知已知彼。Svchost.exe的键值是在HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsNTCurrentVersionSvchost,每个键值表示一个独立的Svchost.exe组。所以可以根据这个位置来判断是否中毒:
同样的,正常的Svchost.exe程序在:C:WindowsSystem32目录下的,如果你在其他目录下发现Svchost.exe程序的话,那很可能就是中毒了。如果你怀疑计算机有可能被病毒感染,Svchost.exe的服务出现异常的话通过搜索Svchost.exe文件就可以发现异常情况。
微软还为我们提供了一种察看系统正在运行在Svchost.exe列表中的服务的方法。以Windows XP为例:在运行中输入:cmd,然后在命令行模式中输入:tasklist /svc。系统列出服务列表。如果使用的是Windows 2000系统则把前面的tasklist /svc命令替换为:tlist -s即可,查出来后用taskkill杀掉试试:
用tasklist命令查看的不够详细,你还可以用第三方进展查看软件,或微软内部提供的SysinternalsSuite包中的进procexp.exe进程查看程序来观察判断,对于不确定的进程建议用Kill Process Tree杀掉: