[求助]：WIN2000下的svchost.exe能删除吗？

jswams

在进程中，出现了几处svchost.exe进程，我怀疑其就是让系统变缓慢的罪魁祸首，试问高手，能删除该文件吗？

nxw

如果觉得是病毒可以看看这个
http://www.xdcad.net/forum/showt ... p;highlight=svchost

城市夜鱼

不一定是中病毒，要看具体情况的，请楼上回答问题的时候要负责啊[/COLOR]

这个进程的原理如下：
1. 多个服务共享一个Svchost.exe进程利与弊

windows 系统服务分为独立进程和共享进程两种，在windows NT时只有服务器管理器SCM（Services.exe）有多个共享服务，随着系统内置服务的增加，在windows 2000中ms又把很多服务做成共享方式，由svchost.exe启动。windows 2000一般有2个svchost进程，一个是RPCSS（Remote Procedure Call）服务进程，另外一个则是由很多服务共享的一个svchost.exe。而在windows XP中，则一般有4个以上的svchost.exe服务进程，windows 2003 server中则更多，可以看出把更多的系统内置服务以共享进程方式由svchost启动是ms的一个趋势。这样做在一定程度上减少了系统资源的消耗，不过也带来一定的不稳定因素，因为任何一个共享进程的服务因为错误退出进程就会导致整个进程中的所有服务都退出。另外就是有一点安全隐患，首先要介绍一下svchost.exe的实现机制。


2. Svchost原理

Svchost本身只是作为服务宿主，并不实现任何服务功能，需要Svchost启动的服务以动态链接库形式实现，在安装这些服务时，把服务的可执行程序指向svchost，启动这些服务时由svchost调用相应服务的动态链接库来启动服务。

那么svchost如何知道某一服务是由哪个动态链接库负责呢？这不是由服务的可执行程序路径中的参数部分提供的，而是服务在注册表中的参数设置的，注册表中服务下边有一个Parameters子键其中的ServiceDll表明该服务由哪个动态链接库负责。并且所有这些服务动态链接库都必须要导出一个ServiceMain()函数，用来处理服务任务。

例如rpcss（Remote Procedure Call）在注册表中的位置是 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RpcSs，它的参数子键Parameters里有这样一项：
\"ServiceDll\"=REG_EXPAND_SZ:\"%SystemRoot%\\system32\\rpcss.dll\"
当启动rpcss服务时，svchost就会调用rpcss.dll，并且执行其ServiceMain()函数执行具体服务。

既然这些服务是使用共享进程方式由svchost启动的，为什么系统中会有多个svchost进程呢？ms把这些服务分为几组，同组服务共享一个svchost进程，不同组服务使用多个svchost进程，组的区别是由服务的可执行程序后边的参数决定的。

例如rpcss在注册表中 HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\RpcSs 有这样一项：
\"ImagePath\"=REG_EXPAND_SZ:\"%SystemRoot%\\system32\\svchost -k rpcss\"
因此rpcss就属于rpcss组，这在服务管理控制台也可以看到。

svchost的所有组和组内的所有服务都在注册表的如下位置： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Svchost，例如windows 2000共有4组rpcss、netsvcs、wugroup、BITSgroup，其中最多的就是netsvcs=REG_MULTI_SZ:EventSystem.Ias.Iprip.Irmon.Netman.Nwsapagent.Rasauto.Rasman.Remoteaccess.SENS.Sharedaccess.Tapisrv.Ntmssvc.wzcsvc..

在启动一个svchost.exe负责的服务时，服务管理器如果遇到可执行程序内容ImagePath已经存在于服务管理器的映象库中，就不在启动第2个进程svchost，而是直接启动服务。这样就实现了多个服务共享一个svchost进程。

如果出现多个此进程，不一定是病毒，系统运行多个也是正常的，就是要楼主看看有没有其他的可疑进程也占用资源！[/COLOR]

zzyxhqplay

一定不是木马或病毒，但它占用系统资源，系统肯定要变慢：

F:\My Documents\上传文件\svchost.jpg

jswams

问题已经基本查清楚，按我的理解就是：前一阵子，由于“冲击波”病毒的破坏，在我的WINNT\SYSTEM32\WINS\下面多产生了一个SVCHOST.EXE文件，因为平时SVCHOST.EXE只有SYSTEM32\目录下面。但\WINS\这下面的文件可能未参与进程。我把它删除后不影响系统，后来我把在注册表下面的SVCHOST键删除，则系统就有许多服务不能开启，我只得又恢复了注册表，但其下的子键被恢复了正常设置，其服务也正常了。因此，可以初步认为是“冲击波”病毒才是导致系统多产生进程而缓慢的原因。感谢三楼楼主比较到位的指点。