list of infected objects found. Click "Apply all actions" to place the files in Quarantine.
IMPORTANT! Do not save the report before you have clicked the Apply all actions button. If you do, the log that is created will indicate "No action taken", making it more difficult to interpret the report. So be sure you save it only AFTER clicking the "Apply all actions" button?
5. Click on "Save Report" to view all completed scans. Click on the most recent scan you just performed and select "Save report as" - the default file name will be in date/time format as follows: Report-Scan-20060620-142816.txt. Save to your desktop. A copy of each report will also be saved in C:\Program Files\ewido anti-spyware 4.0\Reports\
6. Exit Ewido when done and submit the log report in your next response.
Note: Close all open windows, programs, and DO NOT USE the computer while Ewido is scanning. If Explorer or other programs are open during the scan that means certain files will also be in use. Some malware will insert itself and hide in areas that are "protected" by Windows when the files are being used. This can hamper Ewido's ability to clean properly and may result in reinfection.
Reboot normally and perform this online Virus scan:
[Watch the Address bar in IE. You may receive alerts that "This site might require the following ActiveX control...Click here to install...". Click on that alert and then Click Install ActiveX component.]

Currently my computer has 9 instances of svchost.exe running and it runs fine.

Service Host Process是一個標準的動態鏈接庫主機處理服務，Svchost.exe對那些從動態鏈接庫(DLL)中運行的服務來説是一個普通的主機進程名。Svchost.exe定位在系統的windows\system32下，啓動的時候Svchost.exe檢查註冊表中的位置來構建需要加載的服務列表，這樣就會使多個Svchost.exe同時運行。一般win2000有2個Svchost.exe進程，winxp則至少4個，大概由local service、system、network service、local user等調用，而win2003則會調用得更多。Svchost.exe是系統的核心進程而並不是病毒，但因爲其很重要而常被病毒入侵。如果懷疑被病毒感染，可以查詢Svchost.exe的位置來發現異常，只要在windows\system32\以外的地方找到Svchost.exe文件，那麽可以說就被病毒感染了。

我就知道這麽多了，見笑~

我在另外两个地方找到,可查毒又查不出来!!

你的 CPU Usage 如果近100%, svchost就有機會會被病毒篡改.
你可到 http://securityresponse1.symante ... 2.welchia.worm.html 參考資料及移除病毒

建議你先刪掉其他位置的svchost.exe，然後到microsoft update更新所有修補程式，在安全模式下用比較強力的殺毒軟件殺毒，例如norton、nod32、kapasky。這樣再看看會不會在其他地方出現。

As Francias said, XP at least having 4 svchost.exe, that correct.
Window 2003 server having 9 svchost.exe,
5 of them is from SYSTEM, 2 of them is from NETWORK SERVICE,
and another 2 is from LOCAL SERVICE.

Problem i face before,
When the svchost.exe get inflected by virus or having error, (Not sure which part of svchost.exe)
When u using the ADSL(manual dailing mode), and suddenly it pop out an error message,
then yr browser all will appear Cannot find Server.....
But The connection is still running, and u only cant access(reply signal) the net.
Even sometimes repairing also, the problem will coming back again.

If really having the problem wif svchost.exe, try to reinstalling an window.
(Best way, Do NOT perform quick format, and please perform the FULL format.)

Sorry, i not so familiar with all the linking from the computer

svchost.exe是nt核心系統的非常重要的進程，對於2000、xp來說，不可或缺。很多病毒、木馬也會調用它。所以，深入瞭解這個程序，是玩電腦的必修課之一。

　　大家對windows操作系統一定不陌生，但你是否注意到系統中「svchost.exe」這個文件呢？細心的朋友會發現windows中存在多個 「svchost」進程（通過「ctrl+alt+del」鍵打開任務管理器，這裡的「進程」標籤中就可看到了），為什麼會這樣呢？下面就來揭開它神秘的面紗。

發現

　　在基於nt內核的windows操作系統家族中，不同版本的windows系統，存在不同數量的「svchost」進程，用戶使用「任務管理器」可查看其進程數目。一般來說，win2000有兩個svchost進程，winxp中則有四個或四個以上的svchost進程（以後看到系統中有多個這種進程，千萬別立即判定系統有病毒了喲），而win2003 server中則更多。這些svchost進程提供很多系統服務，如：rpcss服務（remote procedure call）、dmserver服務（logical disk manager）、dhcp服務（dhcp client）等。

　　如果要瞭解每個svchost進程到底提供了多少系統服務，可以在win2000的命令提示符窗口中輸入「tlist -s」命令來查看，該命令是win2000 support tools提供的。在winxp則使用「tasklist /svc」命令。

svchost中可以包含多個服務

深入

　　windows系統進程分為獨立進程和共享進程兩種，「svchost.exe」文件存在於「%systemroot% system32」目錄下，它屬於共享進程。隨著windows系統服務不斷增多，為了節省系統資源，微軟把很多服務做成共享方式，交由 svchost.exe進程來啟動。但svchost進程只作為服務宿主，並不能實現任何服務功能，即它只能提供條件讓其他服務在這裡被啟動，而它自己卻不能給用戶提供任何服務。那這些服務是如何實現的呢？

　　原來這些系統服務是以動態鏈接庫（dll）形式實現的，它們把可執行程序指向 svchost，由svchost調用相應服務的動態鏈接庫來啟動服務。那svchost又怎麼知道某個系統服務該調用哪個動態鏈接庫呢？這是通過系統服務在註冊表中設置的參數來實現。下面就以rpcss（remote procedure call）服務為例，進行講解。

　　從啟動參數中可見服務是靠svchost來啟動的。

實例

　　以windows xp為例，點擊「開始」/「運行」，輸入「services.msc」命令，彈出服務對話框，然後打開「remote procedure call」屬性對話框，可以看到rpcss服務的可執行文件的路徑為「c:\windows\system32\svchost -k rpcss」，這說明rpcss服務是依靠svchost調用「rpcss」參數來實現的，而參數的內容則是存放在系統註冊表中的。

　　在運行對話框中輸入「regedit.exe」後回車，打開註冊表編輯器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]項，找到類型為「reg_expand_sz」的鍵「magepath」，其鍵值為「%systemroot%system32svchost -k rpcss」（這就是在服務窗口中看到的服務啟動命令），另外在「parameters」子項中有個名為「servicedll」的鍵，其值為「% systemroot%system32rpcss.dll」，其中「rpcss.dll」就是rpcss服務要使用的動態鏈接庫文件。這樣 svchost進程通過讀取「rpcss」服務註冊表信息，就能啟動該服務了。

解惑

　　因為svchost進程啟動各種服務，所以病毒、木馬也想盡辦法來利用它，企圖利用它的特性來迷惑用戶，達到感染、入侵、破壞的目的（如衝擊波變種病毒「w32.welchia.worm」）。但windows系統存在多個svchost進程是很正常的，在受感染的機器中到底哪個是病毒進程呢？這裡僅舉一例來說明。

　　假設windows xp系統被「w32.welchia.worm」感染了。正常的svchost文件存在於「c:\windows\system32」目錄下，如果發現該文件出現在其他目錄下就要小心了。「w32.welchia.worm」病毒存在於「c:\windows\system32wins」目錄中，因此使用進程管理器查看svchost進程的執行文件路徑就很容易發現系統是否感染了病毒。windows系統自帶的任務管理器不能夠查看進程的路徑，可以使用第三方進程管理軟件，如「windows優化大師」進程管理器，通過這些工具就可很容易地查看到所有的svchost進程的執行文件路徑，一旦發現其執行路徑為不平常的位置就應該馬上進行檢測和處理。

　　由於篇幅的關係，不能對svchost全部功能進行詳細介紹，這是一個windows中的一個特殊進程，有興趣的可參考有關技術資料進一步去瞭解它。
------------------------------------------
在去年的這個時候「衝擊波」病毒橫行的時候有一種說法就是Svchost.exe都是病毒，一看到就要刪除。這種說法讓電腦用戶人心惶惶，因為每個使用 Windows XP系統的用戶在按照文章中介紹的檢查有無Svchost.exe的方法都可以找到幾個Svchost.exe進程。

　　真的是像網絡上流傳的那樣Svchost.exe是病毒嗎？

　　我們先看看微軟是怎樣描述Svchost.exe的。在微軟知識庫314056中對Svchost.exe有如下描述：Svchost.exe 是從動態鏈接庫 (DLL) 中運行的服務的通用主機進程名稱。

　　其實Svchost.exe是Windows XP系統的一個核心進程。Svchost.exe不單單只出現在Windows XP中，在使用NT內核的Windows系統中都會有Svchost.exe的存在。一般在Windows 2000中Svchost.exe進程的數目為2個，而在Windows XP中Svchost.exe進程的數目就上升到了4個及4個以上。所以看到系統的進程列表中有幾個Svchost.exe不用那麼擔心。

　　Svchost.exe到底是做什麼用的呢？

　　首先我們要瞭解一點那就是Windows系統的中的進程分為：獨立進程和共享進程這兩種。由於Windows系統中的服務越來越多，為了節約有限的系統資源微軟把很多的系統服務做成了共享模式。那Svchost.exe在這中間是擔任怎樣一個角色呢？

　　Svchost.exe的工作就是作為這些服務的宿主，即由Svchost.exe來啟動這些服務。Svchost.exe只是負責為這些服務提供啟動的條件，其自身並不能實現任何服務的功能，也不能為用戶提供任何服務。Svchost.exe通過為這些系統服務調用動態鏈接庫（DLL）的方式來啟動系統服務。

　　那Svchost.exe是病毒這種說法是任何產生的呢？

　　因為Svchost.exe可以作為服務的宿主來啟動服務，所以病毒、木馬的編寫者也挖空心思的要利用Svchost.exe的這個特性來迷惑用戶達到入侵、破壞計算機的目的。

　　如何才能辨別哪些是正常的Svchost.exe進程，而哪些是病毒進程呢？

　　Svchost.exe的鍵值是在「HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost」，如圖1所示。圖1中每個鍵值表示一個獨立的Svchost.exe組。


------------------------------------------------------------------

1、防殺毒軟體造成故障

　　由於新版的KV、金山、瑞星都加入了對網頁、插件、郵件的隨機監控，無疑增大了系統負擔。處理方式:基本上沒有合理的處理方式，儘量使用最少的監控服務吧，或者，升級你的硬體配備。

　　2、驅動沒有經過認證，造成CPU資源佔用100%

　　大量的測試版的驅動在網上氾濫，造成了難以發現的故障原因。 處理方式:尤其是顯卡驅動特別要注意，建議使用微軟認證的或由官方發佈的驅動，並且嚴格核對型號、版本。

　　3、病毒、木馬造成

　　大量的蠕蟲病毒在系統內部迅速複製，造成CPU佔用資源率據高不下。解決辦法:用可靠的殺毒軟體徹底清理系統記憶體和本地硬碟，並且打開系統設置軟體，察看有無異常啟動的程式。經常性更新升級殺毒軟體和防火牆，加強防毒意識，掌握正確的防殺毒知識。

　　4、控制面板—管理工具—服務—RISING REALTIME MONITOR SERVICE點滑鼠右鍵，改為手動。

　　5、開始->；運行->；msconfig->；啟動，關閉不必要的啟動項，重啟。

　　6、查看“svchost”進程。

　　svchost.exe是Windows XP系統的一個核心進程。svchost.exe不單單只出現在Windows XP中，在使用NT內核的Windows系統中都會有svchost.exe的存在。一般在Windows 2000中svchost.exe進程的數目為2個，而在Windows XP中svchost.exe進程的數目就上升到了4個及4個以上。

　　7、查看網路連接。主要是網卡。

　　8、查看網路連接

　　當安裝了Windows XP的電腦做伺服器的時候，收到埠 445 上的連接請求時，它將分配記憶體和少量地調配 CPU資源來為這些連接提供服務。當負荷過重的時候，CPU佔用率可能過高，這是因為在工作項的數目和回應能力之間存在固有的權衡關係。你要確定合適的 MaxWorkItems 設置以提高系統回應能力。如果設置的值不正確，伺服器的響應能力可能會受到影響，或者某個用戶獨佔太多系統資源。

　　要解決此問題，我們可以通過修改註冊表來解決:在註冊表編輯器中依次展開[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver ]分支，在右側視窗中新建一個名為“maxworkitems”的DWORD值。然後雙擊該值，在打開的視窗中鍵入下列數值並保存退出:

　　如果電腦有512MB以上的記憶體，鍵入“1024”；如果電腦記憶體小於512 MB，鍵入“256”。

　　9、看看是不是Windows XP使用滑鼠右鍵引起CPU佔用100%

　　前不久的報到說在資源管理器□面使用滑鼠右鍵會導致CPU資源100%佔用，我們來看看是怎麼回事？

　　徵兆:

　　在資源管理器□面，當你右鍵點擊一個目錄或一個檔，你將有可能出現下面所列問題:

　　任何檔的拷貝操作在那個時間將有可能停止相應

　　網路連接速度將顯著性的降低

　　所有的流輸入/輸出操作例如使用Windows Media Player聽音樂將有可能是音樂失真成因:

　　當你在資源管理器□面右鍵點擊一個檔或目錄的時候，當快顯功能表顯示的時候，CPU佔用率將增加到100%，當你關閉快顯功能表的時候才返回正常水平。

　　解決方法:

　　方法一:關閉“為功能表和工具提示使用過渡效果”

　　1、點擊“開始”--“控制面板”

　　2、在“控制面板”□面雙擊“顯示”

　　3、在“顯示”屬性□麵點擊“外觀”標籤頁

　　4、在“外觀”標籤頁□麵點擊“效果”

　　5、在“效果”對話方塊□面，清除“為功能表和工具提示使用過渡效果”前面的核取方塊接著點擊兩次“確定”按鈕。

　　方法二:在使用滑鼠右鍵點擊檔或目錄的時候先使用滑鼠左鍵選擇你的目標檔或目錄。然後再使用滑鼠右鍵彈出快顯功能表。

CPU佔用100%解決辦法

　　一般情況下CPU占了100%的話我們的電腦總會慢下來，而很多時候我們是可以通過做一點點的改動就可以解決，而不必問那些大蝦了。

　　當機器慢下來的時候，首先我們想到的當然是任務管理器了，看看到底是哪個程式占了較搞的比例，如果是某個大程式那還可以原諒，在關閉該程式後只要CPU正常了那就沒問題；如果不是，那你就要看看是什么程式了，當你查不出這個進程是什么的時候就去google或者><搜。有時只結束是沒用的，在xp下我們可以結合msconfig□的啟動項，把一些不用的項給關掉。在2000下可以去下個winpatrol來用。

　　一些常用的軟體，比如流覽器佔用了很搞的CPU，那么就要升級該軟體或者乾脆用別的同類軟體代替，有時軟體和系統會有點不相容，當然我們可以試下xp系統下給我們的那個相容項，右鍵點該.exe檔選相容性。

　　svchost.exe有時是比較頭痛的，當你看到你的某個svchost.exe佔用很大CPU時你可以去下個aports或者fport來檢查其對應的程式路徑，也就是什么東西在掉用這個svchost.exe，如果不是c:\Windows\system32(xp)或c:\winnt\system32(2000)下的，那就可疑。升級殺毒軟體殺毒吧。

　　右擊檔導致100%的CPU佔用我們也會遇到，有時點右鍵停頓可能就是這個問題了。官方的解釋:先點左鍵選中，再右鍵(不是很理解)。非官方:通過在桌面點右鍵-屬性-外觀-效果，取消”為功能表和工具提示使用下列過度效果(U)“來解決。還有某些殺毒軟體對檔的監控也會有所影響，可以關閉殺毒軟體的檔監控；還有就是對網頁，插件，郵件的監控也是同樣的道理。

　　一些驅動程式有時也可能出現這樣的現象，最好是選擇微軟認證的或者是官方發佈的驅動來裝，有時可以適當的升級驅動，不過記得最新的不是最好的。

　　CPU降溫軟體，由於軟體在運行時會利用所以的CPU空閒時間來進行降溫，但Windows不能分辨普通的CPU佔用和降溫軟體的降溫指令之間的區別，因此CPU始終顯示100%，這個就不必擔心了，不影響正常的系統運行。

　　在處理較大的word檔時由於word的拼寫和語法檢查會使得CPU累，只要打開word的工具-選項-拼寫和語法把”檢查拼寫和檢查語法“勾去掉。

　　單擊avi視頻檔後CPU佔用率高是因為系統要先掃描該檔，並檢查檔所有部分，並建立索引；解決辦法:右擊保存視頻檔的檔夾-屬性-常規-高級，去掉為了快速搜索，允許索引服務編制該檔夾的索引的勾。

CPU佔用100%案例分析

　　1、dllhost進程造成CPU使用率佔用100%

　　特徵:伺服器正常CPU消耗應該在75%以下，而且CPU消耗應該是上下起伏的，出現這種問題的伺服器，CPU會突然一直處100%的水平，而且不會下降。查看任務管理器，可以發現是DLLHOST.EXE消耗了所有的CPU空閒時間，管理員在這種情況下，只好重新啟動IIS服務，奇怪的是，重新啟動IIS服務後一切正常，但可能過了一段時間後，問題又再次出現了。

　　直接原因:

　　有一個或多個ACCESS資料庫在多次讀寫過程中損壞，微軟的MDAC系統在寫入這個損壞的ACCESS檔時，ASP線程處於BLOCK狀態，結果其他線程只能等待，IIS被鎖死了，全部的CPU時間都消耗在DLLHOST中。

　　解決辦法:

　　安裝“一流資訊監控攔截系統”，使用其中的“首席檔檢查官IIS健康檢查官”軟體，

　　啟用”查找鎖死模組”，設置:

　　--wblock=yes

　　監控的目錄，請指定您的主機的檔所在目錄:

　　--wblockdir=d:\test

　　監控生成的日誌的檔保存位置在安裝目錄的log目錄中，檔案名為:logblock.htm

　　停止IIS，再啟動“首席檔檢查官IIS健康檢查官”，再啟動IIS，“首席檔檢查官IIS健康檢查官”會在logblock.htm中記錄下最後寫入的ACCESS檔的。

　　過了一段時間後，當問題出來時，例如CPU會再次一直處100%的水平，可以停止IIS，檢查logblock.htm所記錄的最後的十個檔，注意，最有問題的往往是計數器類的ACCESS文件，例如:”**COUNT.MDB”，”**COUNT.ASP”，可以先把最後十個檔或有所懷疑的檔刪除到回收站中，再啟動IIS，看看問題是否再次出現。我們相信，經過仔細的查找後，您肯定可以找到這個讓您操心了一段時間的檔的。

　　找到這個檔後，可以刪除它，或下載下來，用ACCESS2000修復它，問題就解決了。

　　2、svchost.exe造成CPU使用率佔用100%

　　在win.ini檔中，在[Windows]下面，“run=”和“load=”是可能載入“木馬”程式的途徑，必須仔細留心它們。一般情況下，它們的等號後面什么都沒有，如果發現後面跟有路徑與檔案名不是你熟悉的啟動檔，你的電腦就可能中上“木馬”了。當然你也得看清楚，因為好多“木馬”，如“AOL Trojan木馬”，它把自身偽裝成command.exe檔，如果不注意可能不會發現它不是真正的系統啟動檔。

　　在system.ini文件中，在[BOOT]下麵有個“shell=檔案名”。正確的檔案名應該是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程式名”，那么後面跟著的那個程式就是“木馬”程式，就是說你已經中“木馬”了。

　　在註冊表中的情況最複雜，通過regedit命令打開註冊表編輯器，在點擊至:“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”目錄下，查看鍵值中有沒有自己不熟悉的自動啟動檔，副檔名為EXE，這□切記:有的“木馬”程式生成的檔很像系統自身檔，想通過偽裝蒙混過關，如“Acid Battery v1.0木馬”，它將註冊表“HKEY-LOCAL-MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”下的Explorer 鍵值改為Explorer=“C:\Windows\expiorer.exe”，“木馬”程式與真正的Explorer之間只有“i”與“l”的差別。當然在註冊表中還有很多地方都可以隱藏“木馬”程式，如:“HKEY-CURRENT-USER\Software\Microsoft\Windows\CurrentVersion\Run”、“HKEY-USERS\****\Software\Microsoft\Windows\CurrentVersion\Run”的目錄下都有可能，最好的辦法就是在“HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run”下找到“木馬該病毒也稱為“Code Red II(紅色代碼2)”病毒，與早先在西方英文系統下流行“紅色代碼”病毒有點相反，在國際上被稱為VirtualRoot(虛擬目錄)病毒。該蠕蟲病毒利用Microsoft已知的溢出漏洞，通過80埠來傳播到其他的Web頁伺服器上。受感染的機器可由黑客們通過Http Get的請求運行scripts/root.exe來獲得對受感染機器的完全控制權。

　　當感染一台伺服器成功了以後，如果受感染的機器是中文的系統後，該程式會休眠2天，別的機器休眠1天。當休眠的時間到了以後，該蠕蟲程式會使得機器重新啟動。該蠕蟲也會檢查機器的月份是否是10月或者年份是否是2002年，如果是，受感染的伺服器也會重新啟動。當Windows NT系統啟動時，NT系統會自動搜索C盤根目錄下的檔explorer.exe，受該網路蠕蟲程式感染的伺服器上的檔explorer.exe也就是該網路蠕蟲程式本身。該檔的大小是8192位元組，VirtualRoot網路蠕蟲程式就是通過該程式來執行的。同時，VirtualRoot網路蠕蟲程式還將cmd.exe的檔從Windows NT的system目錄拷貝到別的目錄，給黑客的入侵敞開了大門。它還會修改系統的註冊表專案，通過該註冊表專案的修改，該蠕蟲程式可以建立虛擬的目錄C或者D，病毒名由此而來。值得一提的是，該網路蠕蟲程式除了檔explorer.exe外，其餘的操作不是基於檔的，而是直接在記憶體中來進行感染、傳播的，這就給捕捉帶來了較大難度。

　　”程式的檔案名，再在整個註冊表中搜索即可。

　　我們先看看微軟是怎樣描述svchost.exe的。在微軟知識庫314056中對svchost.exe有如下描述:svchost.exe 是從動態連結程式庫 (DLL) 中運行的服務的通用主機進程名稱。

　　其實svchost.exe是Windows XP系統的一個核心進程。svchost.exe不單單只出現在Windows XP中，在使用NT內核的Windows系統中都會有svchost.exe的存在。一般在Windows 2000中svchost.exe進程的數目為2個，而在Windows XP中svchost.exe進程的數目就上升到了4個及4個以上。所以看到系統的進程列表中有幾個svchost.exe不用那麼擔心。