看我出招之:svchost.exe文件刪不得

Svchost.exe 文件刪除不得

做者：田逸 ([email]sery@163.com[/email])

 

  已獨家受權《網管員世界》發表，請勿轉載！

前幾天，我發現本身的xp運行比較慢，察看「windows任務管理器」cpu利用率接近100%，其中一個svchost.exe站了大概90%多的cpu資源，把這個佔用資源厲害的svchost.exe進程結束掉，系統立刻就變爲正常。但是過不了多久，又會出現一個svchost.exe進程，使系統慢下來，想到之前某些病毒經常使用這個進程來毒害系統，一怒之下，進系統目錄把svchost.exe這個文件重名名爲svchost.ex，再把其餘的幾個svchost.exe進程全殺了。系統一直用到下午下班也沒有什麼異常，因急着下班，把筆記本電腦合上蓋子（沒關機）就裝進包裏回家了。已獨家受權《網管員世界》發表，請勿轉載！

 

第2天上班，我把計算機關閉了，而後重啓系統，桌面出現後，發現郵件收不了，再用瀏覽器上網，也不靈。耶！竟然出問題了。先看網絡設置正確不，運行 ipconfig/all,暈，沒有ip地址，接着右擊「網上鄰居」，天啦,竟然是空的,之前那幾個本地鏈接的圖標不出來了,無法用鼠標設置ip了;這裏不讓設置,難不倒我,咱在註冊表設置,用regedit進註冊表,搜索」tcpip」把相關的網絡參數都一股腦輸進去,而後重啓系統,仍是沒有ip地址.看來問題有點嚴重,得好好檢查一下了.先檢查一下系統服務,結果發現不少都應該啓動的服務沒有自動起來,既然不能自動起來,好,我來手動啓,跟我做對,啓不來,再換一個,仍是啓不來,試遍了也不行,放棄.

 

不能上網大不了不上,把<不徹底戀人>拿出來看,插光盤到光驅,怎麼直接打開光盤瀏覽文件而不啓動默認的播放程序呢?彈出光盤,再摁進去,仍是不自動播放.手動啓播放器,終於播放了,怎麼半天沒聲音呢?你不響是不?我調不行麼,嘿,竟然不見那個喇叭了,進」控制面板」,聲音和音頻設備屬性沒發現設備;再看」設備管理器裏」驅動程序,驅動還在呀,真是活見鬼了.

 

啓用系統還原,失敗,再來,屢次失敗. 進安全模式,執行系統還原,仍是失敗.上網不行,看片也不行,急噪呀!

 

再檢查系統,看中毒沒有.手動用symantec antivirus掃描,閃一下就寂寥不見了(自動消失),看進程裏有一個dosan的進程,疑是不法程序,搜一下,沒搜索界面出來,不讓搜.只好用鼠標點擊」個人電腦」圖標一級級系統目錄,經過」按修改時間」排列圖標企圖找出最近修改的文件,也沒看出哪一個文件異常.看來中招的可能性很小.再想一想,我是否是改了什麼東西呢?對了,想起來了,那個svchost.exe不是被我更名了麼!恩,把它改回來試試.一看,它竟然還在,幸虧沒delete它.重啓系統,開機聲音出來了,再看」本地鏈接」等圖標也出來了,檢查系統服務,都給我乖乖的自動起來了.到這裏恢復正常.再不正常的話,要準備用光盤格式話從新安裝系統了.

 

那svchost.exe是幹什麼的呢?svchost是windows的共享進程,MS爲了是windows節省資源,把不少服務作成共享方式,用svchost.exe這個進程來引導這些共享的服務.這個文件被我挪走以後,靠它來啓動的共享服務就沒有啓動方式了—由於這些共享服務的存在形式是動態連接庫文件,它自己不能執行(舉例:svchost.exe相似藥罐,以共享方式啓動的系統進程相似中藥,如今藥罐不在了,天然就無法熬藥).這就是故障發生的根本緣由.拿lunix/unix來比較,這種方式與xinetd/inetd啓動某些守護進程卻是很類似.

 

有些病毒爲了隱藏本身,也打起svchost.exe的主意,之前的病毒程序通常以可執行的方式存在,依靠註冊表、啓動項等方式隨開機自動運行，後來，逐步演變成以動態連接庫的方式，而後借svchost.exe來啓動。其實有害的是非法的dll動態連接庫文件，我錯怪了svchost.exe,才引發這麼大的麻煩。

 

                                                2007-3-29

                                                於 白石橋