我们先看看微软是怎样描述Svchost.exe在微软知识库314056中对Svchost.exe有如下描述:Svchost.exe 是从动态链接库 (DLL) 中运行服务通用主机进程名称 　　其实Svchost.exe是Windows XP系统个核心进程Svchost.exe不单单只出现在Windows XP中在使用NT内核Windows系统中都会有Svchost.exe存在般在Windows　2000中Svchost.exe进程数目为2个而在Windows XP中Svchost.exe进程数目就上升到了4个及4个以上所以看到系统进程列表中有几个Svchost.exe不用那么担心
Svchost.exe到底是做什么用呢？
　　首先我们要了解点那就是Windows系统中进程分为:独立进程和共享进程这两种由于Windows系统中服务越来越多为了节约有限系统资源微软把很多系统服务做成了共享模式
那Svchost.exe在这中间是担任怎样个角色呢？
　　Svchost.exe工作就是作为这些服务宿主即由Svchost.exe来启动这些服务Svchost.exe只是负责为这些服务提供启动条件其自身并不能实现任何服务功能也不能为用户提供任何服务Svchost.exe通过为这些系统服务动态链接库(DLL)方式来启动系统服务
那Svchost.exe是病毒这种说法是任何产生呢？
　　 Svchost.exe可以作为服务宿主来启动服务所以病毒、木马编写者也挖空心思要利用Svchost.exe这个特性来迷惑用户达到入侵、破坏计算机目 如何才能辨别哪些是正常Svchost.exe进程而哪些是病毒进程呢？ Svchost.exe键值是在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost”如图1所示图1中每个键值表示个独立Svchost.exe组
　　 微软还为我们提供了种察看系统正在运行在Svchost.exe列表中服务思路方法以Windows XP为例:在“运行”中输入:cmd然后在命令行模式中输入:tasklist /svc例:



如果使用是Windows 2000系统则把前面“tasklist /svc”命令替换为:“tlist -s”即可如果你怀疑计算机有可能被病毒感染Svchost.exe服务出现异常话通过搜索Svchost.exe文件就可以发现异常情况般只会找到个在:“C:\Windows\32”目录下Svchost.exe如果你在其他目录下发现Svchost.exe话那很可能就是中毒了
　　 还有种确认Svchost.exe是否中毒思路方法是在任务管理器中察看进程执行路径但是由于在Windows系统自带任务管理器不能察看进程路径所以要使用第 3方进程察看工具
　　上面简单介绍了Svchost.exe进程相关情况总而言的Svchost.exe是个系统核心进程并不是病毒进程但由于Svchost.exe进程特殊性所以病毒也会千方百计入侵Svchost.exe通过察看Svchost.exe进程执行路径可以确认是否中毒
注:希望广大朋友不要进行非法用途在这里解密木马捆绑是希望大家了解其原理

　　如今网络上病毒肆虐让电脑用户在应付病毒上花费了不少精力当你使用杀毒软件Software查杀病毒时是否遇到查出了病毒但是杀不掉情况原因何在?该如何处理呢?以下笔者对此略作介绍
◆系统还原文件
　　 _restore文件夹是Windows Me/XP系统特有系统还原文件夹隐藏在该文件夹中病毒是不能直接清除当然这些病毒也不能直接发挥作用要清除这些病毒可以关闭Windows系统“系统还原”功能清理系统还原点或者直接删除_restore文件夹内容
◆疑似电脑病毒
　　有时杀毒软件Software会出现提示:unknown.com.tsr.virus该提示中unknown是“不明”意思tsr是内存驻留意思本信息般提示是纯DOS环境下可执行文件表明杀毒软件Software在该文件中发现了可疑代码类似病毒但是没有确定是什么病毒
　　如果疑似病毒提示涉及Type-Win32代码则表示可疑32位代码意思是指Windows环境下可疑可执行代码对于疑似病毒可以直接删除该文件或者将这些“疑似”病毒文件发送给反病毒软件Software公司请求帮助
◆exe 文件感染病毒
　　以.exe为扩展名称文件是软件Software安装部分文件其中病毒不能直接清除只有在软件Software完全安装成功后方可清除这有点类似于在COPY文件时发现了病毒处理思路方法
◆在DOS下清除病毒
　　 对于在引导区发现病毒如POLYBOOT/WYX.b病毒请使用干净系统盘启动系统到DOS然后在DOS下杀毒即可清除如果可感染引导区病毒存在于文件中可以直接删除该文件
◆系统文件中引用病毒
杀毒时出现如下提示:
-----------------------------------------------------------------------------------------------
QUOTE:
　　C:\Windows\brasil.p worm.win32.opasoft.a病毒　已删除
　　C:\Windows\instit.bat worm.win32.opasoft.a病毒　已删除
　　C:\Windows\alevir.exe worm.win32.opasoft.a病毒　已删除
　　C:\Windows\marco.scr worm.win32.opasoft.a病毒　已删除
　　C:\Windows\SCRSVR.exe worm.win32.opasoft.a病毒　已删除
------------------------------------------------------------------------------------------------
　　杀毒后重启动电脑时出现很多找不到文件信息而且再次杀毒时提示依旧病毒还是存在这些顽固病毒引用应该是在win.ini文件中请单击“开始→运行”键入“sysedit”按下回车键编辑win.ini删除对病毒引用行
◆病毒最新变种
杀毒软件Software查出是其病毒库中不存在新型病毒请将杀毒软件Software病毒库升级到最新然后再查杀
--------------------
款好防火墙并不能发现所有病毒；个好杀毒软件Software并不能歼灭所有带毒！遇到这些情况我们该做何处理呢？很简单——手工杀毒而要论到手工杀毒就不能不提到系统进程妙用了
进程、病毒？
　　 书上说:“进程为应用运行例子是应用次动态执行”看似高深我们可以简单地理解为:它是操作系统当前运行执行在系统当前运行执行里包括:系统管理计算机个体和完成各种操作所必需；用户开启、执行额外当然也包括用户不知道而自动运行非法(它们就有可能是病毒)
　　危害较大可执行病毒同样以“进程”形式出现在系统内部(些病毒可能并不被进程列表显示如“宏病毒”)那么及时查看并准确杀掉非法进程对于“手工杀毒有起着关键性作用
操作系统如何打开进程列表？
　　要通过进程列表查看系统是否染毒必须打开当前执行进程列表Microsoft每种系统都有相应打开思路方法但能够显示能力却因(系统)区别有所差异:
1.Windows 98 /Me系统
　　打开系统进程方式很简单快捷键“Ctrl+Alt+Delete”(如图1)这个窗口大家应该比较熟悉使用Windows系统用户都知道用这个思路方法来关闭不过它同样用于显示系统进程只是Windows 98系统较初级对进程显示局限于名称且里面所显示还有打开文件及目录名查看时易混淆Windows Me进程打开方式和Windows 98相同
　　Windows 9x系统打开进程列表混乱且不完全显然不便于查看系统具体进程状况所以建议使用些工具来为Windows 9x系统显示进程如“Windows优化大师”在“优化大师”“系统安全优化”项内打开“进程管理”在图2所示“Windows 进程管理”窗口内可以详细查看当前计算机所运行所有进程及具体所在位置这样更方便完成后面要介绍如何利用进程进行查毒、杀毒
2.Windows 2000/ XP/2003系统
　　Windows 2000、Windows XP、Windows 2003打开进程窗口方式和Windows 9x系统相同只是 3键后打开是“Windows 任务管理器”窗口需要选择里面“进程”项Windows 2000系统只显示具体进程全名占用内存量；Windows XP、Windows 2003系统相比Windows 2000会显示该进程归属于那个用户下如操作系统所必须基础会在后面“用户名”内显示为“SYSTEM”由用户另外开启则用户名为当前系统登录用户名
通过进程发现、处理病毒
　　在介绍具体查毒和杀毒前笔者先回答开篇提出两个问题为什么杀毒软件Software并不能全面查找和杀掉病毒？首先病毒防火墙是通过对进行反汇编然后和自己病毒库进行对比来查找病毒如果病毒较新而杀毒软件Software又未能及时升级便不能识别病毒其次杀毒软件Software在发现病毒后如果是独立可执行病毒会选择直接删除处理方式而病毒如果被当作进程执行了杀毒软件Software就无能为力了它没有功能和权限先停止掉系统这些进程被当作进程执行是不能被删除(这也是大家在删除个时提示该正在被使用不能删除原因)所以在使用杀毒软件Software杀毒时才会有杀毒完成后又出现病毒提示原因
　　 回到原来话题上！通过进程如何发现和杀掉病毒呢？由前面知识介绍可知Windows 9X和Windows 2000系统只能显示进程名称这对判断该进程是否是病毒还不够如果要准确断定病毒最好使用前面介绍“Windows优化大师”来查看进程源路径如果是“C:\windows\system”下些未知“EXE”那便极有病毒可能性了Windows XP和Windows 2003系统进程后会有“用户名”显示病毒是不可能获得“SYSTEM”权限所以应注意“用户名”是当前登录用户进程旦发现是病毒可以立即“杀掉”这里
介绍两个窍门技巧:
1．发现可疑进程后利用Windows查找功能查找该进程所在具体路径通过路径可以知道该进程是否合法譬如由路径“C:\Program Files\3721\assistse.exe”知道该是3721进程是合法 2．在对进程是否病毒拿不定主意时可以复制该进程全名如:“xxx.exe”到googl.com或baidu.com这样全球搜查引擎上进行搜查如果是病毒会有相关介绍网页
　　 确定了该进程是病毒首先应该杀掉该进程对于Windows 9x系统选中该进程后点击下面“结束任务”按钮Windows 2000、Windows XP、Windows 2003系统则在进程上单击右键在弹出菜单上选择“结束任务”“杀掉?