scvhost.exe

進程名稱： W32/Agobot-S病毒

屬於：W32/Agobot-S病毒

使用網路： 是

硬體相關： 否

常見錯誤： 未知

記憶體使用： 未知

安全等級 (0-5): 4

間諜軟體:否

廣告軟體:是

病毒木馬:是

手動刪除方法:

1:在任務管里器里將scvhost.exe結束進程

2:在C:\WINDOWS下和C:\WINDOWS\system32下找到與scvhost.exe的中毒時間相同的或相進的檔案刪除(注一定要取消系統檔案隱藏)

3:在註冊表中查找scvhost.exe數值刪除

4:重新啟動電腦 在看任務管里器里還有沒有scvhost.exe,沒有就刪除成功

一、svchost.exe

由於系統服務是以動態程式庫(DLL)形式實現的，它們把可執行程式指向scvhost，由cvhost調用相應服務的動態程式庫來啟動服務。病毒常以此進程檔案偽裝的有svch0st.exe、schvost.exe、scvhost.exe等，一個字元大小寫的變化，即可以生存多種形態。

系統調用查看：這裡可以依次打開“控制臺”→“管理工具”→服務，雙擊其中“ClipBook”服務，在其屬性面板中可以發現對應的執行檔路徑為 “C:WINDOWSsystem32clipsrv.exe”。再雙擊“Alerter”服務，可以發現其執行檔路徑為“C: WINDOWSsystem32svchost.exe -k LocalService”，而“Server”服務的執行檔路徑為“C:WINDOWSsystem32svchost.exe -k netsvcs”。

當svchost.exe的執行檔路徑位於C:WINDOWSsystem32目錄外，那么就可以判定是病毒偽裝。

系統進程線數：Windows2000系統中一般存在2個svchost.exe進程，一個是RPCSS(RemoteProcedureCall)服務進程，另外一個則是由很多服務共享的一個svchost.exe；WindowsXP中，則一般有4到五個svchost.exe服務進程。如果 svchost.exe進程的數量多於5個，此時用戶就要小心了，很可能是病毒假冒的。