scvhost.exe

進程名稱： W32/Agobot-S病毒

屬於：W32/Agobot-S病毒

使用網絡： 是

硬件相關： 否

常見錯誤： 未知

內存使用： 未知

安全等級 (0-5): 4

間諜軟件:否

廣告軟件:是

病毒木馬:是

手動刪除方法:

1:在任務管裏器裏將scvhost.exe結束進程

2:在C:\WINDOWS下和C:\WINDOWS\system32下找到與scvhost.exe的中毒時間相同的或相進的文件刪除(注一定要取消系統文件隱藏)

3:在註冊表中查找scvhost.exe數值刪除

4:重新啓動電腦 在看任務管理器裏還有沒有scvhost.exe,沒有就刪除成功

一、svchost.exe

由於系統服務是以動態鏈接庫(DLL)形式實現的，它們把可執行程序指向scvhost，由cvhost調用相應服務的動態鏈接庫來啓動服務。病毒常以此進程文件偽裝的有svch0st.exe、schvost.exe、scvhost.exe等，一個字符大小寫的變化，即可以生存多種形態。

系統調用查看：這裏可以依次打開“控制面板”→“管理工具”→服務，雙擊其中“ClipBook”服務，在其屬性面板中可以發現對應的可執行文件路徑為 “C:WINDOWSsystem32clipsrv.exe”。再雙擊“Alerter”服務，可以發現其可執行文件路徑為“C: WINDOWSsystem32svchost.exe -k LocalService”，而“Server”服務的可執行文件路徑為“C:WINDOWSsystem32svchost.exe -k netsvcs”。

當svchost.exe的可執行文件路徑位於C:WINDOWSsystem32目錄外，那麼就可以判定是病毒偽裝。

系統進程線數：Windows2000系統中一般存在2個svchost.exe進程，一個是RPCSS(RemoteProcedureCall)服務進程，另外一個則是由很多服務共享的一個svchost.exe；WindowsXP中，則一般有4到五個svchost.exe服務進程。如果 svchost.exe進程的數量多於5個，此時用户就要小心了，很可能是病毒假冒的。