DLLHOSTV.EXE|SVCHOST.EXE不一定是病毒
IT商界
笔者的朋友这段时间总是抱怨机子不稳定,很多功能出现异常。原来自从他遭遇“冲击波”变种病毒(W32.Welchia.Worm)后,按照一些网站上介绍的方法进行手工查杀,因为这种病毒会在系统内生成DLLHOST.EXE、SVCHOST.EXE进程,所以这位朋友每次启动机器后第一件事就是到“Windows 任务管理器”里关闭DLLHOST.EXE和SVCHOST.EXE进程。
一、分析
其实,正常的基于NT内核的Windows系统内都会产生DLLHOST.EXE和SVCHOST.EXE这两个进程,它们存在于“系统盘符\WINNT\system32\”或者“系统盘符\WINDOWS\system32\”目录下,是Windows正常的系统文件,在Windows系统中起着非常重要的作用。
DLLHOST.EXE进程是ASP(动态服务器页面)、COM(组件对象模型)和其他ISAPI(Internet服务器应用程序接口)扩展运行的基础,如果没有该进程的支持,Windows系统的很多功能都无法实现。
SVCHOST.EXE进程可以从动态链接库中调用系统服务,以Win 2000的系统事件通告(System Event Notification)服务为例,该服务就是SVCHOST.EXE进程调用系统事件通告动态链接库文件实现的。使用“Tasklist /svc”命令就能发现系统中存在着多个SVCHOST.EXE进程。如果没有SVCHOST.EXE进程存在,很多系统服务就无立足之地。
二、解决
我们怎么判断存在于系统中的DLLHOST.EXE和SVCHOST.EXE进程是不是病毒呢?实际上只要看看进程对应的执行文件的路径就可以轻松判断。不过在“Windows任务管理器”中是无法查看进程路径的,建议大家使用第三方软件,如TaskInfo或者Windows优化大师等可以查看进程路径的软件。如果DLLHOST.EXE、SVCHOST.EXE进程的执行文件存在于“\system32\”目录下则它们不是病毒;如果存在于“\system32\wins\”目录下,则说明你的机器中毒了,要立即采取措施。