問：我的系統(tǒng)進(jìn)程里有四個svchost.exe，聽說有些木馬就是偽裝成系統(tǒng)的進(jìn)程，不知道這個是不是？

　　答：svchost.exe 存在 %windir%/system32/wins 下。

　　如果懷疑svchost.exe是病毒可以通過以下方法來證實是不是病毒：1.可以去 wins 目錄找找有無多余，2.可以搜搜windows文件夾中 svchost.exe 看看有幾個（應(yīng)為1個），3.tlist -s察看，4.也可以下載一個可以看帶路徑名的進(jìn)程的瀏覽工具。

　　問：svchost.exe是起什么作用的進(jìn)程?

　　答：Svchost.exe文件對那些從動態(tài)連接庫中運行的服務(wù)來說是一個普通的主機(jī)進(jìn)程名。Svhost.exe文件定位在系統(tǒng)的%systemroot%/system32文件夾下。在啟動的時候，Svchost.exe檢查注冊表中的位置來構(gòu)建需要加載的服務(wù)列表。這就會使多個Svchost.exe在同一時間運行。每個Svchost.exe的回話期間都包含一組服務(wù)，以至于單獨的服務(wù)必須依靠Svchost.exe怎樣和在那里啟動。這樣就更加容易控制和查找錯誤。

　　Svchost.exe 組是用下面的注冊表值來識別。HKEY_LOCAL_MACHINE/Software/Microsoft/Windows NT/CurrentVersion/Svchost每個在這個鍵下的值代表一個獨立的Svchost組，并且當(dāng)你正在看活動的進(jìn)程時，它顯示作為一個單獨的例子。每個鍵值都是REG_MULTI_SZ類型的值而且包括運行在Svchost組內(nèi)的服務(wù)。每個Svchost組都包含一個或多個從注冊表值中選取的服務(wù)名，這個服務(wù)的參數(shù)值包含了一個ServiceDLL值。
HKEY_LOCAL_MACHINE/System/CurrentControlSet/Services/Service