教你如何辨別真偽SVCHOST.EXE,並關掉無效的服務
++++++++++++++++++++++++++++++++++++++++++++++++++++++++
何謂 SVCHOST.EXE?
SVCHOST.EXE 其實算是一個從動態連結程式庫 (DLL, Dynamic Link Library)執行服務的一個主處理程式名稱。電腦在啟動的時候,會先去登錄查看此電腦開啟了什麼服務,建立一個清單後,統一由 svchost 進行啟動。
為什麼要 Windows 要這樣作呢?因為一方面系統在統一控制上十分方便,第二,系統一但出錯,它就能依據 SVCHOST.EXE 啟動的方式和位置來進行偵錯。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
那要如何觀看 SVCHOST.EXE 為我的系統所載入的服務呢?
其實 SVCHOST.EXE 只有一個,但是依照系統載入它的參數不同,會產生不同的執行個體 (簡單的來說,就是很多分身)。
你可以在" 開始 "; 運行 內輸入regedit 尋找有關於電腦上服務類型的機碼,如下:
HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Svchost
在這機碼下,每一個值代表一個 "組",而你又可以看到每個值的類型是 REG_MULTI_SZ,在每個 "組" 裏就是這個 "組" 的每一個 "組員",也就是值的內容,每個服務以空白分開。
至於每個組員又代表什麼?你可以到以下機碼來查詢:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/你要查詢的服務名稱
在左邊視窗就是服務名,右邊則是這個服務相關的內容。
服務項目分為大體依照其制高程度分為 System, LocalService, NetworkService這三類。你可以按下 CTRL+ALT+DEL 開啟進程管理員來觀看:
-------------------------------------------------------------
要如何分辨 SVCHOST.EXE 的真偽?
那到底那個 SVCHOST.EXE 是真那個是假?還有一個觀察的方法,就是檢查它的組員是誰。
要怎麼檢查呢?首先在 開始 --> 運行 內,輸入 CMD 進入命令提示字元,在裏面輸入:
Win2000 用戶
TLIST /SVC
Win XP 用戶
TASKLIST /SVC
會顯示你所有的服務進程,你可以觀察在你電腦上執行中的 SVCHOST.EXE 到底是為了什麼而載入的
如圖所示,你可以看到 SVCHOST.EXE 在 Services 處,有顯示它載入的服務,各位有沒有看到最下面有個 SVCHOST.EXE 的 Service 竟然是 N/A (None Available, 不存在)
那個是我亂改的,一般的 SVCHOST.EXE 病毒因為在載入時不會牽動服務,所以是不會載入服務的,這是最基本辨別 SVCHOST.EXE 真偽的方法。
---------------------------------------------------------
完了,中招了!請問我要怎麼做呢?
那要如何刪除假的 SVCHOST.EXE 呢?XP 和 2000 用戶相同,輸入以下指令
WinXP & Win2000 用戶
TSKILL 假SVCHOST.EXE的PID(執行編號)
如圖所示,我們看到假的 SVCHOST.EXE 它的 PID 是 1384,你只要輸入 TSKILL 1384 就可以殺掉這個假進程了。
接下來你所要做的,就是利用掃毒軟體或是用 Norton 的線上掃毒功能\
--------------------------------------------------------------
SVCHOST.EXE 載入服務分類清單
另外整理出一份 SVCHOST.EXE 載入的清單,是 XP 的,Win2000 可能會有所不同,請見諒
rpcss、netsvcs 和 imgsvc 是屬於 System 的子類型,在進程管理器內啟動的使用者會顯示 System
-k LocalService
Alerter
Remote Registry
SSDP Discovery Service
TCP/IP NetBIOS Helper
Universal Plug and Play Device Host
WebClient
-k rpcss
Remote Procedure Call (RPC)
-k NetworkService
DNS Client
-k imgsvc
Windows Image Acquisition (WIA)
-k netsvcs
Application Management
Automatic Updates
Background Intelligent Transfer Services
COM+ Event System
Computer Browser
Cryptographic Services
DHCP Client
Distributed Link Tracking Client
Error Reporting Services
Fast User Switching Compatibility
Help and Support
Human Interface Device Access
Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
Logical Disk Manager
Messenger
Network Connections
Network Location Awareness (NLA)
Portable Media Serial Number Service
Remote Access Auto Connection Manager
Remote Access Connection Manager
Removable Storage
Routing and Remote Access
Secondary Logon
Server
Shell Hardware Detection
System Event Notification
System Restore Service
Task Scheduler
Telephony
Terminal Services
Themes
Upload Manager
Windows Audio
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensions
Windows Time
Wireless Zero Configuration
Workstation
++++++++++++++++++++++++++++++++++++++++++++++++++++++++
何謂 SVCHOST.EXE?
SVCHOST.EXE 其實算是一個從動態連結程式庫 (DLL, Dynamic Link Library)執行服務的一個主處理程式名稱。電腦在啟動的時候,會先去登錄查看此電腦開啟了什麼服務,建立一個清單後,統一由 svchost 進行啟動。
為什麼要 Windows 要這樣作呢?因為一方面系統在統一控制上十分方便,第二,系統一但出錯,它就能依據 SVCHOST.EXE 啟動的方式和位置來進行偵錯。
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++
那要如何觀看 SVCHOST.EXE 為我的系統所載入的服務呢?
其實 SVCHOST.EXE 只有一個,但是依照系統載入它的參數不同,會產生不同的執行個體 (簡單的來說,就是很多分身)。
你可以在" 開始 "; 運行 內輸入regedit 尋找有關於電腦上服務類型的機碼,如下:
HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Svchost
在這機碼下,每一個值代表一個 "組",而你又可以看到每個值的類型是 REG_MULTI_SZ,在每個 "組" 裏就是這個 "組" 的每一個 "組員",也就是值的內容,每個服務以空白分開。
至於每個組員又代表什麼?你可以到以下機碼來查詢:
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/你要查詢的服務名稱
在左邊視窗就是服務名,右邊則是這個服務相關的內容。
服務項目分為大體依照其制高程度分為 System, LocalService, NetworkService這三類。你可以按下 CTRL+ALT+DEL 開啟進程管理員來觀看:
-------------------------------------------------------------
要如何分辨 SVCHOST.EXE 的真偽?
那到底那個 SVCHOST.EXE 是真那個是假?還有一個觀察的方法,就是檢查它的組員是誰。
要怎麼檢查呢?首先在 開始 --> 運行 內,輸入 CMD 進入命令提示字元,在裏面輸入:
Win2000 用戶
TLIST /SVC
Win XP 用戶
TASKLIST /SVC
會顯示你所有的服務進程,你可以觀察在你電腦上執行中的 SVCHOST.EXE 到底是為了什麼而載入的
如圖所示,你可以看到 SVCHOST.EXE 在 Services 處,有顯示它載入的服務,各位有沒有看到最下面有個 SVCHOST.EXE 的 Service 竟然是 N/A (None Available, 不存在)
那個是我亂改的,一般的 SVCHOST.EXE 病毒因為在載入時不會牽動服務,所以是不會載入服務的,這是最基本辨別 SVCHOST.EXE 真偽的方法。
---------------------------------------------------------
完了,中招了!請問我要怎麼做呢?
那要如何刪除假的 SVCHOST.EXE 呢?XP 和 2000 用戶相同,輸入以下指令
WinXP & Win2000 用戶
TSKILL 假SVCHOST.EXE的PID(執行編號)
如圖所示,我們看到假的 SVCHOST.EXE 它的 PID 是 1384,你只要輸入 TSKILL 1384 就可以殺掉這個假進程了。
接下來你所要做的,就是利用掃毒軟體或是用 Norton 的線上掃毒功能\
--------------------------------------------------------------
SVCHOST.EXE 載入服務分類清單
另外整理出一份 SVCHOST.EXE 載入的清單,是 XP 的,Win2000 可能會有所不同,請見諒
rpcss、netsvcs 和 imgsvc 是屬於 System 的子類型,在進程管理器內啟動的使用者會顯示 System
-k LocalService
Alerter
Remote Registry
SSDP Discovery Service
TCP/IP NetBIOS Helper
Universal Plug and Play Device Host
WebClient
-k rpcss
Remote Procedure Call (RPC)
-k NetworkService
DNS Client
-k imgsvc
Windows Image Acquisition (WIA)
-k netsvcs
Application Management
Automatic Updates
Background Intelligent Transfer Services
COM+ Event System
Computer Browser
Cryptographic Services
DHCP Client
Distributed Link Tracking Client
Error Reporting Services
Fast User Switching Compatibility
Help and Support
Human Interface Device Access
Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
Logical Disk Manager
Messenger
Network Connections
Network Location Awareness (NLA)
Portable Media Serial Number Service
Remote Access Auto Connection Manager
Remote Access Connection Manager
Removable Storage
Routing and Remote Access
Secondary Logon
Server
Shell Hardware Detection
System Event Notification
System Restore Service
Task Scheduler
Telephony
Terminal Services
Themes
Upload Manager
Windows Audio
Windows Management Instrumentation
Windows Management Instrumentation Driver Extensions
Windows Time
Wireless Zero Configuration
Workstation