以前見到svchost.exe的程序一律當是系統程序，雖然也知道有時候有些木馬會呼叫，但懶得去深究，直到機器中了病毒....

我的機器一直沒有安裝任何防毒軟體，都是靠自己對網路速度、機器執行速度的敏感來判斷是否中毒，又或者簡單的查詢啟動項，關聯項等簡單的手法，這裡不羅嗦

今天要詳細說說的是svchost這個程序，出事的時候我發現我機器有6個svchost程序，因為一直比較關心我的程序，我知道我的機器正常情況下只開4個，沒辦法，沒有防毒軟體，只能自己一步步啃下去了......

首先，先簡單說說svchost這個程序，Svchost.exe是NT核心作業系統(Windows 2000/XP/2003都屬於NT核心作業系統)獨有的程序，微軟官方對它的定義是:Svchost.exe是從動態連結庫(DLL)中執行的服務的通用主機程序名稱。也就是說svchost本來不提供所謂的服務，是通過第三方的dll檔案來提供服務的。

第二，這麼多的svchost怎麼知道哪個對應哪個呢？不用著急，歇會馬上來........
        開啟[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost]看到沒有，在你的右邊是svchost啟動服務的列表，下面是我機器的截圖

看到沒有，一共有7個，乖乖........
咱還是有點覺悟的，光看著有個rpcss還有個RpcSs32就知道這個RpcSs32有點古怪，但總不能馬上刪除啊，如果錯殺無辜呢.....，內疚小事，機器出現什麼毛病需要重灌那就麻煩了，手上沒有系統盤啊......

第三步，找出其相對應的dll檔案....
還是登錄檔，開啟[HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/]根據咱們的覺悟，我先找到了RpcSs32子鍵，在右邊的Description鍵值可以看到這個服務的描述，如圖：

辛苦啊，又要截圖...........，描述不是關鍵，關鍵我們要知道它指向哪個dll檔案，不急，就在剛才的RpcSs32主鍵下面有個Parameters的主鍵，在它的右邊，有個名叫ServiceDll的鍵值，這個就是它要啟動的服務了，如圖

乖乖，這個sql32.dll不就是那個什麼什麼Adware嗎，這個檔案已經被我在安全模式下幹掉了，但這裡沒有清除，原來這樣，呵呵.......

如法泡製，找出其他幾個在[HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost]下的鍵值所對應的ServiceDll檔案，然後檢視dll檔案的屬性，如果是近期建立的，又或者你的計算機出現異常後才建立的檔案就非常可疑了，對自己自信點，做好登錄檔的備份和檔案的備份後就Delete,痛快點......

好了，一口氣寫了這麼多，希望對svchost還心有疑惑的同志們能及時解開心中的鬱悶