win7判别svchost.exe是否为病毒伪装的方法

svchost.exe是一个标准的动态连接库主机处理服务，由于svchost.exe进程的特殊性，黑客经常将病毒伪装成svchost.exe进程，因为在系统服务进程中，svchost.exe进程往往有很多个，那么，Win7系统怎么判断svchost.exe是不是可疑程序？下面，我们一起往下看看。

方法/步骤

1、按下“Ctrl+Shift+Del”打开“任务管理器”；

Windows7进程

2、在打开的任务管理器中svchost.exe足足有16个，描述为Windows服务主进程；

Windows7病毒

3、通过查看进程的发起程序来判断。Win+R打开运行对话框，输入CMD并按回车；

Windows7任务管理器

4、在cmd中输入“Netstat -abnov |more”；

Windows7伪装成

Windows7服务

5、正常的svchost.exe文件位于%systemroot%system32（或64）目录中；

6、我们还可以在cmd中使用Tasklist /svc方法，如果看到哪个svchost.exe进程后面的提示的服务信息是“暂缺”，而不是一个具体的服务名，那么它就是病毒进程了，记录下这个病毒进程对应的PID数值（进程标识符），即可在任务管理器中找到它，并结束进程。然后搜索到伪装成svchost.exe的文件并将其彻底删除。