我的电脑里有scvhsot.exe进程,和svchost.exe看起来很容易混淆,是不是病毒啊?

第一个应该不是，第二个不好说!

NO. 病毒分类 病毒名 病毒别名
1.  WINDOWS下的PE病毒    Trojan.Svchost-CmjSpy2     
2.  WINDOWS下的PE病毒    Trojan.Svchost 

第二个应该是病毒

运行后，病毒把自己复制到系统目录下，文件名为“Svchost.exe”。

引用:

【秋风秋月的贴子】我的电脑里有scvhsot.exe进程,和svchost.exe看起来很容易混淆,是不是病毒啊? ...........................

　　svchost.exe是nt核心系统的非常重要的进程，对于2000、xp来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。

　　大家对windows操作系统一定不陌生，但你是否注意到系统中“svchost.exe”这个文件呢？细心的朋友会发现windows中存在多个 “svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。

发现

　　在基于nt内核的windows操作系统家族中，不同版本的windows系统，存在不同数量的“svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，win2000有两个svchost进程，winxp中则有四个或四个以上的svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而win2003 server中则更多。这些svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp client）等。

　　如果要了解每个svchost进程到底提供了多少系统服务，可以在win2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是win2000 support tools提供的。在winxp则使用“tasklist /svc”命令。

svchost中可以包含多个服务

深入

　　windows系统进程分为独立进程和共享进程两种，“svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 svchost.exe进程来启动。但svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

　　原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 svchost，由svchost调用相应服务的动态链接库来启动服务。那svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。下面就以rpcss（remote procedure call）服务为例，进行讲解。

　　从启动参数中可见服务是靠svchost来启动的。

实例

　　以windows xp为例，点击“开始”/“运行”，输入“services.msc”命令，弹出服务对话框，然后打开“remote procedure call”属性对话框，可以看到rpcss服务的可执行文件的路径为“c:\windows\system32\svchost -k rpcss”，这说明rpcss服务是依靠svchost调用“rpcss”参数来实现的，而参数的内容则是存放在系统注册表中的。

　　在运行对话框中输入“regedit.exe”后回车，打开注册表编辑器，找到[hkey_local_machine systemcurrentcontrolsetservicesrpcss]项，找到类型为“reg_expand_sz”的键“magepath”，其键值为“%systemroot%system32svchost -k rpcss”（这就是在服务窗口中看到的服务启动命令），另外在“parameters”子项中有个名为“servicedll”的键，其值为“% systemroot%system32rpcss.dll”，其中“rpcss.dll”就是rpcss服务要使用的动态链接库文件。这样 svchost进程通过读取“rpcss”服务注册表信息，就能启动该服务了。

解惑

　　因为svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但windows系统存在多个svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

　　假设windows xp系统被“w32.welchia.worm”感染了。正常的svchost文件存在于“c:\windows\system32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:\windows\system32wins”目录中，因此使用进程管理器查看svchost进程的执行文件路径就很容易发现系统是否感染了病毒。windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。

　　由于篇幅的关系，不能对svchost全部功能进行详细介绍，这是一个windows中的一个特殊进程，有兴趣的可参考有关技术资料进一步去了解它。

IRC波特病毒出变种 小心机器变“僵尸”

    本周有一个病毒特别值得注意，它是：“IRC波特释放器变种BC（Dropper.IrcBot.bc）”病毒。用户的计算机感染该病毒后就会变成“僵尸计算机”，被黑客远程控制。

    本周关注病毒：IRC波特释放器变种BC（Dropper.IrcBot.bc） 警惕程度 ★★★☆

    病毒运行后会在系统目录下生成名为“svchost.exe”的文件及连接IRC服务器所需要的一些文件，同时修改注册表实现随系统启动自动运行。释放出的“svchost.exe”文件为“IRC波特变种DCF（Backdoor.IRCBot.dcf）”病毒。它会自动打开用户计算机的TCP 6667端口，连接黑客指定的IRC服务器接受指令。黑客通过该病毒将用户的计算机变成“僵尸”进行远程控制，对其它计算机发起攻击。

    专家建议：

    建议用户安装最新版本的杀毒软件，并开启实时监控查杀此病毒。由于该类病毒对局域网络影响较大，建议企业用户安装网络版杀毒软件进行防范。

    查杀方法：

    请广大用户及时升级手中的瑞星杀毒软件2006版或下载版到18.36版本。

我们的资料仅供参考......

http://www.baidu.com/s?wd=svchost.exe&cl=3

scvhsot.exe可能是病毒。svchost.exe是系统必要程序。在SYSTEM32目录下，如果出现在其他目录就可能是病毒。

谢谢稳起朋友的指点.我用的软件是:TCPVIEW.EXE来看进程的属性.但在以下进程中,发现以System:4开头的进程查看不了属性,而其它的进程则可以查看属性.比如:svchost.exe进程都发现其属性都是位于你所说的C:\WINDOWS\system32\svchost.exe 这个文件夹下,但是,为何System:4这个进程则查看不了其属性,是不是木马进程?请朋友指点一下.谢谢了.
IEXPLORE.EXE:3960UDPmy-tomato:1104*:*
lsass.exe:628UDPmy-tomato:isakmp*:*
lsass.exe:628UDPmy-tomato:4500*:*
Rav.exe:2068UDPmy-tomato:1046*:*
RavMonD.exe:1020TCPmy-tomato:6059my-tomato:0LISTENING
svchost.exe:1732UDPmy-tomato:1900*:*
svchost.exe:1732UDP169.254.27.207:1900*:*
svchost.exe:1732UDPmy-tomato:1900*:*
svchost.exe:836TCPmy-tomato:epmapmy-tomato:0LISTENING
svchost.exe:944UDPmy-tomato:ntp*:*
svchost.exe:944UDP169.254.27.207:ntp*:*
svchost.exe:944UDPmy-tomato:ntp*:*
svchost.exe:988UDPmy-tomato:1045*:*
svchost.exe:988UDPmy-tomato:1060*:*
System:4TCPmy-tomato:microsoft-dsmy-tomato:0LISTENING
System:4UDPmy-tomato:microsoft-ds*:*
System:4TCP169.254.27.207:netbios-ssnmy-tomato:0LISTENING
System:4UDP169.254.27.207:netbios-ns*:*
System:4UDP169.254.27.207:netbios-dgm*:*