看我出招之:svchost.exe文件删不得

Svchost.exe 文件删除不得

做者：田逸 ([email]sery@163.com[/email])

 

  已独家受权《网管员世界》发表，请勿转载！

前几天，我发现本身的xp运行比较慢，察看“windows任务管理器”cpu利用率接近100%，其中一个svchost.exe站了大概90%多的cpu资源，把这个占用资源厉害的svchost.exe进程结束掉，系统立刻就变为正常。但是过不了多久，又会出现一个svchost.exe进程，使系统慢下来，想到之前某些病毒经常使用这个进程来毒害系统，一怒之下，进系统目录把svchost.exe这个文件重名名为svchost.ex，再把其余的几个svchost.exe进程全杀了。系统一直用到下午下班也没有什么异常，因急着下班，把笔记本电脑合上盖子（没关机）就装进包里回家了。已独家受权《网管员世界》发表，请勿转载！

 

第2天上班，我把计算机关闭了，而后重启系统，桌面出现后，发现邮件收不了，再用浏览器上网，也不灵。耶！竟然出问题了。先看网络设置正确不，运行 ipconfig/all,晕，没有ip地址，接着右击“网上邻居”，天啦,竟然是空的,之前那几个本地链接的图标不出来了,无法用鼠标设置ip了;这里不让设置,难不倒我,咱在注册表设置,用regedit进注册表,搜索”tcpip”把相关的网络参数都一股脑输进去,而后重启系统,仍是没有ip地址.看来问题有点严重,得好好检查一下了.先检查一下系统服务,结果发现不少都应该启动的服务没有自动起来,既然不能自动起来,好,我来手动启,跟我做对,启不来,再换一个,仍是启不来,试遍了也不行,放弃.

 

不能上网大不了不上,把<不彻底恋人>拿出来看,插光盘到光驱,怎么直接打开光盘浏览文件而不启动默认的播放程序呢?弹出光盘,再摁进去,仍是不自动播放.手动启播放器,终于播放了,怎么半天没声音呢?你不响是不?我调不行么,嘿,竟然不见那个喇叭了,进”控制面板”,声音和音频设备属性没发现设备;再看”设备管理器里”驱动程序,驱动还在呀,真是活见鬼了.

 

启用系统还原,失败,再来,屡次失败. 进安全模式,执行系统还原,仍是失败.上网不行,看片也不行,急噪呀!

 

再检查系统,看中毒没有.手动用symantec antivirus扫描,闪一下就寂寥不见了(自动消失),看进程里有一个dosan的进程,疑是不法程序,搜一下,没搜索界面出来,不让搜.只好用鼠标点击”个人电脑”图标一级级系统目录,经过”按修改时间”排列图标企图找出最近修改的文件,也没看出哪一个文件异常.看来中招的可能性很小.再想一想,我是否是改了什么东西呢?对了,想起来了,那个svchost.exe不是被我更名了么!恩,把它改回来试试.一看,它竟然还在,幸亏没delete它.重启系统,开机声音出来了,再看”本地链接”等图标也出来了,检查系统服务,都给我乖乖的自动起来了.到这里恢复正常.再不正常的话,要准备用光盘格式话从新安装系统了.

 

那svchost.exe是干什么的呢?svchost是windows的共享进程,MS为了是windows节省资源,把不少服务作成共享方式,用svchost.exe这个进程来引导这些共享的服务.这个文件被我挪走以后,靠它来启动的共享服务就没有启动方式了—由于这些共享服务的存在形式是动态连接库文件,它自己不能执行(举例:svchost.exe相似药罐,以共享方式启动的系统进程相似中药,如今药罐不在了,天然就无法熬药).这就是故障发生的根本缘由.拿lunix/unix来比较,这种方式与xinetd/inetd启动某些守护进程却是很类似.

 

有些病毒为了隐藏本身,也打起svchost.exe的主意,之前的病毒程序通常以可执行的方式存在,依靠注册表、启动项等方式随开机自动运行，后来，逐步演变成以动态连接库的方式，而后借svchost.exe来启动。其实有害的是非法的dll动态连接库文件，我错怪了svchost.exe,才引发这么大的麻烦。

 

                                                2007-3-29

                                                于 白石桥