中国DOS联盟

如图:请高手解释一下是什么原因,不会是病毒吧?

好像没问题！
在微软知识库314056中对Svchost.exe有如下描述：Svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。

　　其实Svchost.exe是Windows XP系统的一个核心进程。Svchost.exe不单单只出现在Windows XP中，在使用NT内核的Windows系统中都会有Svchost.exe的存在。一般在Windows 2000中Svchost.exe进程的数目为2个，而在Windows XP中Svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个Svchost.exe不用那么担心。

　　Svchost.exe到底是做什么用的呢？

　　首先我们要了解一点那就是Windows系统的中的进程分为：独立进程和共享进程这两种。由于Windows系统中的服务越来越多，为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那Svchost.exe在这中间是担任怎样一个角色呢？

　　Svchost.exe的工作就是作为这些服务的宿主，即由Svchost.exe来启动这些服务。Svchost.exe只是负责为这些服务提供启动的条件，其自身并不能实现任何服务的功能，也不能为用户提供任何服务。Svchost.exe通过为这些系统服务调用动态链接库（DLL）的方式来启动系统服务。

如果没有运行很多程序，而Svchost.exe进程却很多，而且占用CPU特别多，就值得怀疑了！

re:afnspy

感谢!已给你加+6分.

学习了!

XP系统，运行cmd，输入wmic，然后输入process，得到各个svchost.exe的参数，路径等等信息，通过这些信息判断是否为系统文件就知道了。同样的，这个方法也可以用来判断其他进程，不过无法判断是否插入dll。

输入
netstat -nba
（不是篮球NBA哦）
可以看看是否svchost打开了陌生端口，如果有陌生端口很可能是dll木马！

Originally posted by electronixtar at 2006-8-1 15:05:
输入
netstat -nba
（不是篮球NBA哦）
可以看看是否svchost打开了陌生端口，如果有陌生端口很可能是dll木马！

不陌生的端口也可能被非法程序利用，更详细的内容应该运行:

netstat  /a /b /n /o /v

由于它的参数格式比较宽松，可以简写为:

netstat /abnov

或者

netstat -abnov

更多的用法可以参考netstat /?或者 帮助与支持
不过用netstat大多数时候并不能看出什么结果，所以更多的时候是去判断它所调用的dll:

tasklist /m /fi "imagename eq svchost.exe"

配合上wmic来判断schost.exe或者该进程中插入的dll是否可疑，刚开始的时候可能会觉得很麻烦，不过如果如果对系统有一定的了解的话应该会轻松不少。

学习ING

判断该进程是否为合法进程, 最主要就是查看该进程的程序路径了, 如果svcchost.exe存在于%windir%\system32目录下就完全正常, 若发现在其他目录, 那么很可能是木马病毒.

建议用冰刃等工具查一下进程, 不但可以看到进程的路径, 还可以查找是否有线程插入. 木马病毒伪装成系统进程名很普遍, 一定要小心...

学习了
谢谢分享

tasklist /svc

可以看服务的名字

这个要看路径的，楼主还是查一下这些进程的路径吧