SVCHOSI.EXE 到底是什么进程

优柔寡断人1

SVCHOSI.EXE 到底是什么进程

来自：MACD论坛(bbs.shudaoyoufang.com) 作者：优柔寡断人1 浏览：3848 回复：9

它的位置
C:\Program Files\Internet Explorer\SVCHOSI.EXE

请问各位大侠，这个到底是什么玩意？！

感觉应该是个病毒或木马，但是————
用卡巴、木马克星、木马杀客、Ad-aware 6、EWIDO3.5杀了都没有用。


求高人指点，如何处理。

xtjxj

确认是SVCHOSI.EXE？还是SVCHOST.EXE？

优柔寡断人1

我把情况再说清楚一点，我的系统是winxp  sp2，任务管理器显示有四个svchost进程，均位于c:\windows\system32文件夹里，应该不会有什么问题，关键是以下几个地方让我不明白：
1.这个SVCHOSI.EXE 进程是大写的，而正常的svchost进程是小写的；
2.他位于C:\Program Files\Internet Explorer文件夹内，而不是正常的c:\windows\system32文件夹里；
3.按照常理推断，这个进程应该是病毒或木马之类的，但是用了多种杀毒、杀木马工具均无反应。
4.根据卡巴反黑客显示，该文件不定期要求访问网络。
求高人指点！！！

另2006年5月25日16时26分17秒

SVCHOSI.EXE 进程含有45个模块

C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\USER32.DLL
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\ADVAPI32.DLL
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\OLEAUT32.DLL
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\MPR.DLL
C:\WINDOWS\system32\VERSION.DLL
C:\WINDOWS\system32\COMCTL32.DLL
C:\WINDOWS\system32\SHELL32.DLL
C:\WINDOWS\system32\SHLWAPI.dll
C:\WINDOWS\system32\WININET.DLL
C:\WINDOWS\system32\CRYPT32.dll
C:\WINDOWS\system32\MSASN1.dll
C:\WINDOWS\system32\WINMM.DLL
C:\WINDOWS\system32\WSOCK32.DLL
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\WS2HELP.dll
C:\WINDOWS\system32\AVICAP32.DLL
C:\WINDOWS\system32\MSVFW32.dll
C:\WINDOWS\system32\URLMON.DLL
C:\WINDOWS\system32\IMM32.DLL
C:\WINDOWS\system32\LPK.DLL
C:\WINDOWS\system32\USP10.dll
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
C:\WINDOWS\system32\uxtheme.dll
C:\WINDOWS\system32\msctfime.ime
C:\WINDOWS\system32\Secur32.dll
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\DNSAPI.dll
C:\WINDOWS\system32\iphlpapi.dll
C:\WINDOWS\System32\winrnr.dll
C:\WINDOWS\system32\WLDAP32.dll
C:\WINDOWS\system32\hnetcfg.dll
C:\WINDOWS\System32\wshtcpip.dll
C:\WINDOWS\system32\rasadhlp.dll
C:\WINDOWS\system32\RASAPI32.DLL
C:\WINDOWS\system32\rasman.dll
C:\WINDOWS\system32\NETAPI32.dll
C:\WINDOWS\system32\TAPI32.dll
C:\WINDOWS\system32\rtutils.dll
C:\WINDOWS\system32\msv1_0.dll

[ 本帖最后由 优柔寡断人1 于 2006-5-25 16:31 编辑 ]

优柔寡断人1

michaelzhang312

我也想知道

win5000k

是不是被流氓软件感衍了？我也吃了这亏，老杀不尽，像僵尸一样留在内存里。可恨！

huangyun1999

原帖由 xtjxj 于 2006-5-25 12:20 发表
确认是SVCHOSI.EXE？还是SVCHOST.EXE？

我们先看看微软是怎样描述svchost.exe的。在微软知识库314056中对svchost.exe有如下描述:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。

其实svchost.exe是Windows XP系统的一个核心进程。svchost.exe不单单只出现在Windows XP中，在使用NT内核的Windows系统中都会有svchost.exe的存在。一般在Windows 2000中svchost.exe进程的数目为2个，而在Windows XP中svchost.exe进程的数目就上升到了4个及4个以上。所以看到系统的进程列表中有几个svchost.exe不用那幺担心。

svchost.exe到底是做什幺用的呢?

首先我们要了解一点那就是Windows系统的中的进程分为:独立进程和共享进程这两种。由于Windows系统中的服务越来越多，为了节约有限的系统资源微软把很多的系统服务做成了共享模式。那svchost.exe在这中间是担任怎样一个角色呢?

svchost.exe的工作就是作为这些服务的宿主，即由svchost.exe来启动这些服务。svchost.exe只是负责为这些服务提供启动的条件，其自身并不能实现任何服务的功能，也不能为用户提供任何服务。svchost.exe通过为这些系统服务调用动态链接库(DLL)的方式来启动系统服务。

svchost.exe是病毒这种说法是任何产生的呢?

因为svchost.exe可以作为服务的宿主来启动服务，所以病毒、木马的编写者也挖空心思的要利用svchost.exe的这个特性来迷惑用户达到入侵、破坏计算机的目的。

如何才能辨别哪些是正常的svchost.exe进程，而哪些是病毒进程呢?

svchost.exe的键值是在“HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionSvchost”，如图1所示。图1中每个键值表示一个独立的svchost.exe组。

微软还为我们提供了一种察看系统正在运行在svchost.exe列表中的服务的方法。以Windows XP为例:在“运行”中输入:cmd，然后在命令行模式中输入:tasklist /svc。系统列出如图2所示的服务列表。图2中红框包围起来的区域就是svchost.exe启动的服务列表。如果使用的是Windows 2000系统则把前面的“tasklist /svc”命令替换为:“tlist -s”即可。如果你怀疑计算机有可能被病毒感染，svchost.exe的服务出现异常的话通过搜索svchost.exe文件就可以发现异常情况。一般只会找到一个在:“C:WindowsSystem32”目录下的svchost.exe程序。如果你在其它目录下发现svchost.exe程序的话，那很可能就是中毒了。

还有一种确认svchost.exe是否中毒的方法是在任务管理器中察看进程的执行路径。但是由于在Windows系统自带的任务管理器不能察看进程路径，所以要使用第三方的进程察看工具。

上面简单的介绍了svchost.exe进程的相关情况。总而言之，svchost.exe是一个系统的核心进程，并不是病毒进程。但由于svchost.exe进程的特殊性，所以病毒也会千方百计的入侵svchost.exe。通过察看svchost.exe进程的执行路径可以确认是否中毒。

tyd

新型木马 C:\Program Files\Internet Explorer\Connection Wizard\SVCHOSI.EXE

C:\Program Files\Internet Explorer\Connection Wizard\SVCHOSI.EXE，在网上搜索发现这是一个新发现的可疑程序，它修改注册表，在...\run下生成一个EzRecKB.exe的数值，并在才c:\根目录下生成3个文件，其中一个是EzRecKB.exe，经查，这是一个记录键盘输入的木马，运行MSCONFIG，发现生成一个服务Windows WINXP随计算机启动运行，使用OUTPOST和MCAFEE查杀均无发现，使用360查杀，能发现并删除EzRecKB.exe，但无法发现SVCHOSI.EXE，并且隔了2，30分钟又再次生成EzRecKB.exe，无法根除。虽然停止该服务Windows WINXP可以终止木马运行，但是在注册表和组件服务里面显得很刺眼，希望有人能够清除该木马。